熊谷組、SASE導入で社内ネットワークの「4つの課題」を解決

クラウドベースの包括的なネットワークおよびセキュリティのアーキテクチャ「SASE（Secure Access Service Edge）」。現代のネットワークセキュリティを担保する上で重要なコンセプトとして注目されているのはご存じの通りだ。

2月25日～27日、オンラインで開催された「TECH+ フォーラム - セキュリティ 2025 Feb. 今セキュリティ担当者は何をすべきか」に、熊谷組 経営戦略本部DX推進部 ITソリューショングループ 係長 眞鍋準次氏が登壇。「SASE導入とその効果 ～どこからでも安全な通信を目指して～」と題して、SASEを導入してネットワークの課題を解決した自社の事例を紹介した。

従来ネットワークが抱えていた「4つの課題」

コロナ禍において、多くの企業と同じく熊谷組でもストレージやWeb会議ツールのクラウド化が進み、在宅勤務が増加した。これに伴い、同社ではネットワークトラフィックやデータトラフィック、通信トラフィックなどさまざまな種類のトラフィックが発生。結果的に、以下の4つの課題が顕在化したという。

• 課題1：本社において多量の通信発生による通信不良の発生
• 課題2：リモート環境からの通信品質の劣化
• 課題3：オンプレのファイアウォールやプロキシサーバの性能問題
• 課題4：日々高度化するセキュリティリスクへの対応

従来、同社のネットワーク構成は、データセンターを境界とする境界型ネットワークの構成をとっており、基本的に、全ての通信がデータセンターを経由する構成で、拠点間については閉域網を使って通信をしていた。

• 

  従来のネットワーク

課題1の「本社における通信不良の発生」では、通信の上限が300Mbpsのところを、平常時で200Mbpsの帯域を使用し、少し通信の状況が変わると、すぐに上限まで通信が発生して、通信が正常に行えない点が問題だった。

課題2の「リモート環境からの通信品質の劣化」では、さまざまな環境から通信され、データセンターに置いてあるVPN機器が老朽化していることによって、著しく通信品質が劣化してしまう事象が発生していた。

課題3の「オンプレのファイアウォールやプロキシサーバの性能問題」は、IPアドレス指定でしか除外設定、例外設定ができないという点が課題だった。また、プロキシサーバは、性能上1万6000セッションの処理が可能だが、日中は常に1万4000セッションの通信が処理されており、少しネットワークの負荷が上がるとすぐに1万6000セッションまで処理が増加してしまい、通信できなくなる状況が発生していたという。

課題4の「日々高度化するセキュリティリスクへの対応」では、データセンターにおいては、ファイアウォール、プロキシサーバ、VPN装置があったが、これら以外のセキュリティツールがなかったため、年々高まるセキュリティリスクに対して、どのように対応していけばよいかが課題となっていた。

各課題への解決策

同社では、これらの課題を解決するためにさまざまな検討を重ね、課題1については、帯域保証型の閉域網を廃止し、ベストエフォート型のインターネット回線を利用してネットワークを構築すればよいのではないかと考えた。

また、課題2に対しては、リモート環境から通信するときに使っているオンプレのVPN装置をクラウド基盤と直接接続するVPNツールに変更する案が上がった。

課題3については、オンプレのファイアウォール、プロキシサーバを全て廃止し、クラウド基盤に移行すれば良いのではないかと考え、課題4に関しては、さまざまなセキュリティ機能を包含したネットワーク基盤を用意する必要があると考えたという。

そして、これらを一挙に解決するものとして、SASEの導入検討が始まった。

新ネットワークの概要と導入プロジェクト

既存のネットワークの構成は、境界型ネットワークだったが、新ネットワークは、全ての通信がSASEを通るように構成を変更。また、VPNツールも新しいものを利用するようにした。ただし、プライベートクラウドを使う都合上、どうしても閉域網を完全に廃止できなかったため、1カ所だけ残っているという。

• 

  新ネットワークの構成