クラウドベースの包括的なネットワークおよびセキュリティのアーキテクチャ「SASE(Secure Access Service Edge)」。現代のネットワークセキュリティを担保する上で重要なコンセプトとして注目されているのはご存じの通りだ。

2月25日~27日、オンラインで開催された「TECH+ フォーラム - セキュリティ 2025 Feb. 今セキュリティ担当者は何をすべきか」に、熊谷組 経営戦略本部DX推進部 ITソリューショングループ 係長 眞鍋準次氏が登壇。「SASE導入とその効果 ~どこからでも安全な通信を目指して~」と題して、SASEを導入してネットワークの課題を解決した自社の事例を紹介した。

従来ネットワークが抱えていた「4つの課題」

コロナ禍において、多くの企業と同じく熊谷組でもストレージやWeb会議ツールのクラウド化が進み、在宅勤務が増加した。これに伴い、同社ではネットワークトラフィックやデータトラフィック、通信トラフィックなどさまざまな種類のトラフィックが発生。結果的に、以下の4つの課題が顕在化したという。

  • 課題1:本社において多量の通信発生による通信不良の発生
  • 課題2:リモート環境からの通信品質の劣化
  • 課題3:オンプレのファイアウォールやプロキシサーバの性能問題
  • 課題4:日々高度化するセキュリティリスクへの対応

従来、同社のネットワーク構成は、データセンターを境界とする境界型ネットワークの構成をとっており、基本的に、全ての通信がデータセンターを経由する構成で、拠点間については閉域網を使って通信をしていた。

  • 従来のネットワーク

    従来のネットワーク

課題1の「本社における通信不良の発生」では、通信の上限が300Mbpsのところを、平常時で200Mbpsの帯域を使用し、少し通信の状況が変わると、すぐに上限まで通信が発生して、通信が正常に行えない点が問題だった。

課題2の「リモート環境からの通信品質の劣化」では、さまざまな環境から通信され、データセンターに置いてあるVPN機器が老朽化していることによって、著しく通信品質が劣化してしまう事象が発生していた。

課題3の「オンプレのファイアウォールやプロキシサーバの性能問題」は、IPアドレス指定でしか除外設定、例外設定ができないという点が課題だった。また、プロキシサーバは、性能上1万6000セッションの処理が可能だが、日中は常に1万4000セッションの通信が処理されており、少しネットワークの負荷が上がるとすぐに1万6000セッションまで処理が増加してしまい、通信できなくなる状況が発生していたという。

課題4の「日々高度化するセキュリティリスクへの対応」では、データセンターにおいては、ファイアウォール、プロキシサーバ、VPN装置があったが、これら以外のセキュリティツールがなかったため、年々高まるセキュリティリスクに対して、どのように対応していけばよいかが課題となっていた。

各課題への解決策

同社では、これらの課題を解決するためにさまざまな検討を重ね、課題1については、帯域保証型の閉域網を廃止し、ベストエフォート型のインターネット回線を利用してネットワークを構築すればよいのではないかと考えた。

また、課題2に対しては、リモート環境から通信するときに使っているオンプレのVPN装置をクラウド基盤と直接接続するVPNツールに変更する案が上がった。

課題3については、オンプレのファイアウォール、プロキシサーバを全て廃止し、クラウド基盤に移行すれば良いのではないかと考え、課題4に関しては、さまざまなセキュリティ機能を包含したネットワーク基盤を用意する必要があると考えたという。

そして、これらを一挙に解決するものとして、SASEの導入検討が始まった。

新ネットワークの概要と導入プロジェクト

既存のネットワークの構成は、境界型ネットワークだったが、新ネットワークは、全ての通信がSASEを通るように構成を変更。また、VPNツールも新しいものを利用するようにした。ただし、プライベートクラウドを使う都合上、どうしても閉域網を完全に廃止できなかったため、1カ所だけ残っているという。

  • 新ネットワークの構成

    新ネットワークの構成

導入プロジェクトは対象別に3つのステップで進められた。最初のステップは、本社、支店、営業所、グループ企業、データセンタの約60拠点を対象とし、要件定義から設計までにおよそ6カ月、テストから移行完了までに4カ月をかけて実施。続くステップ2、3では現場のネットワークの更新を進めており、現在も実施中だという。

SASEの導入効果

SASEを基盤としたネットワークを構築することで、4つの課題は全て解消したという。

本社の通信品質の変化

本社の通信不良に関しては、移行前は大量の通信が発生しても300Mbpsが上限だったが、移行後、大量の通信が発生した際は300Mbpsを超える800Mbps程度の通信速度が確認され、問題なく通信できたという。

  • 本社の通信品質の変化

    本社の通信品質の変化

リモート環境からの通信品質の向上

リモート環境からの通信に関しては、これまで利用していたVPNソフトではどのような環境でも30Mbps以上の通信速度が出なかった。だが、新しいVPNソフトでは150Mbpsの通信速度が出るようになり、従来と比べて通信品質の劣化が少なくなったという。

「社外にいる場合は自動的にVPNでつなぐという設定にしており、自分たちでVPNツールを立ち上げなくて良いため、ユーザーからも非常に好評です」(眞鍋氏)

  • VPNの新旧ソフトの通信速度比較

    VPNの新旧ソフトの通信速度比較

ファイアウォールとプロキシサーバ

以前はIPアドレス指定のみでしか通信の除外設定ができなかったファイアウォールだが、SASE導入により、FQDN(Fully Qualified Domain Name)で指定できるようになった。また、SASE移行前は日常的にプロキシサーバの最大処理数である1万6000セッションに近い通信量が発生していたが、移行後のセッション数は明らかに低減したという。これはプロキシサーバを経由することなく通信できるようになったためだ。ファイアウォールとプロキシサーバは、すでに撤去済みだとしている。

  • 移行前と移行後のセッション数

    移行前と移行後のセッション数

高度化するセキュリティ対策への対応

SASE移行後は、以前のファイアウォールには実装されていなかったさまざまなセキュリティ機能が追加された。URLフィルタリングやSSL復号による通信チェック、通信の遅延可視化、アンチウィルス/アンチスパム、アプリケーション識別、IPS/IDSといった機能はその一部だ。

* * *

現在、同社では新ネットワーク構成を全作業所へと展開しており、今年度中に完了する予定だという。次に、何を見据えるのだろうか。

「今後は、EDRとSASEのログをSIEMで統合管理することを計画しています。実現すれば各々を相関的に分析し、早期に攻撃の予兆を発見することができるようになります。これにより、安全な社内ネットワークの構築が可能です」(眞鍋氏)