2024年6月24日に「TECH+セミナー - セキュリティ専門家とベンダーの対話 運用現場のリアル」が「マイナビPLACE」で開催された。ラックのセッションでは、ラック ソリューションコンサルティング部 デジタルアイデンティティ&ガバナンスグループ ネットワークエキスパートの五十嵐 広野氏が登壇。「ネットワークセキュリティの理想と現実 ~SASEを提案しながら直面した現場のリアル~」と題し、昨今大きな注目を集める新しいセキュリティモデル「SASE(Secure Access Service Edge)」の導入について詳しく解説した。企業がネットワークにおいて直面しがちな課題と、その解決策を紐解いていく。

  • ラック ソリューションコンサルティング部 デジタルアイデンティティ&ガバナンスグループ ネットワークエキスパート 五十嵐 広野氏 (写真)

    ラック ソリューションコンサルティング部 デジタルアイデンティティ&ガバナンスグループ ネットワークエキスパート 五十嵐 広野氏

今、SASEが注目を浴びている理由とは

五十嵐氏は、今回のセッションのメインテーマとして「多機能に惑わされずに、自社に必要なSASE機能を選定する」ことを挙げた。

「セキュリティ製品は多種多様で、どれを選べばよいかわからないことも多いです。だからこそ、自社にとって本当に必要な機能を備えた製品を選定することの重要性と、そのために必要なことをぜひ知っていただければ」と同氏はコメントした。

では、なぜいまSASEに注目が集まっているのだろうか。五十嵐氏は次のように述べる。

「企業にとって重要なデータは従来、信頼性の高いデータセンター(DC)にサーバを置いて管理されており、同時に、インターネット上の脅威から守るためにセキュリティ機器もDCに置かれていました。しかし、ここ数年でクラウドの普及が進んだことでDCだけを守っていれば良いという状況ではなくなりました。そこで注目されたのがSASEです」(五十嵐氏)

SASEは、ネットワーク機能とセキュリティ機能がクラウド上で包括的に展開されており、すべての業務通信がSASEを経由することで、高い安全性の確保が可能になる。どのメーカーのSASE製品であっても、高い信頼性を有していることに加え、複数のネットワークセキュリティをSASEひとつで提供できるため、機器の統合管理が可能となる。

さらに、SASEではすべての通信の可視化を行うことで誰がどのようにアクセスするかを管理できるゼロトラストの環境が実現できる。五十嵐氏は、ラックが考えるゼロトラストについて、次のように説明する。

「ゼロトラストは人やサーバがアクセスする際に、権限があるかどうかを確認することを基本とする考え方です。ラックでは、アクセス制御管理機能(IAM)やID管理をゼロトラスト実現の重要コンポーネントとして捉えており、まずはIDに基づいたアクセス管理を最初のステップとしています。その上でSASEを導入することで、より強固なセキュリティ環境を構築できるのです」(五十嵐氏)

  • ラックの考えるゼロトラスト(図版)

五十嵐氏は、「最初からすべてを実装するのは難しいので、まずはできるところからゼロトラストに関わる製品を導入していくのが現実的です」とSASE導入のポイントを解説した。

ゼロトラストの実現と、それを阻む現場の課題

SASE導入における課題はさまざまだが、SASEの前提となるアカウント管理が難しかったり、社内のIT人員不足のためSASEにまで手が回らなかったりするケースも少なくないという。こうしたゼロトラスト実現の理想と現実との乖離について、五十嵐氏は次のように言及した。

「人と端末が一対一で紐づいてはじめて、アクセス権に応じた許可やブロックが叶い、ゼロトラストを実現できます。しかし実際には、業務や部門ごとに使用する共有アカウントや不特定多数のユーザーが利用する共有端末が大きな障壁となっており、場合によっては業務自体を変える必要も生じてくるのです。このようにユーザーアカウントひとつを取ってもハードルが高いのが現実といえるでしょう」(五十嵐氏)

そこで導入検討の指針として重要となるのが、自社の「優先度」をつくることだ。SASE製品は非常に多機能であるため、メーカーの追加機能やライセンスに惑わされず、自社のニーズに応じて選定するべきだと五十嵐氏は強調する。例えばCASBやWeb系であれば、その機能に力を入れているSASE製品を選ぶことが推奨される。

  • SASE検討の進め方(図版)

「SASEの導入で大きく前進」導入事例の紹介

セッションの終盤では、SASEの導入事例が2つ紹介されるとともに、導入時に生じがちな課題についても示された。

まず、既存のセキュリティ機器の老朽化に伴いSASEへ移行したケースだ。既存のSandboxやProxyサーバのEoL(End Of Life)をきっかけにSASEへ一本化し、機器の運用・監視を一つのサービスとして提供することで、効率的な管理を実現したという。

続いて、インフラ環境のアセスメントによる問題や、Proxyの可用性に課題があることを背景にSASEを導入した例が挙がった。これにより可用性の高いWeb接続環境の導入とクラウドガバナンスの向上に向けて大きく前進したという。

一方で、五十嵐氏は安易な導入に対して警鐘を鳴らす。

「例えばCASBはアプリ版とWeb版で動作が異なる場合があり、また海外メーカー製品のため日本製SaaSの対応が遅れることがあります。また、SASEにはプロトコルに得意不得意があるため、注意が必要です」と五十嵐氏は指摘する。その上でもう一度、「あくまで自社に必要なSASE機能を選定することが重要です」と念押しして、講演を締めくくった。

SASE導入に至る一番のきっかけは?有識者による質疑応答で疑問を解消

  • セミナー当日の様子 (写真)

    セミナー当日の「マイナビPLACE」の様子

セッション終了後には、EGセキュアソリューションズ 取締役 CTO 独立行政法人情報処理推進機構(IPA)非常勤研究員 技術士(情報工学部門)の徳丸 浩氏と、インターネットイニシアティブ セキュリティ情報統括室 室長の根岸 征史氏が登壇し、質疑応答が行われた。

:SASE導入にあたりIdaaSを導入済みであることが前提となるのでしょうか。(徳丸氏)
:IdaaSは理想ではあるものの、導入済みの企業は少ないため、並行して整備するケースが多いです。(五十嵐氏)

:共用端末や共有アカウントが利用されている場合、内部不正が起きるリスクがあるのでは?(徳丸氏)
:内部不正に対する課題が残っていることは確かです。しかしながら、同一端末であってもIDを分けることや、操作ログの厳密な保管で、対策を行うことができます。(五十嵐氏)

:導入前のテストや検証によって課題を見つけきれなかった際、SASEを入れてみて後から問題が見つかったようなケースはありますか。(根岸氏)
:パフォーマンスについて事前検証しても課題はゼロにはなりません。また、より多くのユーザーが使った結果、検証時と状況が異なることもよくあることです。そのため、PoCの実施のほかに、最小ライセンスで1年程度の運用を行ってみることも効果的です。ラックでは導入後も運用サービスとして導入企業を定期的に支援しています。(五十嵐氏)

SASEに関する現場のリアルな声と専門家の意見を踏まえた今回のセッションは大きな盛り上がりを見せた。ゼロトラストの実現には未だ多くの障壁があるものの、本講演で取り上げられたセキュリティの向上やゼロトラストの実現の展望は有益な情報となったことだろう。SASEの導入を検討する際には、自社のニーズと優先度をしっかりと見極め、適切な製品を選定することの重要性を再認識していただきたい。

関連リンク

[PR]提供:ラック