キーワード
CTOの松並 直人です。本日は、SD-WAN/SASEに関するリレーコラムの第一弾をお届けします。
SD-WANは、Software Defined-Wide Area Networkの略で、ソフトウェアによりコントロールされる柔軟性の高いWANのことですが、近年SD-WANが必要不可欠とされ、にわかに脚光を浴びています。以下その背景について整理してみたいと思います。SASEについては後述します。
ながらく続いたコロナ禍は働き方を大きく変革させました。多くの企業でリモートワークが進展し、Office365などのクラウドアプリケーションや、ZoomなどのWeb会議システムなど、企業情報システムのSaaS化、クラウド化が一気に進展しました。そして、今後は、出社してのオフィスワークと、在宅でのリモートワークを複合した「ハイブリッドワーク」がニューノーマルな働き方になると考えられています。
企業はコロナ禍に直面し、迅速にリモートワーク環境を立ち上げるため、各家庭から企業データセンターへの接続にVPNを活用しました。しかし、クラウドアプリケーションへの全トラフィックも企業データセンターに集中してしまうため、VPNやWebゲートウェイがボトルネックとなり、対処療法的な拡張投資が求められました。そこで、発想を転換し、企業が認定したクラウドアプリケーションに対しては、家庭から直接インターネット経由でアクセスするように制御することになりました。これをインターネットブレイクアウトと呼びます。
これまでの企業のセキュリティ対策は、外部と内部の“境界”にFirewallやProxyなどのセキュリティ対策を施す境界型セキュリティが主流でした。ところが、攻撃者の攻撃ワークフローは洗練・高度化し、標的型攻撃などにより企業情報システム内に侵入され内部から攻撃される事件が相次ぎました。また、前述のリモートワークやクラウド型情報システムも内部と外部の境界を意味のないものにしました。
そこで脚光をあび急速に普及しはじめたのがゼロトラストの概念に基づく新しいセキュリティシステムです。「ゼロトラスト=なにも信頼しない」、との発想から、ネットワークに接続されたすべてのリソースを監視するとともに、何段階もの認証を実施して、情報システムへのアクセス制御を行うセキュリティシステムです。
前述の通り、リモートワークから直接インターネット経由でクラウドアプリケーションにアクセスする際にも、インターネット上のサービスとして設けられたゼロトラスト型セキュリティシステム*を活用しています。この仕組みのことをSASE(Secure Access Service Edge)と呼びます。
前述のOffice365やZoomなどのSaaS型クラウドアプリケーションの活用に加え、企業所有(オンプレミス)だった業務システムのクラウドシフトも進展しました。基幹系システムや勘定系システムですらAWSやAzureなどのメガクラウドへの移行が進んでいます。このように複数のクラウドを活用する、いわゆるマルチクラウド化の進行の勢いは止まりません。
その結果、家庭だけでなく、オフィスからも、企業データセンターを介さずに直接クラウドにアクセスするインターネットブレイクアウトのニーズが高まりました。アクセス先に応じてイントラネットとインターネット(すなわち企業データセンターとクラウド)のアクセス経路を自動的に切り替える機構を持ち、さらにインターネットに直接晒されるオフィスのネットワークを攻撃から保護する機能を持つSD-WANルータが注目を集めたのはこのためです。そして、このSD-WANは前述のゼロトラスト型セキュリティ(すなわちSASE)とセットで考えることが重要です。
現場の機器や環境から取得したIoTデータを活用し、生産プロセスを改善したり、サプライチェーンを高度化したりするデジタル変革=DXが進展しています。現場で収集され整理されたIoTデータは、データ分析処理に適したクラウドに転送・解析され、現場を制御するコントロール情報としてフィードバックされます。IoTデータの種類も小容量のセンサ情報から大容量のカメラ画像やビデオ映像へと拡大の一途です。従来はVPNを用いた専用回線で接続されていましたが、データ大容量化に伴いコストが許容できなくなります。
また、IoTデータやデータ活用方法の特性に応じ、複数のクラウドを使い分けるということも一般的になると考えられます。IoTデータのDX活用に関しても、前述の企業情報システムの進化と同じように、インターネットブレイクアウトと経路の自動切替え機構を活用し、セキュアかつ低コストにクラウドに統合していくことが求められます。
以上のように、@ハイブリッドワークの進展、Aゼロトラスト型セキュリティへの進化、Bマルチクラウド化の進行、CIoTデータのDX活用、が並行して進んでいます。これらが統合されたシステムが「ハイブリッドクラウド」です。専用回線と境界型セキュリティを用いた社内専用WANは、時代の要請や拡大する脅威に対しそぐわなくなりました。ハイブリッドワークとハイブリッドクラウドに対応するため、インターネットブレイクアウトとゼロトラスト型セキュリティの技術によって支えられた、イントラネットとインターネットのセキュアな融合を図る次世代のネットワークシステム、これがSD-WAN/SASEであり、これが不可欠であると言えるワケです。
しかし、一気に理想とするSD-WAN/SASEに移行することは、費用面からもリスク面からも困難なことが多いと思います。必要とする要件の重要性と優先順位にあわせて、PoCを交えながら段階的に移行を計画することが重要です。
当社は、これまでお客さまとの協創を通して数々の次世代ネットワークシステムへの移行のお手伝いをさせて頂きながら、実績を積み上げて参りました。このような企業情報システム大変革の時代に、この経験値をご活用いただければと思います。ぜひお気軽にご相談ください。
次回は、SD-WAN/SASEに関する第二弾として、ゼロトラストな世界でトラストを得るための「はじめの一歩」であるアクセス制御について易しく解説したいと思います。
ゼロトラストな世界で「トラスト」を得る 〜ゼロトラスト/SASEはじめの一歩 アクセス制御の話〜
2022年7月
株式会社 日立情報通信エンジニアリング
CTO 松並 直人
※記事の内容は、編集・執筆当時のものですので、現在の情報と異なる場合があります。 編集・執筆の時期については、それぞれの記事の末尾の名前の部分をご覧ください。
