当社は昨年、「既存環境を有効活用!今から始めるSASEの第一歩」と題し、オンラインセミナーを開催しました。
ネットワークとセキュリティを融合した新しい概念「SASE」が注目を集めています。社内のネットワークとセキュリティを統合的に管理し、効率的かつ安全性の高いネットワークインフラを実現できるSASEですが、実現のハードルが高いと感じる企業が多くいるのも事実です。
セミナーではそうした不安や悩みを抱えている方に向けて、SASEの基本的な考え方や必要性、SASE移行のための4つのステップ、既存環境を利用したSASE実現などについて解説しました。本ブログではその内容を要約してご紹介します。
SASEとはどのような考え方なのか?
SASE(Secure Access Service Edge)とは、ネットワークとセキュリティを統合した新しい概念です。
従来、ネットワークとセキュリティは個別に異なるソリューションが存在してきました。SSASEの概念によってネットワークとセキュリティは1つに統合され、環境変化に強い柔軟なネットワーク構成とどこから接続しても一貫性のあるセキュリティを共に実現することが出来ます。
今SASEが必要な理由
SASEが必要な理由は、従来型ネットワークの問題点やクラウドサービスの普及、そして「ゼロトラスト」の考え方がセキュリティの主流になっていることなどが挙げられます。
従来型ネットワークの問題点
従来型のネットワークセキュリティは主に「拠点防衛型」と「集約型」の2つの構成が存在します。
拠点防衛型は、拠点ごとのセキュリティ対策を施すことで、各拠点で柔軟な設定を行うことができ、また障害時の影響も最小限に抑えることができます。反面、各拠点での設定に現地まで行くなど管理が複雑になるデメリットがあります。一方、集約型はセキュリティ機能を一箇所に集約し、効率的な一元管理が可能です。しかし、システム障害が起きると組織全体の運営に影響を与えたり、トラフィックが集中することでボトルネックとなり、パフォーマンスに影響を及ぼしたりするリスクがあります。
どちらの構成も設計自体が旧来のネットワーク利用に合わせたものになるので、環境が短時間で大きくで変わっていく現在の状況では、デメリットの影響が大きくなってしまい、ユーザの課題となっています。
クラウドサービスの普及
ネットワーク環境を取り巻くは日々変化しています。特にクラウドサービスは増加の一途を辿っています。様々なクラウドサービスが提供されている中で、自社でどんなクラウドサービスを利用しているのか?また利用を禁止しているクラウドサービスにアクセスしていないかをチェックすることは難しくなっています。またテレワークが普及したことにより、セキュリティリスクの増加やパフォーマンス面の課題などもあり、問題が山積しています。
SASE導入により、企業は複雑なネットワーク管理をシンプルにし、同時にセキュリティを強化することが出来ます。柔軟性が高く安全な通信が可能となるため、クラウドサービスの利用増加に伴うネットワークやセキュリティの課題を解決することが出来ます。
ネットワークとセキュリティのトレンド
従来の境界防御が限界を迎え、全ての通信を信頼しない「ゼロトラスト」の考え方が注目を集めています。
ゼロトラストが普及した背景には脅威の侵入自体を防ぐのが難しいといった背景があり、安全に見えるネットワークでも信頼せずにあらゆる通信を可視化するといった考え方があります。通信の可視化によって、「誰が(どんな機器が)」「いつ」「どこへ」「どんな通信」をしたのか?をしっかりと把握することが必要となっています。
また、クラウドサービスの増加により、「どこへ」「どんな通信」も見えづらくなりました。様々なクラウドサービスが存在しており、中には不適切な状態で提供されているサービスも存在しています。組織で利用が禁止されているようなサービスを利用する「シャドークラウド」の問題も発生しています。このようなクラウドサービスに対して適切な通信制御を行える「CASB」や、クラウドや通信上でどのような通信をされているのかを検査できる「DLP」を利用することで、ネットワークとセキュリティの両面からアプローチできる仕組みづくりが重要となります。
また昨今ではほとんどの通信が暗号化されているため、暗号化通信に対する「SSL複号」もこれからますます必要となってきます。
このように現代に求められる様々な要件を実現した新しいネットワークが求められており、これを実現していくために利用できるのが「SASE」のソリューションとなります。SASEソリューションは、セキュリティを確保しつつ、ハイパフォーマンスを実現できる次世代のネットワークの形と言えます。
SASEに移行するために必要な3つのステップ
SASE移行に必要なステップは大まかに以下の4つに分けられます。
- SASEに移行するための課題を整理する
- どこから移行を進めるべきかアプローチを考える
- 移行や追加に伴うコストを算出する
- 拡張性があるのか検討する
ステップ1:SASEに移行するための課題を整理する
SASE移行には、自社が抱える課題を明確に理解し整理することが不可欠です。まず、現在のネットワークとセキュリティの状態を分析し、どこに課題があるのかを洗い出します。
課題が明確になると、何を目的としてSASEに移行したいのか、SASEに移行することで何を実現したいのかが明らかになります。
以下の表にSASEが持つ各機能が、どのような課題に対応しているのかをまとめています。自社にとってどの部分が必要なのかを検討し、どのようなソリューションで実現するのかを選択することが必要です。
ステップ2:どこから移行を進めるべきかアプローチを考える
課題を整理し目的を決めたら、次はSASEへ移行する際のアプローチ方法を検討します。SASEへの移行には、主に3つのアプローチがあります。
- 更改のタイミングでシステムを完全に一新する方法です。この方法はネットワーク全体の理想形態を一度に実現することが出来ますが、その反面大規模な変更を伴うため比較的リスクが高く、コストも膨らみやすい傾向にあります。
- まず始めに一部の通信や機能をSASEへ移行し、全体の移行に先立って小規模テストや調整を行う方法です。これは前述の手法に比べてリスクは低いですが、運用コストは高くなる傾向にあります。
- 既存機器を活用しつつ段階的に移行する方法です。契約が残っている既存機器を破棄せずに有効活用することで、既存環境からの変更も最小限にしながらコストも抑えて段階的にSASEへの移行を進めていくことが出来ます。
SASEソリューションの中には様々な方式で提供されている製品がありますので、自社に適した方式を選択し、どのような形で移行していくのかをじっくりと検討いただく必要があります。
プロキシ製品から発展したプロキシ方式
既存環境がプロキシサーバを利用しており、PACファイルを使った制御をしているのであれば、プロキシ型の製品がおすすめです。既存のPACファイル設定を変えることなく、接続先をSWG(Secure Web Gateway)に向けるだけで移行を実現します。
専用クライアントによるセキュアトンネル方式
イメージとしてはSSL-VPNを接続する際のクライアントソフトと同じです。専用のクライアントをインストールすることで、SASEに移行することができます。すでに利用している場合は操作感を変えることなく移行できるのがメリットです。
例えばすでにプロキシサーバを利用されている場合はプロキシ方式を、VPN製品を利用されている場合はセキュアトンネル方式を選択いただくことで利用者のハードルを下げることができます。①では全面更改の際のコストを下げることができますし、②では既存環境ではカバーできない部分をSASEが補うように組み合わせてご利用いただくことも可能です。
③の既存環境を活かしつつ段階的にSASEへ移行する場合はIPsecなどによって既存機器からSASE Cloudへ接続するアプローチがおすすめです。②の一部の通信や機器のみをSASEへ移行する場合も活用できます。
IPsecによる接続と専用クライアント、接続装置によるハイブリッド接続
既存の機器を入れ替えることなく、IPsecやGREといった標準規格を用いて接続します。既存機器のサポート終了まで利用したい場合、コストを抑えつつSASE移行を実現します。
ステップ3:移行や追加に伴うコストを算出する
SASE移行には、移行コストの算出が必要不可欠です。
将来の拡張性なども考慮した上でコストを算出する際に、特に注目するべきは以下の3つのポイントです。
最小構成の確認
段階的な移行を実現するために、最小限の構成を確認しましょう。
必要な最低帯域や拠点数、ユーザ数などを確認し、最小構成数で実現できる移行方法を計画しましょう。
構成追加時のコスト
複数拠点の追加や、拠点ごとの通信量に応じたライセンスの追加など、どの程度柔軟に行えるか、どの程度のコストが必要となるかを確認しましょう。必要な帯域を増やす場合など、拡大していく際に必要なコストと時間を確認して計画を立てることが必要です。
機能の追加
機能を追加する際にどの単位で追加できるのかを確認しましょう。移行初期ではネットワーク機能を優先し、セキュリティ機能は後から付加するなどのパターンも考えられます。移行計画を立てる際に、これらの情報も必要です。
移行コスト算出は、移行の実現性を判断し、不要な費用発生を避けるためにも重要です。
SASE移行時の注意点
SASEへの移行時には、簡単かつ安全に接続できる環境を実現するために、提供されているサービスの背景をよく確認しましょう。サービスの提供事業者が国内外のどのような場所にサーバー等の機器を所有しているのか、自前のデータセンター保有なのかパブリッククラウド上に展開されているのかなどのバックボーンを把握することで、最適な通信経路を確保できるかどうかや地理的なリスクを見極めやすくなります。
また、障害発生時の対応能力も重要な要素です。サポート内容や、どの程度迅速にサービスが復旧できるのかを事前に理解することが、安定稼働につながります。
将来的なSASE実現のキーワード
SASEをはじめとする次世代のネットワークにおいて、「クラウド化」と「サブスクリプションモデル」は重要なキーワードとなります。
ネットワークインフラがオンプレミス主体の現場は未だ数多くありますが、効率性・柔軟性・可用性を高めるためには、クラウド化の推進が重要です。SASEへの移行を進めることは、ネットワークインフラのクラウド化を推進しつつ、セキュリティを向上することにもつながります。
また、「サブスクリプションモデル」は、コスト管理とリソースの最適化に大きく貢献します。機器を購入せず、サービスやリソースの費用を必要な分だけ支払うサブスクリプションモデルは、今後ますますトラフィックの増大が予想される現在のネットワーク環境において、費用対効果を最適化することが出来ます。
シングルベンダーSASEを実現できる「Cato SASE Cloud」
SASEを実現したい場合、おすすめはSASEの機能を1つのソリューションで提供するシングルベンダーSASEの「Cato SASE Cloud」です。ここでは、サービスの特徴とそのメリットを紹介します。
Cato SASE Cloudの特徴
Cato SASE Cloudは、世界初のシングルベンダーSASEソリューションです。ネットワークの接続、保護、および管理を1つの統合プラットフォームで提供し、組織全体のネットワークを効率的に管理します。
次世代FWaaS(Firewall-as-a-Service)、SWG(セキュアWebゲートウェイ)、マルウェア対策、IPS、CASB、DLPなど、高度なセキュリティを提供している点も強みです。
シングルベンダーSASEのメリット
Cato SASE CloudはシングルベンダーSASEと呼ばれるソリューションですが、そもそもシングルベンダーSASEのメリットとは何でしょう。
SASEには多くの機能が含まれますが、SASEベンダーの多くがその機能を買収や機能統合によってそろえてきました。その結果、機能によって製品や管理画面がわかれていたり、SSL通信の複合化/暗号化によってボトルネックが生じたり、利用する機能を増やせば増やすほど快適性が損なわれてしまうケースがあります。
一方で、もともと1つのソリューションでSASEの要件を満たすように設計開発された、シングルベンダーSASE「Cato SASE Cloud」はすべての通信を一度に検査することができるため、通信遅延やボトルネックが発生しないアーキテクチャになっています。これにより、機能を追加したとしてもシンプルな管理を維持し通信への影響を最小限に抑えることで、快適に利用することができます。
同じSASEソリューションをうたって同じ機能を提供していても、どのようなコンセプトで製品設計・製品開発がされているかで運用負荷と通信への影響は大きく変わるため注意が必要です。
既存環境を活用、Cato SASE CloudでSASE実現
Cato SASE Cloudなら、既存環境を最大限に活用してSASEを実現することができます。ここでは、Cato SASE Cloudの拡張ステップとSASE実現の例、SASEに完全移行するメリットを詳しく解説します。
Catoの拡張ステップ&SASE実現のステップの例
Cato SASE Cloudの拡張ステップの例として、外出が多くリモートワークの必要性が高い営業部署などから段階的に始め、少しずつ周囲の組織に対象を拡大していくような方法があります。まずはネットワーク面の必要機能からSASEへ移行し、全てのユーザや拠点が移行した後にセキュリティ機能もSASE上で追加する、といった方法もあります。
また、既存のVPN機器など運用負荷が高い部分から優先的にSASEへ移行するという方法もあります。
SASEへの移行においては様々な道筋がありますが、安全で安定した接続を維持しながら、全ての拠点とユーザを段階的に1つのSASEプラットフォームに統合していくアプローチをCato SASE Cloudは得意としています。
SASEに完全移行するメリット
Cato SASE Cloudに完全移行することで、従来のネットワーク機器やセキュリティ機器の管理運用負荷は大幅に軽減されます。例えばOSのアップグレードやパッチの適用、脆弱性対応などはCato SASE Cloud側で行われるので不要になります。
また、現地対応や深夜帯の作業も不要です。これにより企業は安全性を維持しながら、運用の効率化を実現できます。
Cato SASE Cloudで実現するSASEのメリット
Cato SASE CloudによるSASEの実現は、全ての通信に対して同じ品質のネットワークとセキュリティを提供します。また、Cato Networks社が常に最新の脆弱性対策を実施することにより、セキュリティリスクの低減と運用負荷の軽減をもたらします。
サブスクリプション形式で提供されることで機器の購入や保有が不要になり、必要な機能を必要なタイミングで追加することで段階的な導入や移行が可能になります。
SASEの実現をお考えの方は、ぜひCato SASE Cloudの導入をご検討ください。