#13.3 「DXの本質」 雲を守る(ZTNA on SASE + iDaaS)
2020年、新型コロナウイルスの感染拡大が世界を震撼させました。
各国で、ロックダウンが発生し、街から人が消えました…
我が国でも、度重なる緊急事態宣言により、働き方が変化しました。テレワークが浸透し、リモートでの会議が当たり前にようになりました。
職と住が融合し、ワークライフバランスというより、ワークアズライフという働き方にシフトしているのではないでしょうか。
そして、今後も働き方は多様化してくることが容易に想像できます。
さらに、社会のデジタル化は止まりません。
企業もDXに対してようやく重い腰を上げはじめ、急速にAWSに代表されるようなパブリッククラウドの利用が増えています。
そんな、環境に変化が、企業のセキュリティやネットワーク構造に対して大きな問題を示しました。前述の通り、昨今のテレワークの需要が急増するにつれ、多くの企業がVPNゲートウェイ(社内にVPN接続するための機器)の性能限界に悩まされています。
また、VPNゲートウェイの脆弱性を悪用したサイバー攻撃も絶えず、VPNゲートウェイ経由で攻撃者に侵入されてしまい、大きなセキュリティインシデントに発展してしまった事例が増加しています。
このような状況から、今後のテレワークセキュリティについて不安を抱える企業は多いのではないでしょうか?
クラウドサービスの副作用
近年、AWS等のパブリッククラウド上で自社システムを運用する企業が増えています。パブリッククラウドの利用が普及する以前は、企業の情報資産は全て自社データセンタ内に保管されていることが一般的でした。そのため、社外から業務を行う際は、社内ネットワークへ接続することが前提となっていました。
VPNは、このような背景のもとで生み出された技術です。社外にいるVPNユーザは、社内ネットワークに配置されたVPNゲートウェイを経由することで、企業の情報資産へアクセスします。このようなVPNを中心とした従来のリモートアクセスには、以下のような課題が炙り出されました。
① クラウドサービスを導入したが、ネットワークの遅延が多い。
② ネットワーク/セキュリティ機器が様々なベンダーの機器を導入し運用が煩雑。
③ シャドーITの利用を把握/制御できない。
従来のようにクラウドサービスを積極的に使わない業務環境では、データセンター中心の社内ネットワークを経由して通信するアーキテクチャが一般的で、社内プロキシやファイアウォールでの境界防御で外部の脅威に対するセキュリティ対策を行ってきました。
しかし、クラウド利用が増える近年の現状に対して、このようなデータセンター中心のアーキテクチャは適切な構成とは言えなくなってきています。
Gartner Report
2019年8月に発表されたガートナー社のレポート『The Future of Network Security Is in the Cloud』では次のように述べられています。
デジタルビジネスの変革には、いつでもどこでもアプリケーションやサービスにアクセスする必要があり、現在その多くはクラウドに配置されている。
エンタープライズデータセンターを接続の中心に置くネットワークセキュリティアーキテクチャは、デジタルビジネスの動的アクセス要件に対する阻害要因になる。
DX推進に向けてクラウドを積極的に利用するには、従来のデータセンター中心のアーキテクチャから、クラウド中心であらゆる場所から安全にアクセス可能なアーキテクチャに変えていく必要があると考えられるという背景もあります。
ゼロトラストとはなんぞ???
では、ゼロトラストとは何でしょうか???
ゼロトラストとは、全てを信頼しないということです。エンドポイントとサーバ間の通信を暗号化するとともに、すべてのユーザーやデバイス、接続元のロケーションを“信頼できない”ものとして捉え、重要な情報資産やシステムへのアクセス時にはその正当性や安全性を検証することで、マルウェアの感染や情報資産への脅威を防ぐというセキュリティの考え方です。
従来は自社システムと外部との間に境界をもうけ、外部との内部との間の境界でのセキュリティのチェックを行なっていました。
このような従来のセキュリティモデルを「Trust, But Verify(信用しても確認せよ)」といい、ゼロトラストのような全てを信頼しないモデルを「Verify and Never Trust(信用するな確認せよ)」といいます。
ネットワークの内部と外部を区別することなく、守るべき情報資産やシステムにアクセスするものは全て信用せずに検証することで、脅威を防ぐという考え方です。
近年、テレワークの普及に相まって内部からの情報漏洩が多発し、クラウドサービスの利用拡大に伴うセキュリティリスクの増大を危惧する声も高まっています。これは、VPNによる境界線での防御の限界を示しています。
このような背景から、ゼロトラストという情報セキュリティモデルに注目が集まっています。
テレワークの普及に伴い、社内で許可していないアプリケーションやクラウドサービスを利用する“シャドーIT”が増加していることや、セキュリティ対策が十分に施されていない私有のPCを使って(BYOD)仕事をすることで、マルウェア感染や情報漏洩のリスクが拡大しています。
顕在化していないセキュリティインシデントが多数発生している可能性もあります。
繰り返しになりますが、急速にビジネスのデジタル化が進む中で、クラウドサービスの活用は企業にとって、業務効率の向上やテレワークを含む働き方改革、サービス品質向上の手段としてもはや必須なものとなってきました。
特に国からの要請や2021年夏のビッグイベントに向けて、テレワークの本格導入を検討する企業は増えています。
しかし、クラウドサービスを利用する上で、社内と社外を分ける境界防御の考え方では企業のセキュリティを担保できなくなってきており、ゼロトラストに対応したアーキテクチャの導入が求められています。
また、従来のアーキテクチャでは快適にクラウドサービスを活用できない、クラウドサービス利用時のリスクについて検討する必要がある、など課題があるのも事実です。
そこでクラウドサービス利用の促進において、企業のセキュリティ担当者を悩ませる課題を解決するアーキテクチャ(Secure Access Service Edge)がSASEです。
SASE(Secure Access Service Edge)とは
SASE(Secure Access Service Edge)は、包括的なWAN機能と包括的なネットワークセキュリティ機能(SWG、CASB、FWaaS、ZTNAなど)を組み合わせて、デジタル企業の動的なセキュアアクセスニーズをサポートする新たな製品モデルです。
この後、ゼロトラストネットワークアクセス(ZTNA)、SASE(Secure Access Service Edge)、IDaaS(ID as a Service)について、これからの記事で引き続き考えていこうと思います。