2020年10月01日 10時00分 公開
PR

クラウドシフトで再考すべきネットワークアーキテクチャ構築と運用のヒントテレワークの「つながらない」を解消する

企業にクラウドサービスが普及するほど「ネットワークが重い」「VPNがつながらない」といった課題も浮上しやすくなる。解決には根本的なネットワークアーキテクチャの刷新が必要だ。どうすれば実現できるのか。

[ITmedia]

 インターネット環境があれば場所を問わず業務ができる手段として、さらにはコスト削減、業務システムの可用性・拡張性向上を目的にして、さまざまな企業がクラウドサービスの導入(クラウドシフト)を進めている。長らく「セキュリティが心配だから……」と及び腰だった企業にも、オフィススイートのサブスクリプションサービス「Microsoft 365」(旧Office 365)に代表されるSaaS(Software as a Service)を中心にクラウドサービスが普及してきた。「令和元年通信利用動向調査」(総務省)によれば、一部組織での利用を含めクラウドサービスを利用している企業は2019年時点で64.5%に上る。加えて「クラウドサービス導入で何らかの効果があった」との回答は75%以上に達した。

 ただしクラウドサービスの活用が広がれば広がるほど問題も顕在化している。社内ネットワークとインターネットの境目に防御を敷く「境界防御」を前提としたネットワークアーキテクチャやセキュリティ構成に限界が生じることが明らかになっているという。その理由と解決策を見てみよう。

クラウドサービスの普及で浮上した従来型ネットワークの課題

 これまでの企業のIT基盤は、業務システムが企業内部のオンプレミスで動作することを前提に、多様な境界防御で外部の脅威から守るというアーキテクチャに基づいていた。この構成は、本社以外の拠点からの通信もいったんデータセンターに集約する。通信先がインターネットやクラウドサービスといった社外ネットワークに所属する場合も例外はなく、全てのトラフィックをデータセンター経由にする形だ。このような往復を「トロンボーン型」と呼び、通信が行ったり来たりすることで遅延したりデータセンターの機器がボトルネックになったりしてシステムのパフォーマンスが低下する原因になる。クラウドサービスの採用が広がるにつれ、この問題が顕在化してきた。

 新型コロナウイルス感染症(COVID-19)対策の一環としてテレワークが広がったことで、問題はいっそう顕著になった。既存のネットワークアーキテクチャのまま、多数の従業員が家庭内LANからVPN(仮想プライベートネットワーク)を使ってデータセンター経由でクラウドサービスに接続すると、「遅くて仕事にならない」「つながらない」といった課題が少なからず発生している。

境界防御に代わるセキュリティ対策が必要に

 この問題に対する解決策が「ローカルブレークアウト」だ。これは各拠点や従業員の自宅からのトラフィックをデータセンターに集約するのではなく、直接インターネットに接続することで社内ネットワークやネットワーク機器への負荷集中を防ぎ、クラウドサービスをスムーズに利用できるようにする。近年、ソフトウェアによってWAN(広域ネットワーク)を制御するSD-WAN(ソフトウェア定義WAN)などのネットワーク技術を利用して実装され始めてきた。

 データセンターに全てのトラフィックを集約させる大きな理由はセキュリティだ。データセンターにファイアウォール、IPS/IDS(不正侵入検知/防止)、サンドボックス、ゲートウェイ型アンチマルウェア、URLフィルタリングといったさまざまなセキュリティ機能を導入し、そこを通るトラフィックを全て検査する構造にはメリットがある。トラフィックを漏れなく監視して脆弱(ぜいじゃく)性を突いた不正アクセスやマルウェアをブロックし、一括でセキュリティ対策を実施できる点だ。境界の内側から外側に向かうトラフィックを検査して業務に関係ないクラウドサービスやアプリケーションの利用を制御し、ガバナンスを効かせる上でも役立つ。

 だがローカルブレークアウトは、これまで適用してきたセキュリティ対策やガバナンスが欠落する危険性がある。これに対し、パフォーマンスとセキュリティの双方を確保する手段として台頭しているのが、エンドユーザーが境界の内外どちらにいるのかを問わず必要時に認証を実施する「ゼロトラスト」セキュリティだ。ネットワークへの接続時にID認証を実施し、そこから危険のない宛先だけに接続が許可される。その接続先はデータセンターでもクラウドでも、IDを起点にしてシンプルかつ安全に、必要最小限の接続を確立する。認証後は、常に自社データセンターに接続する必要はないので直接クラウドサービスにアクセス可能になる。一度認証したエンドユーザーでも信用せず、継続的にチェックしてきめ細かくアクセス制御することで、標的型攻撃でしばしば実行される侵入後の横展開(攻撃範囲の拡大)も排除できる。

金子氏 アカマイ・テクノロジーズの金子春信氏

 ゼロトラストセキュリティは、クラウドサービスの普及に伴う既存ネットワークアーキテクチャの限界を打破するだけでなく、昨今問題視されている「サプライチェーン攻撃」に備える意味でも重要だ。サプライチェーン攻撃とは、標的企業の関連企業や取引先などサプライチェーン内でセキュリティが手薄な部分を狙い、標的企業に攻撃を仕掛ける手法を指す。「企業は自社のテレワーカーだけでなく、パートナー企業など自社の従業員以外の人をいかにして安全に自社システムにアクセスさせるのかという課題を抱えている」と、アカマイ・テクノロジーズ(以下、アカマイ)のシニア・プロダクトマーケティングマネージャー金子春信氏は指摘する。ゼロトラストセキュリティによってIDに基づいた一元的なアクセス制御を実施することで、こうした課題を解消できる可能性がある。

ゼロトラストセキュリティを実現するアカマイの「Enterprise Defender」

 アカマイはゼロトラストセキュリティの考え方に基づいて、ローカルブレークアウトによるトラフィックの最適化とセキュリティの確保を両立させるサービス群を、グローバルなクラウドコンピューティングインフラ「Akamai Intelligent Edge Platform」をベースに提供している。それが「Enterprise Defender」だ。

図 図 Enterprise Defenderの概要《クリックで拡大》

 Enterprise Defenderは、ID認識型プロキシ(Identity Aware Proxy)として動作する「Enterprise Application Access」(EAA)と、セキュアWebゲートウェイ(SWG)を備える「Enterprise Threat Protector」(ETP)の主に2つのサービスから成る。いずれもAkamai Intelligent Edge Platformのクラウドプロキシ経由で提供され、シンプルで安全な接続を実現する。

 EAAはエンドユーザーの接続要求を受け付けて認証し、適切なリソースのみにアクセスを許可する役割を果たす。アカマイのクラウドとオンプレミスのシステムやIaaS(Infrastructure as a Service)に導入したコネクターとの間に暗号化された通信経路を確立することで、エンドユーザーがこの通信経路でしかアプリケーションにアクセスできないようにする。これによりセキュリティを確保でき、ID認証に基づくアクセス制御としてZTNA(ゼロトラストネットワークアクセス)を実現する。ID連携の標準言語SAML(Security Assertion Markup Language)を用いたID連携や、複数のSaaSをまたいでID認証を実行するSSO(シングルサインオン)も実装可能だ。VPNや境界防御に頼らないセキュアなローカルブレークアウトの実装に貢献するだろう。

 企業がオンプレミスのアプリケーションをIaaSに移行したり、複数のクラウドサービスを利用してマルチクラウド化したりする中で、「EAAはハブとして機能し、セキュアな接続を効率的に一元管理することに役立つ」と金子氏はメリットを語る。複数のビジネスパートナーが関わる複雑な認可処理も管理できることを評価し、大手旅行サービス企業や建材メーカーがEAAを採用しているという。

 ETPは、境界防御で実現してきたサンドボックスやインラインでのファイル検査といった複数レイヤーにまたがるチェックを、クラウドに分散配置したSWGで実現する。アカマイがCDN(コンテンツデリバリーネットワーク)やWebセキュリティサービスの提供を通して長年情報を蓄積してきた脅威インテリジェンス「Cloud Security Intelligence」(CSI)に加え、DNS脅威インテリジェンスやURL脅威インテリジェンスも活用し、新しい脅威に素早く対抗できることが特徴だ。フィッシングメール経由でのマルウェア感染や外部サーバとの不正な通信を検出し、エンドユーザーがどこにいたとしても意識させずに安全な状況を作り出すETPは、高いセキュリティ水準を求める金融企業、FinTech(金融とITの融合)企業でも採用されている。

 金子氏はEAAとETPを「ゼロトラストセキュリティの実現に不可欠な要素」と表現する。どの通信も常に信頼せずきちんと検査すると同時に、アクセス権限を管理する「Active Directory」やLDAP(Lightweight Directory Access Protocol)サーバと連携して制御可能な点も、IDをセキュリティ管理の起点にするゼロトラストセキュリティ導入に有用だ。Enterprise Defenderは他にも自社サーバを不正アクセスから守るWAF(Web Application Firewall)機能を搭載した「Kona Site Defender」(KSD)、DDoS(分散型サービス拒否)攻撃対策機能、Akamai Intelligent Edge Platformを活用してアプリケーションのパフォーマンスを向上させる「IP Application Accelerator」(IPA)など、さまざまな機能を持つ。こうしたさまざまな機能を一括して利用できることがEnterprise Defenderの強みであり、Gartnerが提唱するセキュリティとネットワークの「SASE」(Secure Access Service Edge)導入にも効力を発揮する。

インターネットを企業ネットワークとして使う時代を見据えて

 今後5G(第5世代移動体通信システム)通信が普及すれば、従業員がさまざまなデバイスからさまざまなクラウドサービスを遅延なく利用できるようになり、企業のクラウドシフトも加速するだろう。この結果、企業においてクラウドサービスの重要性が高まることは確実だ。

 「そうなると、社内ネットワークの利用頻度と通信量が減り、相対的に安価かつ高速なインターネットの方がメイン回線として使われるようになるだろう」と金子氏は予測する。セキュアなアクセス制御とサイバー攻撃からの防御を一括してインターネットで提供するEnterprise Defenderは、そのような「インターネットを企業ネットワークとして使う」次世代アーキテクチャの実現に一役買うはずだ。

 企業のシステム構造やネットワークアーキテクチャが大きく変化する中、IT部門やネットワーク管理者のタスクも変わりつつある。機器の設定や運用保守といった作業から、クラウドサービスを利用して自社の価値をどう高めるのかという戦略的な階層にシフトする可能性がある。クラウドサービス利用が当たり前になる中、アカマイはIT部門のセキュリティやネットワーク運用を肩代わりし、企業の成長を下支えする手段としてEnterprise Defenderを提案する考えだ。


提供:アカマイ・テクノロジーズ合同会社
アイティメディア営業企画/制作:TechTargetジャパン編集部/掲載内容有効期限:2020年10月31日