ネットワークセキュリティの新たな枠組み
分散型現代ネットワークの接続を維持
インターネットは大規模な分散型ネットワークとして設計されたもので、当然のことながら復元力があり、コンピューター、サーバー、その他のデバイスが必要に応じて接続しデータをルーティングできるようになっています。1つのデバイス (またはデバイス群) で障害が発生したりインターネットとの接続が切れたりしても、ネットワークの残りの部分の機能にはほとんど影響がないのが通常です。
そうした本来の復元力はあるものの、インターネットは接続の高速性や可用性を保証できるような方法で構築されませんでした。セキュリティのフレームワークも欠けていたため、データスヌーピングや悪意のあるアクティビティ、その他のサイバー攻撃からデバイスを保護する能力が不十分でした。
その結果、従来のネットワークインフラストラクチャは「城と堀」モデルに倣って作られました。このモデルでは、アプリケーションとデータをオンプレミスのデータセンター(城)に集中保存し、ハードウェアファイアウォール、DDoS対策アプライアンス、その他のセキュリティデバイスを組み合わせた複雑な構成(堀)によって、城を外部の脅威から守ります。権限を持ったユーザーがVPN経由で城へアクセスします。VPNが堀の上に渡された跳ね橋として機能したわけです。
「城と堀」のアプローチにより、組織は基本的なレベルでネットワークを保護することはできましたが、完璧な防御には程遠く、克服しなければならないハードルがいくつかありました。
複雑な構成とメンテナンス :オンプレミスのセキュリティ機器は、構成するのも新たな脅威に対して防御を逐一更新するのも高コストでした。そのため、セキュリティ対策チームは、既存システムの脆弱性を悪用する新手口を見つけては襲ってくる攻撃者の後追いを余儀なくされました。
パフォーマンスのトレードオフ :プライベートネットワークにリモートで接続する必要がある従業員は、VPN経由で接続するのが通常でしたが、サーバー間の地理的距離や輻輳が原因でパフォーマンスははかばかしくありませんでした。
セキュリティの脆弱性 :ネットワーク境界をすり抜けた人は誰でも企業リソースに自由にアクセスできたため、社内外でのデータ漏えいの脅威を防ぐことは困難でした。
多くの企業にとって、レガシーネットワークインフラストラクチャの簡素化と強化は、必要ですが大変な作業でした。それが、デジタルトランスフォーメーションによってさらに難しくなりました。
クラウドは柔軟性を高める一方、新たな問題ももたらす
テクノロジーの進歩により、ネットワークセキュリティはますます骨の折れる仕事になっています。SaaSやパブリッククラウドプロバイダーの登場により、組織はアプリケーションとデータをオンプレミスのデータセンターから他所へ移行できるようになりました。スマートフォンやその他のモバイルデバイスが普及して、従業員は遠隔地からネットワークに接続することが増えています。
クラウドベースのサービスの採用により、オンプレミスのデータセンターが分散化され、組織はかつてない柔軟性と俊敏性を得ることができました。しかし、これは同時に、機密性の高い企業リソースがもはや単一の「城」内には存在せず、複数の場所に分散しているということを意味しており、統合されたセキュリティ境界の確立が困難になりました。
この種のハイブリッド環境の保護は、予想以上に困難であることが判明しました。組織は、オンプレミスとクラウドベースのアプリケーションとデータに個別のセキュリティソリューションを採用し、しかも従業員がどこからでも安全かつ便利にネットワークリソースにアクセスできるようにしなければならなかったからです。
その結果、組織はシングルポイントのセキュリティソリューションを寄せ集めて構成せざるを得ず、そうして複雑化したものをメンテナンスしなければなりませんでした。シングルポイントのセキュリティソリューションの大半は、シームレスに統合するように設計されていなかったのです。これにより、セキュリティチームにとってさらに多くの課題が発生しました。
内部リソースの濫費:ハイブリッド環境の保護は多くの場合、セキュリティチームにとって面倒で時間のかかる作業です。オンプレミスの機器はクラウドベースのアプリケーションとサービスを保護できないため、企業が内部のツールとリソースをすべて保護するには個別のセキュリティシステムが必要となり、コスト、時間、労力が余計にかかります。
複数のベンダー :クラウドベースのネットワークセキュリティは、 クラウドファイアウォール、セキュアWeb ゲートウェイ(SWG)、クラウドアクセスセキュリティブローカー(CASB)など可動部分が多く、1社ですべてのセキュリティサービスを提供するベンダーを見つけることは困難です。ほとんどの企業にとって、複数ベンダーからサービスを調達することはハイブリッド環境を保護するために必要ですが、それによってコストや複雑さが増す可能性があります。
セキュリティギャップ:複数のセキュリティプロバイダーと連携する場合、ネットワークのすべての部分が完全に保護され、長引くセキュリティギャップがないようにするのは必ずしも容易ではありません。特に、ネットワークセキュリティインフラストラクチャの監視とメンテナンスを「一括」して行えないのが難点です。また、リモートワークの性質上、従業員は個人のデバイスを使用して企業ネットワークに接続することが多く、セキュリティ上のリスクが高まります。
企業ネットワークの構成、保護、保守はかつては「城と堀」のモデルに従っていて比較的シンプルでしたが、このモデルは、分散型でハイブリッドかつクラウドベースの現在の環境にはもはや適合しません。こうした変化はすでに起こっていましたが、2020年はそれが否応なく急加速しました。従業員はかつてないほど分散してリモートワークするようになり、さまざまな個人用デバイスを介して企業リソースにアクセスすることに慣れています。企業は、従業員、サーバー、アプリケーションが城内でなくインターネット上にあることを受け入れて対応する必要性をますます強く認識しています。
ネットワークセキュリティの新たな枠組み
旧式のネットワークセキュリティモデルが進化する脅威に対応できず、最新のネットワークアーキテクチャが複雑化する中、組織では新しいクラウドベースのセキュリティモデルであるセキュアアクセスサービスエッジ(SASE)への移行が始まっています。
2019年にGartnerがはじめて提唱したSASEは、ソフトウェア定義の広域ネットワークと、セキュアWebゲートウェイ(SWG)、クラウドアクセスセキュリティブローカー(CASB)、クラウドファイアウォール(FWaaS)、ゼロトラストネットワークアクセスポリシー(ZTNA)などのコアネットワークセキュリティサービスを組み合わせて、ネットワークエッジで提供するというものです。
SASEは、無力なハードウェアアプライアンスに依存したりサイロ化されたセキュリティソリューションを寄せ集めて使ったりしない、ネットワークセキュリティに対する合理的なアプローチです。複雑なバックホールをインターネットエッジに置き換えるため、組織はシングルパスでトラフィックのルーティング、検査、セキュリティ保護が可能になります。SASEは、ゼロトラストセキュリティの概念(すべてのアプリケーションのすべてのユーザーが常に認証されなければならないという考え方)をさらに追求しています。SASEはゼロトラストアクセスポリシーとネットワークレベルの脅威保護を組み合わせることで、レガシーVPN、ハードウェアファイアウォール、DDoS対策アプライアンスの必要性を無くし、組織がネットワークセキュリティサービスを統合できるようにし、セキュリティチームがネットワークセキュリティ構成をより可視化して制御できるようにします。
実際のSASEの実装はベンダーや企業ごとに大きく異なるかもしれませんが、大抵のSASEソリューションは、オンプレミスやハイブリッドのネットワークセキュリティ構成より以下の点で優れています。
ベンダーの統合:複数のベンダーやポイントソリューションを扱うのではなく、単一のSASEプロバイダーから包括的なネットワーク保護を受けることができ、サービス間の不要なコストや複雑な構成を排除できます。
統合されたセキュリティ境界:SASEはこれらのサービスを、ネットワークエッジ(エンドユーザーに地理的に近いサーバーおよびデバイスのグローバルネットワーク)で提供することで、世界各地のアプリケーション、データ、ユーザーの安全を確保できます。
可視性の向上:SASEは、ネットワークとネットワークセキュリティサービスを統合し、単一のクラウドベースのプラットフォームから提供することで、サービス間のセキュリティギャップを排除します。IT・セキュリティチームにとっては、ネットワークアクティビティの可視性が高まり、クラウド移行のプロセスもシンプルになります。
SASEは、ネットワークセキュリティを次のレベル、つまり、サイロ化されたネットワークとセキュリティサービスを単一のクラウドベースのプラットフォームに統合し、サービスとして提供できるレベルへと引き上げます。
このアプローチを正しく実装すると、企業は、セキュリティやパフォーマンスを損なうことなく、企業ネットワークをグローバルに分散した状態で接続の一貫性を保つことができます。
Cloudflare Oneは、アプライアンスとWANテクノロジーの寄せ集めを、1つのユーザーインターフェイスでセキュリティ、パフォーマンス、制御を提供する単一のネットワークに換えたいという現代企業のニーズに応えて登場した、クラウドベースの包括的な「サービスとしてのネットワーク(NaaS)」ソリューションです。ネットワークはすべてのアプリケーションに共通します。そこでCloudflare Oneは、ネットワークに制御機能を組み込むことにより、アプリケーションが新しいかレガシーか、実行がオンプレミスかクラウド上か、配信元が独自のインフラストラクチャかマルチテナントSaaSプロバイダーかにかかわらず、ポリシーの一貫性を保証します。大きなグローバルプレゼンスを持つCloudflareでは、トラフィックの保護、ルーティング、フィルタリングは、リアルタイムインターネットインテリジェンスを基に最適化されたバックボーンで行われます。インターネットインテリジェンスによって、最新脅威からの保護と、インターネットの不調や障害を避けたトラフィックルーティングが実現します。
この記事は、技術関連の意思決定者に影響を及ぼす最新のトレンドとトピックについてお伝えするシリーズの一環です。
記事の要点
この記事を読めば、以下が理解できます。
「城と堀」のセキュリティアプローチに関連する障壁
クラウドがもたらす複雑性
SASEの主な長所
SASEの将来性
関連リソース
このトピックを深く掘りさげてみましょう。
ネットワークセキュリティの最新フレームワークSASEの詳細については、ネットワークインフラの安全性確保と合理化のためのガイドをご覧ください。