ネットワークセキュリティの新しいフレームワーク

最新の分散型ネットワークとの接続を維持

インターネットは、大規模で分散型ネットワークになるように設計されていました。このため、当然のことながら復元力があり、コンピューター、サーバー、およびその他のデバイスが必要に応じてデータを接続およびルーティングできます。1 つのデバイス (またはデバイスのグループ) で障害が発生したり、インターネットから切断したりすると、通常、ネットワークの残りの動作方法への影響はほとんどありません。

その本質的な回復力にもかかわらず、インターネットは、高速または利用可能な接続を保証できるような方法で構築されていませんでした。また、セキュリティのフレームワークも欠けていたため、データスヌーピング、悪意のあるアクティビティ、その他のサイバー攻撃からデバイスを保護するための設備が整っていませんでした。

その結果、従来のネットワークインフラストラクチャは「城と堀」モデルの後にパターン化されました。このモデルでは、アプリケーションとデータを一元化されたオンプレミスのデータセンター(城)に保存し、ハードウェアファイアウォール、DDoSアプライアンス、その他のセキュリティデバイス(堀)の複雑な構成により、外部の脅威から守ることができます。許可されたユーザーは、堀を橋渡しする跳ね橋として機能するVPNを介して城にアクセスできました。

城と堀のアプローチにより、組織は基本的なレベルでネットワークを保護することができましたが、完璧には程遠いものでした。克服しなければならなかったいくつかのハードルがありました:

多くの企業にとって、レガシーネットワークインフラストラクチャの簡素化と強化は、必要ですが大変な作業でした。それが、デジタルトランスフォーメーションによってさらに難しくなりました。

クラウドは柔軟性をもたらすと同時に、さらに多くの問題をもたらします。

テクノロジー情勢の変革により、ネットワークセキュリティはますます困難になっています。SaaSおよびパブリッククラウドプロバイダーにより、組織はアプリケーションとデータをオンプレミスのデータセンターから移動でき、スマートフォンやその他のモバイルデバイスにより、従業員は遠隔地からネットワークに接続できるようになりました。

クラウドベースのサービスの採用により、オンプレミスのデータセンターが分散化され、組織はこれまで以上に柔軟性と俊敏性を得ることができました。ただし、機密性の高い企業リソースが単一の「城」内に存在するのではなく、複数の場所に分散していることも意味し、統一されたセキュリティ境界を確立することは困難でした。

このようなハイブリッド環境の保護は、予想以上に困難であることが判明しました。組織は、従業員がどこからでも安全かつ便利にネットワークリソースにアクセスできるようにしながら、オンプレミスとクラウドベースのアプリケーションとデータに個別のセキュリティソリューションを採用する必要がありました。

その結果、組織はシングルポイントセキュリティソリューションの複雑な一時しのぎのための対策を構成および維持することを余儀なくされましたが、そのほとんどはシームレスに統合するように設計されていませんでした。これにより、セキュリティチームにとってさらに多くの課題が発生しました。

かつて企業ネットワークの構成、保護、および保守を比較的簡単にした城と堀のモデルは、今日の分散型ハイブリッドおよびクラウドベースの環境との互換性がなくなりました。この移行はすでに起こっていましたが、2020年はこのプロセスの急速な加速を余儀なくされました。従業員はかつてないほど分散して遠隔地にあり、さまざまな個人用デバイスを介して企業リソースにアクセスすることに慣れています。企業は、城ではなくインターネット上で従業員、サーバー、およびアプリケーションに対応する必要性をますます認識しています。

ネットワークセキュリティの新しいフレームワーク

旧式のネットワークセキュリティモデルが脅威の進化に対応できず、最新のネットワークアーキテクチャが複雑化する中、組織では新しいクラウドベースのセキュリティモデルであるセキュアアクセスサービスエッジ(SASE)への移行が始まっています。

2019年にGartnerがはじめて提唱したSASEは、ソフトウェア定義の広域ネットワークと、セキュアWebゲートウェイ(SWG)、クラウドアクセスセキュリティブローカー(CASB)、クラウドファイアウォール(FWaaS)、ゼロトラストネットワークアクセスポリシー(ZTNA)などのコアネットワークセキュリティサービスを組み合わせて、ネットワークエッジで提供するというものです。

SASEは、無力なハードウェアアプライアンスに依存したりサイロ化されたセキュリティソリューションを寄せ集めて使ったりしない、ネットワークセキュリティに対する合理的なアプローチです。複雑なバックホールをインターネットエッジに置き換えるため、組織はシングルパスでトラフィックのルーティング、検査、セキュリティ保護が可能になります。SASEは、ゼロトラストセキュリティの概念(すべてのアプリケーションのすべてのユーザーが常に認証されなければならないという考え方)をさらに追求しています。SASEはゼロトラストアクセスポリシーとネットワークレベルの脅威保護を組み合わせることで、レガシーVPN、ハードウェアファイアウォール、DDoS対策アプライアンスの必要性を無くし、組織がネットワークセキュリティサービスを統合できるようにし、セキュリティチームがネットワークセキュリティ構成をより可視化して制御できるようにします。

実際に、SASEの実装はベンダーや企業ごとに大幅に異なることもあります。ただ大抵のSASEソリューションは、オンプレミスおよびハイブリッドなネットワークセキュリティ構成よりも、以下のような点が優れていると言えるでしょう。

SASEは、ネットワークセキュリティを次のレベル、つまり、サイロ化されたネットワークとセキュリティサービスを単一のクラウドベースのプラットフォームに統合し、サービスとして提供できるレベルへと引き上げます。

このアプローチを正しく実装すると、企業は、セキュリティやパフォーマンスを損なうことなく、企業ネットワークをグローバルに分散し、一貫して接続したままにすることができます。

Cloudflare Oneは、アプライアンスとWANテクノロジーの寄せ集めを、1つのユーザーインターフェイスでセキュリティ、パフォーマンス、制御を提供する単一のネットワークに換えたいという現代企業のニーズに応えて登場した、クラウドベースの包括的な「サービスとしてのネットワーク(NaaS)」ソリューションです。ネットワークはすべてのアプリケーションに共通します。そこでCloudflare Oneは、ネットワークに制御機能を組み込むことにより、アプリケーションが新しいかレガシーか、実行がオンプレミスかクラウド上か、配信元が独自のインフラストラクチャかマルチテナントSaaSプロバイダーかにかかわらず、ポリシーの一貫性を保証します。大きなグローバルプレゼンスを持つCloudflareでは、トラフィックの保護、ルーティング、フィルタリングは、リアルタイムインターネットインテリジェンスを基に最適化されたバックボーンで行われます。インターネットインテリジェンスによって、最新脅威からの保護と、インターネットの不調や障害を避けたトラフィックルーティングが実現します。

ネットワークセキュリティの最新フレームワークSASEの詳細については、ネットワークインフラの安全性確保と合理化のためのガイドをご覧ください。

この記事は、IT企業の意思決定層のための、最新のトレンドとトピックをお届けするシリーズです。

このトピックを深く掘りさげてみましょう。

ネットワークインフラの安全性と合理化のためのガイドで、ネットワークセキュリティの最新フレームワークSASEについて知りましょう。

ガイドを入手する