SASEへの移行を加速
ネットワークの変革にアプローチしやすくする
柔軟性と拡張性のあるネットワークの構築
パブリックインターネットが、新しい企業ネットワークになりつつあります。この変化に伴って、ネットワークセキュリティと接続性を根本的に考え直す必要があります。Secure Access Service Edge (SASE)は、変化するセキュリティと接続の問題への対応に使われるクラウドベースのセキュリティモデルです。
SASEで、セキュリティとネットワーキングに対する組織のアプローチがガラリと変わることが往々にしてあります。SASEは、ファイアウォール、ゼロトラストネットワークアクセス、セキュアWebゲートウェイ、ソフトウェア定義型WANなど、セキュリティとネットワーキングのさまざまなサービスをクラウドベースの単一プラットフォーム上で組み合わせます。SASEを導入すれば、企業のデータセンタ�ーはもはやネットワーク制御の中心ではなくなります。制御はクラウドエッジに移り、居場所を問わずユーザーにより近くなります。
Gartnerによると、SASEセキュリティモデルの実装に何年もかかる可能性があり、既存プロバイダーの統合や寄せ集めのソリューションのまとめ方に関する決定が必要になります。各組織にとって正しいステップと改善の順序を見極める作業には、多くの時間と多数のステークホルダーの関与が必要になる可能性があります。
この計画・合意形成活動は大変そうに見えることがありますし、小さいながらも重要なステップを組織がなかなか踏み出せない原因になることもしばしばあります。ネットワーク変革に乗り遅れると、現在および将来にわたって、データ損失、内部脅威、ネットワーク攻撃のリスクが高まります。
包括的なSASEアーキテクチャの統合は骨の折れる作業ですが、やる価値はあります。セキュリティギャップを閉じて労働の未来に備えるのが最終目標です。
プロセスをシンプルにするため、ここでは組織がSASE導入にあたって問うべき4つの重要な質問を取り上げます。
SASE採用をシンプルにする4つの質問
1. 図示する:自組織のネットワークトラフィックの現状はどのようなものか?
ネットワークトラフィックと、ユーザー、オフィス、データセンター、最もクリティカルなビジネスアプリケーションの間のトラフィックの流れをマップ化します。図が完成したら、遅延や複雑さが顕著な接続を1~10で評価し、その数値を書き込みます。ビジネスにとってもはや合理的でなくなったバックホーリングやVPN、MPLS回路、その他のルーティング関連の決定と相関関係があるかもしれません。
このマップ化は、プロセス初期にどのような変更をすべきかを決め、VPN、MPLS回線、ファイアウォール経由のデータバックホーリングを回避する方法を見出すのに役立ちます。それらのレガシーソリューションの「トロンボーン効果」によって遅延が追加されたり、流れが必要以上に複雑になったりしますので、マップで世界のどこでトラフィックが処理されているか、どこにユーザーがいるかを把握すれば、素早く改善する方法を明らかにできます。
2. リスト化しランキングする:内部脅威のリスクが最大なのはどこか?
SASEモデルは、IDとポスチャーのリアルタイム評価に基づいてリソースへのアクセスを制限するゼロトラストセキュリティ戦略が出発点で��す。主要なユーザーグループをリスト化し、サービスに対する特権的なアクセスの程度に従ってランキングすることにより、どのユーザーにリソースへの過剰なアクセス許可が与えられているかを評価します。まずは、リストの上位に入ったグループに焦点を当てるとよいでしょう。
状況が把握しやすくなる質問の例:
開発者は、再認証なしで、SSHで長時間インフラストラクチャにアクセスできるか?
請負業者が許されているのは、限定的な時間制のアクセス権か、一律のアクセス権か?
エグゼクティブは、アプリケーションに対してリスクになり得るスーパー管理者権限を持っているか?
3. タイミングを考える:旧来のネットワーキングやネットワークセキュリティの契約満了はいつか?
次のステップを計画する際は、レガシーソリューションの契約満了日を特定することが、SASEへの自然な移行を促し、コストを管理する上で役立ちます。DDoS攻撃対策やファイアウォールのハードウェアを交換する時期が来ていたり、MPLS契約の更新時期が近づいていたりする場合は、大きな変更を実行する絶好の機会かもしれません。新しい支社の開設に合わせたり、M&Aをきっかけに移行を計画するのも、変革・統合の自然なタイミングと言えるでしょう。
レガシー製品の契約が満了するのに移行準備ができていない場合は、短期の契約更新をして中期的なオプションを残しておくことを検討しましょう。
4. マイルストーンを定める:対象部署にとって、早く成果が出せる変更は何か?
まずは小規模で始め、徐々に弾みをつけてステークホルダーの支持を得、後の規模の大きなプロジェクトに賛同を得る可能性を高めるのがよいでしょう。そのために、SASEパイロットプログラムの開始を検討しましょう。
パイロットはどこで始めるべきでしょうか。どのチーム、どのビジネスユニット、どのアプリケーションが移行のパイロットプロジェクトになり得るか、理想的には実装を合理化するのに十分な柔軟性を持たせて実施できそうなところを調べます。チームをお客様として扱い、生産性の問題解決を請け負うつもりで検討してください。
どこで開始するかの決定には、次のような要因があります。
変化に対する柔軟性と抵抗感の無さ — たとえば、セキュリティチームはSASE実装��の最初の顧客として最適かもしれません。
攻撃のリスクが高い役割 — 貴重なデータにアクセスする開発者など
移行の潜在的スピード — 請負業者はたいてい、アクセスのニーズが限定的なユーザータイプで、移行がシンプルになる可能性があります。
SASEに関する協議では技術的問題が中心になるのは当然ですが、人、プロセス、予算に関わる変革も成功に欠かせない柱であることを、肝に銘じておきましょう。
組織のニーズを十分に理解した後は、ネットワーク変革途上の現在地で落ち合って、ネットワークオンランプ、ID管理、エンドポイントセキュリティ、ログストレージ、その他のネットワークセキュリティ関連機能の既存ツールを統合してくれるベンダーを探します。多くのベンダーは、「オールインワン」プラットフォームを薦めておきながら、実際は個別のポイント製品をいくつか統合するよう求めます。SASEへの移行は、完全統合型のソリューションを提供してくれるベンダーを選ぶと比較的容易です。整合性のあるクラウドベースの配信モデルとサービスアーキテクチャを持つベンダーが理想的です。
利用開始
Cloudflare Oneは、お客様が自社の企業ネットワークをインターネットのエッジで運営できるようにする包括的なゼロトラストNaaS(サービスとしてのネットワーク)です。Cloudflare Oneは広範なグローバルリーチのおかげで、場所を問わず、お客様の従業員や職場、ワークロードに高い安全性と優れたパフォーマンス、接続の信頼性をもたらします。そして、リクエストのシングルパス検査によってトラフィックのバックホーリングを回避できます。
シンプルで直感的に把握しやすく一元的なコントロールプレーンにより、ネットワーキングとセキュリティのポロシーを一か所で設定し、全体に適用することができます。Cloudflare Oneは、最高の長期的成果が得られるようにアプローチを調整しやすく、既存のインフラと共存するソリューションの実装が容易です。
この記事は、技術関連の意思決定者に影響を及ぼす最新のトレンドとトピックについてお伝えするシリーズの一環です。
記事の要点
この記事を読めば、以下が理解できます��。
SASEとは何か、なぜ重要なのか
SASEを導入しない企業は何が問題なのか
評価と次ステップの見極めに役立つ4つの質問
プロセスをシンプルにするためのリソース
関連リソース
このトピックを深く掘りさげてみましょう。
Cloudflare Oneと他のSASEベンダー8社の比較は、EMAの「Availability and Buying Options in the Emerging SASE Market」レポートでご覧いただけます。
Get the report