.png)
- ID管理
- サイバー攻撃
- ゼロトラスト
ID周りの課題がいっぱい!その背景と課題解決の捉え方
なぜ、多くの企業がID周りの課題に追われてしまうのか、その背景を紐解きながら、課題解決の捉え方を「ちょっと前向きに」お伝えします。
|
|
皆さんこんにちは。長谷川まりです。
コロナ禍で新たに注目され始めたSASE(サァシィー)。これからのセキュリティ対策の新しい選択肢となるのでしょうか?今回はSASEのメリットや機能、特長についてご紹介します。
SASEとは、「Secure Access Service Edge」とGartnerが定義した、統合的なセキュリティとネットワークの機能を提供するサービスプラットフォームです。SASEの発音はサァシィーで、サッシーだと人気芸能人の愛称になってしまいますのでご注意を!
Secure Access Service Edgeの字面から理解しようとすると、「安全なアクセスをサービスするエッジ」です。このエッジが何なのかイメージしづらいと思うので、まずはエッジコンピューティングにおけるエッジの意味合いを考えてみましょう。例えばAmazonのAlexaは末端のIoTデバイスであるEchoがセンサーとしてデータを集め、クラウドに情報を送信し、計算結果を戻してもらい、Echoからアウトプットします。人間で言えばクラウドは頭脳、IoT機器は手足の関係です。一方で、工場等の生産設備で利用されるセンサー等のIoT機器は大量のリアルタイムデータを扱い、次の作業工程にフィードバックするため、遅延を許容できません。熱い鍋を素手で触った時に脊髄反射で手を引っ込める位のスピード感が求められるため、いちいち脳からの命令を待っていられないわけです。そこで、IoT機器自体に頭脳を持たせたり、データを集約して計算するセンターも工場単位で分散させるなどして、なるべくエッジに処理を寄せたものをエッジコンピューティングと呼びます。
SASEのエッジもこれと同様で、世界各地の拠点ネットワーク内の端末や、テレワーク中のモバイルデバイス、またはIoT機器等を中央の自社データセンターにわざわざ集約して処理するのではなく、エッジ側に一番近いクラウドにブレークアウトさせて処理することで、スピーディに統一的なセキュリティとネットワークサービスを提供します。エッジにあたるクラウドはPOP(Point of Presence)と呼ばれ、POP同士は中枢の頭脳(コントロールプレーン)に接続されており、コントロールプレーンで管理されたポリシーが全世界のPOPに反映されます。大手SASEプロバイダは、POPを世界各地の主要都市に展開しているので、もし世界中に拠点を展開していても、最寄りのPOPで統一されたセキュリティとネットワークのサービスを受けられます。世界に展開するファストフードのチェーン店が、異国でも同じ味で提供してくれるという安心さに、ちょっと似ていますね。
|
|
SASEの対極にあるのが、現在主流のハブ・アンド・スポーク型です。大型のセキュリティ機器を中央のハブにあたるデータセンターに積み上げ、すべての端末のインターネットに向けたトラフィックを閉域網やVPNを通じて集約させ、統合的なセキュリティを提供するモデルです。一極集中を避けるため、ある程度のユーザー規模の拠点には拠点側にUTMを導入する場合もありますが、セキュリティ機器が分散すればそれだけ管理ポイントが増えてしまうため、どちらも一長一短あると言えます。ハブ・アンド・スポークモデルを採用する組織は、ほぼ漏れなくコロナ禍において下記のような課題を経験したのではないでしょうか。
上記の課題に対して、組織の経営層は下記の選択を行いました。
1.を選択しても、今後再び緊急事態宣言が出て長期的な全社テレワークが実施されたり、別のパンデミックや大災害が起きる恐れもあります。また、オンプレミスからクラウドへのIT資産の移動は進んでいくため、セキュリティ機器だけをデータセンターに残して自社で運用し続ける意義は少なくなっていきます。次の機器更新時にSASEに移行できるよう、今のうちからSASEへのロードマップを作成しておくことをおすすめします。
2.はあくまで一時的な措置なので、早急に適切なセキュリティ水準を回復しなければなりません。一方で、コロナによって強制的に始まった今の働き方はデジタルトランスフォーメーション実現につなげるチャンスでもあります。働き方を元に戻すのではなく、IT活用をさらに進化させ競争力を高めましょう。SASEなら新しいテクノロジーを駆使した働き方とビジネスに適合したセキュリティとネットワークを提供してくれます。
ではSASEでできることは何でしょう?以下に主要な機能と特徴をご紹介します。
| 機能 | 説明 | ||
| SSLインスペクション | SSL/TLSで暗号化された通信をデコードし、後続のセキュリティコンポーネントがスキャン可能な状態にします。 | ||
| SWG(セキュアWebゲートウェイ) | WebブラウザやWebアプリケーションによる接続先や、httpの通信に含まれる内容から脅威の度合いをリアルタイムに判断し、接続を制御します。フィッシングメールや標的型メール、またはWebサイトの改ざんによるWebサイト経由のマルウェア感染を防止したり、内部に侵入したマルウェアの不正通信をブロックします。ほぼ全てのSaaSがWebベースでブラウザから利用できるようになっている現在、SWGは必須のアクセスセキュリティと言え、次のような機能が含まれます。 | ||
| 1 | URL、DNSのレピュテーションによる接続制御 | URLやドメイン名の評判をもとにアクセス制御するWebフィルター | |
| 2 | URLカテゴリフィルター | URLのカテゴリDBをもとに接続を制御 | |
| 3 | Webコンテンツの脅威判定 | Webコンテンツ内にクロスサイトスクリプティングなどの攻撃が仕込まれていないか、などの評価をリアルタイムに行い、脅威の度合いを評価してアクセス制御 | |
| 4 | サンドボックス | Web経由でダウンロードしたファイルの挙動をサンドボックスで検証 | |
| 5 | ブラウザ・アイソレーション | コンテンツを実行するブラウザをクラウド上に展開し、端末には実行後の画面ストリームや無害なコンテンツを転送して利用すること | |
| NGFW(次世代ファイアウォール) | 従来型のネットワークレイヤのFW機能に加え、アプリケーションレベルでの制御機能のほか、アンチウイルス、URLフィルタリングなどのセキュリティ機能をオプションで備えます。 | ||
| CASB(Cloud Access Security Broker) | クラウドの利用状況を把握し、セキュリティポリシーに沿った利用ができるようにクラウドでのユーザーの振る舞いに対して様々な制御を実施します。 | ||
| コンプライアンスチェック(CSPM) | 個人情報保護法、GDPRなどの域外適用される海外の規制、PCI DSSなどの業界のコンプライアンス、ISMSなどのセキュリティ標準等、社内のセキュリティポリシーにクラウドの利用が準拠しているかを監視し、違反している場合はアラートを上げます。 | ||
| SDP(ソフトウェア・ディファインド・ペリメタ) | ボトルネックになりがち、かつ攻撃の入り口にされやすいVPNの代替として、内部ネットワークのアプリケーションやデータへのより安全なアクセスを提供します。 | ||
| DLP | 通信データやクラウドストレージに保存されたデータに含まれるクレジットカード番号やマイナンバー番号などの機微情報を発見し、通信をブロックしたり、アラートを上げます。 | ||
上記で上げた機能は、新たなテクノロジーが登場するたびに今後も増えていくと思われます。上記でご紹介していないものを含め、Gartnerの「The Future of Network Security Is in the Cloud」で紹介されていた機能は数えたところ24ありました。
また、SASEは運用面、ネットワークの拡張性という面で、優れた特長があります。
SASEは、どの拠点においても同じポリシーで、同じセキュリティ機能を安定的に供給できることが期待される次世代のサービスです。コロナ禍での急激な環境変化により、生産性維持とネットワークセキュリティの在り方が問われる中、その命題解決のための選択肢の1つとして注目され始めました。
これまでアプリケーションやデータがクラウド側に移行されてきたように、未来のITは、セキュリティやネットワークもクラウドに移行され、最終的にユーザー側にはデバイスとインターネットに接続するための回線だけになるようなイメージが実現できる時代になりました。今後の動向や実績に、注目していきたいと思います。
長谷川 まり
|
|
なぜ、多くの企業がID周りの課題に追われてしまうのか、その背景を紐解きながら、課題解決の捉え方を「ちょっと前向きに」お伝えします。
15年ぶりのJ-SOX改訂を背景に、企業で実行されているバッチ処理にセキュリティ面での統制がさらに強く求められるようになるかもしれません。本記事で解説します。
従来のパッケージ版に加え、クラウド版もリリースしたiDoperation。高い可用性が求められるサーバーの特権ID管理もSaaSで利用できるようになったことで、今後ますます需要が増えそうです。
