セキュリティー機能だけでは
SASEは実現できない
株式会社インターネットイニシアティブ
サービスプロダクト推進本部
営業推進部
ネットワークソリューション課
川口 萌恵氏
コロナ禍や働き方改革などをきっかけに、企業を取り巻く環境は大きく変化した。まずリモートワークが浸透し、在宅や時短勤務など柔軟な働き方が可能になった。クラウドサービスの利用も拡大し、Web会議やスケジュール共有、ファイル保管などのサービスは業務に欠かせないものになっている。
これに伴い、インターネットトラフィックが格段に増加し、送信元・アクセス先ともに企業の“境界外”とつながることが多くなった。「リスクに晒される可能性が高まったことから、すべての通信を信用せず、安全性を都度検証することで脅威から守る『ゼロトラスト』の考え方が浸透しています」とインターネットイニシアティブ(以下、IIJ)の川口 萌恵氏は話す。
このゼロトラストを実現する重要なキーワードが「SASE(Secure Access Service Edge)」だ。IT調査会社の米ガートナー社が2019年に提唱した概念で、個々のセキュリティー機能やネットワーク機能を、クラウド上からトータルで提供できる仕組みのことだ。従来の境界型防御の限界を克服し、クラウド利用を前提にしたIT環境をセキュアかつ柔軟に運用できるようになる。
SASEを実現するための要素は多岐にわたる。代表的な機能としては、クラウド型のファイアウオール機能「FWaaS」、ユーザーやデバイスの信頼性を都度判断してアクセスを制御する「ZTNA」、URLフィルタリングやアンチウイルスにより安全なWebアクセスを実現する「SWG」、クラウドサービスの利用状況を可視化・制御する「CASB」、柔軟なネットワーク設計やトラフィックコントロールを実現する「SD-WAN」などがある。
単一の製品だけ導入してもSASEは実現できない。かといってあらゆる機能すべてを実装するのはハードルが高い。「自社にとって必要な機能はどれなのかを考え、それが自社のコスト感に合うかどうか、そして導入後もしっかり運用できるかどうかをトータルで考える必要があります」と川口氏は指摘する。
機能・コスト・運用のバランスを考える上で、IIJが重要だと考えるのが拠点間通信を担うSD-WANだ。SD-WANとはソフトウエアを用いてWANを仮想的に構築・管理する技術のこと。ソフトウエアによって一元的に制御・管理できるため、柔軟なネットワーク構成やトラフィック制御が可能になる。「WANはIT環境の基盤であり、実は“足し引き”できる要素を多く持っています。機能・コスト・運用のバランスを考えてSD-WANを選定し、『SASE向けネットワーク』を実現することが重要です」と川口氏は説く。
