テレワークやクラウドの利用拡大に伴い、ネットワーク機能とネットワークセキュリティ機能を一つにまとめた新たなフレームワーク「SASE」が注目されています。本記事では、これからSASE製品の導入・検討を進める企業の担当者に向けて、製品の選定ポイントや導入~移行時の注意点、陥りがちな問題、考慮すべきポイントなどをご紹介します。
コーポレートIT環境をとりまく課題と注目されるSASE
テレワークやクラウドの利用拡大に伴い、企業で使われるネットワークのアクセス先とアクセス元は非常に多様化しました。アクセス先は、IaaS/SaaSやインターネット、データセンターなど多岐にわたり、アクセス元も、さまざまな場所で、さまざまなデバイスから、さまざまな人がアクセスしています。
それらのアクセス先ごとに、必要なセキュリティ対策は異なります。しかし、それぞれに特化したシステムやサービスを導入すればするほど、管理は複雑化し潜在的なリスクは増幅してしまいます。
もし、ネットワーク、基盤、サーバー、オンプレミス、クラウドが、それぞれに分離していて、さまざまなシステムが乱立してしまうと、せっかくそれぞれのシステムがデータを保有していても連携できなくなってしまいます。個別の対策を行った結果、“全体最適ではない状態”が進むと利便性や生産性は低下し、情報漏洩リスクや運用管理コストが増幅してしまうケースは少なくありません。
そこで注目されているのが、ガートナー社が提唱している「SASE(Secure Access Service Edge)」です。SASEとは、ネットワーク機能とネットワークセキュリティ機能を一つにまとめた新たなフレームワークです。ベンダーや製品の統合、機能やポリシーの統合、そして運用や管理の統合などを行うことで、ネットワークセキュリティサービスによるコストと複雑さを軽減することができるため、多くの企業がSASE製品の導入を行っています。
以前は、企業がSASE製品を導入するきっかけの多くが「コロナ禍でリモートアクセスを導入したい」、「リモートアクセスにより攻撃されるリスクが高まったのでVPN機器の脆弱性を対策したい」、「ネットワーク帯域の問題でローカルブレークアウトしたい」といったものでした。しかし、最近は同業他社の情報漏洩タイミングで自社の見直しを行うケースや、次期インフラ構想の策定支援の一環、あるいは組織全体・グローバルも含めたセキュリティ・カバナンス強化を目的に導入する企業が増えています。また、企業や組織が従業員によるクラウドサービスの利用を可視化・制御して、一括管理するためのソリューション「CASB(Cloud Access Security Broker)」を導入するタイミングに合わせてSASE製品を導入するケースも増えてきています。
自社にマッチしたSASE製品を選ぶ5つのポイント
では、たくさんあるSASE製品の中から自社に合った製品を選択するには、どのようなポイントに気を付ければよいのでしょうか? 次の5つのポイントに沿って確認していきましょう。
- 機能だけではなく、要件と実現手段による整理
- 移行にあたり、要件や環境を整理
- 海外拠点への対応状況
- SASEがベストの選択か
- POC、POVの実施
ポイント1. 機能だけではなく、要件と実現手段による整理
本当に自社にマッチするソリューションを選択するにはどうしたらよいのでしょうか?
ソリューションを導入した後、「“求めていた機能”自体はあるのに、やりたいことが実現できなかった」という失敗をしないためには、機能だけではなく、要件と実現手段による整理を行うことが重要です。
機能ベースの整理
上記のように、検討中のソリューションや製品を表にして、「○○○機能があるか」という観点で○×評価することはオススメできません。機能はあっても製品ごとに設定できるレベルや方式は異なります。表面的な機能で比較してしまうと、導入後に「機能はあるけれど、想定していた挙動と異なる」、「制限事項に該当してしまって、自社のケースでは使用できなかった」などの失敗につながります。
課題や要件ベースの整理
本当にやりたいことを実現できるソリューションを見極めるには、上記のように、まずは実現したいことや抱えている課題を挙げ、「この製品はどのような手法で、それを実現できるのか」という観点で整理しましょう。課題、環境要件、移行要件などの条件をベースに比較することで、製品ごとの差が可視化されます。自社の課題や解決方法と直結した比較ができるのもメリットです。この整理を社内で行うのが難しい場合は、外部のコンサルティングサービスなどを利用して実施するのもおすすめです。
ポイント2. 移行にあたり、要件や環境を整理する
オンプレミスを前提としたレガシーなシステムや、過去の経緯が不明な設定、特殊な対応が必要になるレポートや運用は残っていませんか? SASE製品の導入を機に「現行の引き継ぎや古い設計は捨てる」つもりで整理することを推奨します。
前述の通り、クラウド利用の増加やアクセス元の多様化など、環境は大きく変化しており、SASE製品はそれに最適化する形で機能実装されています。それなのに、特殊な設計や特別なオペレーションが必要になるレガシーシステムが残っていると、いつまでたっても運用管理は楽になりませんし、近い将来、自動化を進めるフェーズを迎えた時にそれらが大きな障害となったり、セキュリティリスクになったりする可能性があります。
また、製品を検討する前には、移行対象とする機能も考慮しておく必要があります。例えば、「ZTNA機能だけを使いたい」という場合には短期間での移行が可能ですが、「SD-WAN機能も使いたい」となると、回線やedgeルータの入れ替えが発生することになり、拠点数によっては移行期間に年単位の時間を要することもあります。現環境の構成と導入する製品の仕様や方式によって移行の難易度やスケジュール、コストなどにも影響範囲が広がります。これらを考慮して製品検討をすることが重要です。
ポイント3. 海外拠点への対応状況
海外拠点の対応が発生する場合には、それぞれの国・地域ごとの法令に準拠した対応も必要です。例えば、EU圏の企業とやり取りする場合には、EU一般データ保護規則(GDPR:General Data Protection Regulation)に準拠する必要があります。中国においても、データ3法と言われる「個人情報保護法」「サイバーセキュリティ法」「データセキュリティ法」、そして2022年9月より施行された「データ域外移転安全評価弁法」に準拠しなければなりません。
製品自体の対応はもちろん、現地で入力や収集された個人データをそれぞれ域外のサーバーに入力したり、データを同期したり、現地に保存されている個人データに域外からアクセスする場合には、自社および運用ベンダーも各種法令への対応が必要です。
そして中国ではインターネットの検閲・監視を行うグレートファイアウォールの問題もあります。国内と国外とのネットワーク接続についてはサービスが分断されてしまい、基本的に無保証となる点にも注意が必要です。製品によっては通信が保証されるオプションサービスを用意しているものもありますので、保証範囲についてもしっかり確認しましょう。
これらは該当国に運用拠点を持つベンダーを選定することも一つの手段となり、豊富な実績を持つ現地ベンダーに対応を依頼している企業もあります。
ポイント4. SASE製品がベストの選択か
要件と課題、現行業務や構成について整理した結果、改めて「SASE製品への移行が自社にとってベストな選択か?」という点についても考える必要があります。「SASE製品を導入しない」という選択肢もあり得ます。
「ポイント2」で挙げたように、SASE製品導入に際しては過去の設計は原則捨てることが好ましくあります。しかし、遅延やパフォーマンスなどへの影響を考慮した結果、一部の設計は残ることがあるかもしれません。レガシーシステムやオンプレミスサーバー、業務アプリ、専用線、ProxyやPACによる制御、VPNやRDPを残すケースもあるでしょう。
一部の設計を残しながらSASE製品を導入する“ハイブリッド“でも、運用管理工数やコストは減らせるかもしれません。しかし、管理する製品やサービス数が増えてしまうため、SASE製品導入のメリットが発揮できるでしょうか?
検討した結果、「オンプレ環境が機能的にもコスト的にも見合う」、「SASE製品ほど機能集約されていなくても、アウトソース側でまとめてサービス提供/運用できれば、エンドユーザー企業から見れば一元管理できる」などの理由から、「SASE製品へ移行しない」と結論を出すお客様もいます。もちろん“ハイブリッド“でも十分に効果を発揮できるお客様もいます。
目的はSASE製品導入ではありません。セキュリティを適切に管理して、事故が起きない状態を維持することを忘れないようにしましょう。
ポイント5. POC/POVの実施
マニュアルに記載がない仕様や、メーカーやベンダーから公開されてない情報などについては、実際に触ってみなければ分からないこともあります。どのSASE製品にするかを決定する前に、POC(またはPOV)期間を設け、必ず検証作業を行いましょう。期間内に自社に適した製品かどうかを見極められるよう、あらかじめ対象環境、テスト項目、POCの進め方なども整理しておく必要があります。またSASE製品の機能を全部試そうとすると、メーカーから標準的に提供される無償期間1ヶ月では時間が足りません。特にCASBやDLP機能の検証には設定から時間を要しますので、メーカーとのPOC期間の延長交渉も行いましょう。長期間POCを実施するために、最小ライセンスを購入して1年近く検証するお客様もいます。
これらは外部ベンダーに相談し専門家を交えながら、契約や整理を行ったほうが最終的にコストを抑えられるはずです。
計画的な準備で、導入~移行時にかかるコストを抑えよう
SASE製品で注意しなければならないのが、ライセンスコストです。SASE製品導入プロジェクトは、基盤やセキュリティ全体の見直しが発生するため長期間にわたりますが、SASE製品はサブスクリプション方式のため、環境構築期間から費用が発生します。正式リリースまでの期間が長引けば長引くほどコストが増幅します。
導入する製品を決めたら、ライセンスは必要数を順次購入していけるよう、機能や拠点ごとに段階移行のイメージをしっかり作りましょう。他プロジェクトとの相関関係にも注意しながら、まずはスモールスタートで始めて、段階的に移行を進めます。必要なライセンス数の推移表を作成し、契約更新時期を合わせるなどして計画的にライセンスを購入します。また、オプションライセンスも複雑です。要件や環境を整理し、見積もりをしっかりとっておきましょう。
SASE製品が海外製品である場合、為替レートの影響を受け、ライセンス料が変動します。毎年値上げもあり予算が見積りにくい一面もあるため、最終購入数を見込んで複数年の一括購入を行うことで費用が抑えられます。
また検証や設計に十分な時間が取れていない場合や拠点数が多い場合には、Agent(クライアントソフト)の導入、経路のルーティングや冗長化でトラブルが発生するケースが多くみられます。海外拠点がある場合は状況把握が困難で、トラブルの原因究明に時間が掛かるケースもあります。また海外拠点については推進体制や役割の明確化と体制構築も行っておきましょう。
その他、帯域制限やキャパシティ管理、他製品との機能連携なども注意が必要です。POCでは事前に確認できないことも多く、設計や導入にあたっては、メーカーSEのサポートが必要になるため、スケジュールと工数を多めに確保しておきましょう。
導入後の障害対策や運用管理体制を検討する
運用開始後、障害は必ず発生します。メーカー側での機能アップデート時、POP増設やリソース増強時など、システム障害が発生する要因は様々です。またAWSやGCPなどのIaaSの障害によってSASE製品が使えなくなることもあります。一時的な機能障害にとどまらず、長時間にわたって全断することも踏まえ、SLAをきちんと確認しておくとともに、障害設計、冗長化、迂回経路なども検討しておきましょう。
また、多機能なSASE製品はバージョンアップも頻繁にあります。多くが海外製品なので、メーカーサポートを受ける際に言語や文化の壁でスムーズにいかないお客様も数多くいます。
さらに、新たにリリースされた機能を活用してやりたいことが増えた結果、変化の多いクラウドサービスへの追従やユーザー利用に即した作業などにおいて、継続的なポリシーの見直しも必要になります。運用管理や監視、ヘルプデスク機能など体制を見直すこともあるでしょう。
SASE導入によってネットワークとセキュリティを融合し、機能集約やセキュリティ機能が拡大するので、SASEは導入後もさまざまな対応が必要になります。改めて全体最適となるような運用体制を検討することを推奨します。セキュリティ人材が少ない日本では、ユーザー企業が自社だけでSASE運用を行うのは容易ではないかもしれません。その場合には、外部のSOCも含めて対応できるマネージドサービスをうまく活用していきましょう。
まとめ
NRIセキュアでは、4つのSASE製品についてサービスを提供しています。NRIセキュアのスペシャリストがお客様に代わり、環境の構築からセキュリティ監視・運用までご支援します。
また、導入前の計画策定や要件整理、製品比較や複数製品POC、導入コンサルテーションなども対応可能です。SASE製品導入をご検討される際にはぜひご相談ください。