近年のサイバーセキュリティを取り巻く環境変化により、従来のオンプレミス型セキュリティ基盤だけでは、クラウド利用や多様な働き方に伴うリスクへ十分に対応することが難しくなっています。そのため、ネットワークとセキュリティを統合的に提供するSASE(Secure Access Service Edge)への移行が有効です。
一方で、SASEへの移行は単純な製品リプレースではありません。従来のネットワーク構成やアクセス制御の考え方、運用体制、コストモデルなどを見直す必要があり、移行にあたってはさまざまな検討事項が存在します。
そこで本稿では、まず背景となるセキュリティ動向を整理します。その上で、オンプレミスFWを代表例として、従来型のネットワークセキュリティ基盤とSASEの特徴や違いを比較します。その後、実際の移行において検討が必要となる設計・運用上のポイントについて解説します。
近年、デジタル化の進展とともに、サイバー攻撃の高度化・多様化[i]が顕著になっています。
特にランサムウェアや標的型攻撃、内部不正による情報漏洩、クラウドサービスの利用拡大に伴う新たな脅威が増加しています。また、多様な働き方の定着やリモートワークの普及、IoT機器の増加、クラウドサービス利用の拡大といったIT環境の変化により、企業を取り巻くセキュリティ要件も大きく変化しています。
このような環境変化の中では、従来のネットワーク境界を前提としたセキュリティモデルだけでは対策に限界があり、SASEへの移行は多くの企業にとって事業継続性とセキュリティ確保のために検討すべき重要なテーマになりつつあります。
サイバーセキュリティにおける課題としては、主に次の事項が挙げられます。
ここから、「クラウドサービス利用の増加によるセキュリティ境界の曖昧化」や「リモートワーク普及によるネットワークアクセスの多様化」といったネットワークセキュリティの課題に着目し、オンプレミスFWとSASEそれぞれの特徴や違いを整理した上で、実際の移行時に考慮すべき設計・運用上のポイントについて見ていきます。
オンプレミスFWは、企業のネットワーク境界に設置され、外部からのアクセス制御や内部ネットワークの保護を担う重要なセキュリティ基盤です。長年にわたり、多くの企業でネットワークセキュリティ対策の中核として利用されてきました。自社環境内で運用するため、詳細な通信制御や柔軟なカスタマイズを実現しやすく、高い統制性を確保できる点が特長です。
一方で、クラウドサービス利用や多様な働き方への対応が求められる近年の環境では、従来の境界型セキュリティだけでは十分に対応しきれない場面も増えています。
SASEは、クラウド上でFW、SWG、CASB、ZTNAといったネットワーク機能およびセキュリティ機能を統合的に提供し、場所や端末を問わず一貫したセキュアなアクセスを実現するサービスです。これにより、テレワークだけでなく、スマートフォンやタブレットを活用したモバイルワーク、協力会社や業務委託先との連携など、多様な働き方に柔軟に対応できます。近年は、従業員が時間や場所に縛られずに業務を行うことが一般的となり、業務システムやデータへのアクセス経路も多様化しています。
このような環境では、オフィスへの出社や社内ネットワークからの接続を前提とした従来の境界型セキュリティだけでは十分な制御が難しくなっています。そのため、アクセス元の場所ではなく、ユーザーやデバイスの信頼性を都度確認してアクセスを制御するゼロトラストの考え方が重要となっており、SASEはその実現基盤として注目されています。
また、クラウドサービス利用の拡大に伴い、SaaS利用状況の可視化やシャドーIT対策、クラウドサービス間のデータ移動の制御などが求められるようになっています。SASEにはCASB(Cloud Access Security Broker)などの機能が統合されているため、従来のファイアウォールだけでは実現が難しかったクラウドサービス利用に対する統制や可視化を実現できる点も大きな利点です。
さらに、クラウド側の機能のアップデートや障害対応はサービス側で実施されるため、運用負荷の軽減が図れる点もメリットです。加えて、ユーザーや拠点の追加にも柔軟に対応可能で、高い拡張性を有しています。こうした背景から、SASEは従来の境界型セキュリティに代わり、ゼロトラストモデルの実現を支える基盤として期待されています。
ここまで述べてきたオンプレミスFWとSASEを比較すると以下のようになります。
|
観点 |
オンプレミスFW |
SASE |
|
提供形態 |
自社データセンター/拠点に機器を設置 |
クラウド上でサービスとして提供 |
|
セキュリティ機能 |
FW、VPN、IPS/IDSなどを個別または統合的に実装 |
FW、SWG、CASB、ZTNAなどを統合的に提供 |
|
アクセス形態 |
ネットワーク境界ベース(拠点利用中心) |
ユーザー/デバイスベース(場所を問わない) |
|
柔軟性 |
拠点・ネットワークに依存するため低い |
テレワーク・クラウド利用が前提のため高い |
|
拡張性・ 可用性 |
機器依存のため低い |
クラウド提供のため高い |
|
カスタマイズ性 |
高い |
サービス仕様に依存 |
|
可視性 |
機器内部情報やパケットキャプチャ取得が可能 |
取得可能な情報はサービス提供範囲に依存 |
|
運用負荷 |
自社対応(障害対応・バージョンアップ・監視など)が必要なため高い |
一部、サービス側で対応されるため、低い |
|
コストモデル |
機器買い切り+保守 |
サブスクリプション |
|
利用環境 |
事業所など決まった場所からの利用が前提 |
テレワークなど場所にとらわれない利用が前提 |
|
セキュリティモデル |
境界型セキュリティ |
ゼロトラスト |
オンプレミスFWからSASEへの移行といっても、単純にファイアウォール製品を置き換えるだけではありません。実際には、ネットワーク構成やリモートアクセス環境、クラウド利用状況の変化を踏まえ、段階的に移行を進めるケースが多く見られます。
例えば、インターネットアクセス時に利用しているオンプレミスプロキシやWebフィルタリング環境を、SASEのSWG(Secure Web Gateway)へ移行するケースがあります。これにより、利用者は社内ネットワークを経由することなく、場所を問わず一貫したセキュリティポリシーでインターネットへアクセスできるようになります。
また、拠点間接続やWAN構成の見直しに合わせて、SASEとSD-WANを組み合わせたネットワーク再構築を行うケースもあります。従来のデータセンター集中型のネットワークから脱却し、各拠点からクラウドサービスへ直接アクセスするローカルブレイクアウト構成へ移行することで、通信効率、パフォーマンスの向上、ネットワークの負荷分散を図ることができます。
このように、SASEへの移行対象はプロキシ、ファイアウォール機能、WANなど多岐にわたります。そのため、単純な製品リプレースとして捉えるのではなく、自社のネットワークやセキュリティアーキテクチャ全体の見直しとして計画することが重要です。
SASEへの移行を成功させるためには、可用性、運用、コスト、通信設計などの観点で事前に検討すべき事項があります。以降で、移行時に考慮すべき主な設計・運用上のポイントを紹介します。
クラウドサービスであるSASEは、インターネット回線を用いて接続するため、回線品質の影響を受けやすいです。また、多くのSASEサービスは複数の利用者で共用するクラウド基盤上で提供されています。
オンプレミスFWのように自社専用機器を管理する形態とは異なるため、サービス側で提供される機能や可用性、障害発生時の対応方針を踏まえて設計・運用する必要があります。そのため、回線の冗長化やSASEサービスレベル(SLA)の確認が不可欠です。
オンプレミスFWで自社環境に合わせた細かい通信制御を実装している場合、SASEでは同等の制御が再現できないことがあり、機能差異を踏まえた段階的な移行が必要となるケースがあります。
通常、SASEはゼロトラストモデルを前提としているため、従来の境界型セキュリティから、ユーザー・デバイス単位のアクセス制御への再設計が必要となるケースがあります。そのため、オンプレミスFWでIPベースのポリシー制御をしていた場合は、ポリシー設計の考え方自体を見直す必要があります。加えて、SASEへの移行は既存ポリシーを移行するだけでなく、セキュリティ強化を図る機会にもなります。
例えば、オンプレミス環境では機器性能の制約から限定的に運用していたSSLデコードの適用範囲を拡大したり、デバイスポスチャー管理機能を活用してセキュリティ要件を満たした端末のみ接続を許可したりすることが可能です。
また、クライアント証明書認証やデバイス認証基盤との連携など、どのような方法で端末を識別・認証するのかについても検討が必要となります。そのため、既存ポリシーをそのまま移行するのではなく、SASEの機能を活用したアクセス制御やデバイス管理の再設計を行うことが重要です。
クラウドサービスを利用することで、オンプレミスFWのように任意のタイミングでパケットキャプチャを取得したり、機器内部の詳細な情報を参照したりできない場合があります。そのため、サービスで提供されるログや監視機能で取得可能な情報の範囲を事前に確認することが重要です。
また、運用の一部をサービス事業者が担うため、監視やインシデント対応の役割分担を整理する必要があります。
オンプレミスFWと比較して初期投資は抑えられる一方で、サブスクリプション型の継続的な費用が発生します。ユーザー数やトラフィック量の増加に応じてコストが増加するため、長期的なコスト試算が重要です。
オンプレミスFWと併せてプロキシを利用していた環境からSASEへ移行する際に、契約するライセンスによっては、プロキシが利用できない場合があるため、通信フローを大幅に見直す必要があるケースがあります。
また、通信がクラウドのセキュリティ基盤を経由するため、アプリケーションによっては遅延が発生する可能性があります。特にリアルタイム性が求められる業務では経路設計が重要です。
以下に移行時に考慮すべきポイントをチェックリスト形式で記載します。オンプレミスFWからSASEへ移行する際の確認点として参考にしていただければと思います。
①クラウド依存・可用性
□インターネット回線障害時の影響範囲を整理しているか
□海外拠点で利用する際のサービス提供有無やデータ転送における地域ごとの各種規制を確認しているか
□回線を冗長化しているか(複数ISP、回線種別)
□SASE事業者のSLAを確認しているか
□障害発生時の対応プロセス・連絡体制を明確化しているか
②既存環境との統合・移行設計
□現行ネットワーク構成を整理しているか
□機能差異などを踏まえ、既存ポリシーをSASE向けに再設計しているか
□システムごとの通信要件を洗い出しているか
□先行検証を含む段階的な移行計画を策定しているか
③セキュリティ設計(ゼロトラスト化)
□ユーザー/デバイス単位の認証・認可設計を定義しているか
□権限は最小限で付与する設計となっているか
□ポリシーの方針を明確化しているか
□社内システムへのアクセスも考慮したポリシー設計となっているか
□クライアント証明書認証などデバイス認証方式を検討しているか
□デバイスポスチャー管理の適用方針を整理しているか
□SSLデコードの適用およびその適用範囲を検討しているか
④可視性・運用モデル
□ サービスにより提供される監視・ログ取得の範囲を確認しているか
□ 自社とサービス事業者の運用責任分界点を明確にしているか
□ インシデント対応フローを再定義しているか
□ 運用体制の見直しを行っているか
□ SASEに合わせた運用ツールを整備しているか
□ SASE製品に関する運用スキル向上策を計画しているか
□ 変更管理・リリース管理のプロセスを再設計しているか
□ ベンダーサポートとの連携方法を確立しているか
□ SOCとの連携を検討しているか
⑤コスト管理
□現状に即したサブスクリプション費用(ユーザー数/トラフィック)の見積もりを行っているか
□将来の利用増加を加味した中長期コストを試算しているか
□導入・運用をベンダーに依頼する場合のコストを加味しているか
□既存オンプレ機器の廃止・残存コストを整理しているか
□回線費用や追加サービス費用も含めた総コストを把握しているか
⑥通信経路・性能
□通信経路を再設計しているか
□重要アプリケーションの遅延影響を検証しているか
□PoP(SASEの接続点)の位置・距離による影響を評価しているか
□ローカルブレイクアウトを検討しているか
日々変化する攻撃手法に追随するために、オンプレミスFWからSASEへの移行は、多くの企業・組織にとって現実的な選択肢となっています。移行に際しては、セキュリティ・運用・コスト・可用性など多角的な観点から評価と検討が必要です。SASEへの移行はセキュリティ強化や運用効率化、拡張性向上といったメリットがある一方で、クラウド利用のリスクやコスト管理、独自要件への対応などの課題も存在します。
オンプレミスFWからSASEへの移行を検討する際は、最新のセキュリティ動向を踏まえ、自社に最適な移行計画や体制を整備することが不可欠です。IT担当者・経営層・セキュリティ専門家が連携し、実効性の高いセキュリティ環境を目指していくことが求められます。
今回は、オンプレミスFWからSASEへ移行する際のポイントを紹介しました。当社ではSASE製品として、Zscaler、Netskope、Prisma AccessのMSSを提供しています。SASE製品の導入をご検討の際は、お気軽にお問い合わせください。
ロケーションやデバイスに制約されないインターネットアクセス環境を実現|Zscaler Internet Accessマネージドサービス
マネージドセキュリティサービス powered by Prisma Access from Palo Alto Networks
[i]https://www.npa.go.jp/publications/statistics/cybersecurity/data/R7kami/R07_kami_cyber_jyosei.pdf