The 2018 Guide to WAN Architecture and Designは、セキュリティの強化が、組織がソフトウェア定義のWAN (SD-WAN) を採用する際に求めている主要なメリットの1つであることを明らかにしました。しかし実際には、ほとんどのSD-WANソリューションは本質的にセキュリティを向上させるものではなく、サイトを中心とした限定的な範囲にとどまっています。セキュリティを大幅に向上させるために、SD-WANソリューションを評価しているIT企業は、同時にソフトウェア定義の境界であるSDP (Software Defined Perimeter) ソリューションも評価する必要があります。
SD-WANのメリットだけでは不十分
SD-WANソリューションは、一般的に次の3つのアプローチのうち1つ以上をセキュリティに取り入れています。
- 何もせず、既存のセキュリティ機能を利用
- 各拠点で仮想化され、ホスティングされている従来のセキュリティ機能を利用
- クラウドベースのファイアウォール、セキュアWebゲートウェイ、CASB (Cloud Access Security Broker) など、クラウドベースのセキュリティ機能を活用
クラウドベースのセキュリティ機能の一部を除いて、上記のアプローチはいずれも新しいセキュリティ機能を提供するものではありません。そのため、ネットワーク企業がこれらのアプローチに依存したSD-WANソリューションを採用しても、セキュリティを強化するという目的を達成することはできません。
SD-WANのもう一つのデメリット
SD-WANソリューションのもう一つの大きなデメリットは、その範囲の狭さです。現在、70%以上の人が週に1日以上、リモートワークを行っています。そのため、企業が広域ネットワークを大幅にアップグレードする際には、この大規模で増加しつつあるユーザーに対応する必要があります。しかし、ほとんどのSD-WANソリューションは、リモートワーカーに接続性もセキュリティも提供していません。
SD-WANソリューションの評価目的
SD-WANのセキュリティを強化するソリューションを評価する際には、二つの重要な目的があります。一つは、現在のWANの欠点を解消する機能を追加することです。もう一つは、セキュリティソリューションの複雑さを最小限に抑えることです。なぜなら、複雑さがセキュリティのギャップや新たな攻撃ベクトルを呼び込むからです。
SDPとセキュリティ対策
現在のセキュリティに対するアプローチの主な欠陥の1つは、企業が明確な境界を持っていることを前提としていることです。しかし、ほとんどの企業では、従業員が遠隔地にいることやクラウドコンピューティングの利用が圧倒的に多いことから、この前提はもはや有効ではありません。 この欠陥を克服するためには、場所を問わずユーザー端末を追跡できるソフトウェア定義の境界 (SDP) を採用しなければなりません。
SDPとゼロトラストモデル
現在のセキュリティに対するアプローチのもう一つの大きな欠点は、組織のネットワークに属する全てが信頼できると仮定していることです。この前提が意味するのは、一旦脅威がネットワーク内に侵入すると、目に見えず、検査もされずに放置され、自由に変形したり移動したりして、組織を攻撃することができるということです。
この欠陥を克服するためには、ゼロトラスト・セキュリティ・モデルを採用しなければなりません。このモデルでは、明示的に許可されない限りすべてのアクセスが拒否され、アクセス権が継続的にチェックされます。また、効果的なゼロトラストモデルでは、シングルサインオン、多要素認証、アクセスとユーザーの相関分析など、さまざまなアクセス機能をサポートする必要があります。
サービスとして提供されるSDPのメリット
SDPソリューションの中には、クラウドを活用してアプリケーションやネットワークリソースへの安全なアクセスを実現するものがあります。このアプローチでは、あらゆるIT機能をサービスとして提供する動きに関連した、運用上および技術上の大きなメリットを活用しています。NaaS (Network as a Service) ソリューションを利用する場合、サードパーティによって提供されるため、組織はインフラの設定と管理の複雑さから解放されます。
クラウド配信型のSDPを導入する理由はいくつかあります。その理由の一部は、先に述べた通りです。SD-WANでは提供されない重要なセキュリティ機能を提供し、複雑さを軽減することができます。もう一つの理由は、組織の拠点の従業員に強化されたセキュリティ機能を提供することに加えて、クラウド配信型のSDPソリューションは、リモートワーカーにセキュリティと接続性の両方を提供できることです。さらに、このようなソリューションは、時間の経過とともに、個別のSD-WANソリューションを必要としなくなります。
SD-WANにはSDPのセキュリティ対策が必要
IT企業がWANをアップグレードする際に目指す最も重要な目標の1つは、セキュリティの向上です。残念ながら、SD-WANソリューションだけでは、IT企業がこの目標を達成することはできません。その理由として、SD-WANソリューションがセキュリティを向上させないことや、その範囲が一般的に拠点への接続性を提供することだけに集中していることなどが挙げられます。そのため、SD-WANを評価する際には、拠点のオフィスにいるか、リモートで仕事をしているかにかかわらず、すべてのユーザーに強化されたセキュリティ機能を提供する追加のソリューションも評価する必要があります。
セキュリティソリューションを評価する際、IT企業は3つの重要な特徴を確認する必要があります。 まず、境界が明確でない状況に効果的に対応するため、IT企業が採用するセキュリティソリューションには、SDPが搭載されていなければなりません。次に、信頼に基づくセキュリティモデルによって生じる脆弱性を排除するために、ゼロトラスト・セキュリティ・モデルに基づくセキュリティソリューションであることです。そして第三に、複雑さとそれに伴うセキュリティの脆弱性を最小限に抑えるために、NaaS (Network as a Service) ベースのソリューションの一部として、機能の利用を綿密に検討する必要があります。特に、時間の経過とともに、検討しているソリューションが個別のSD-WANソリューションの必要性を無くすことができるのであれば尚更です。