ワークスタイル変化とセキュリティ　データセンターの新たな使命

①SD-WAN

　専用線が極端に高コストな国もあるため、グローバルで見ればSD-WANは回線コスト最適化のためのソリューションと考えられている。しかし、日本では、SaaS等の利用が増えたため、拠点からインターネットへ出るアクセスが増えてWANの帯域やネットワーク機器を圧迫していることに対する解決策として利用されるケースが多い。

　従来のネットワークトポロジーでは、各拠点からインターネットの先にあるサービスに接続するには、集約したWANの出口がある自社データセンターへ専用線でつなぎ、そこを経由してインターネットに出て行く必要があった。日常的に使うアプリケーションがSaaSになると、この集約した構造がボトルネックになってしまう。このため、バックアップで使っているブロードバンドやLTEなどの回線にセキュリティを付与して、データセンターを経由せずに直接SaaSに繋いだらいいだろうという発想だ。

　SD-WANでは、アプリケーションによってどの回線を使うかといった制御をソフトウェアで行う。各拠点のWANエッジに置くのが、フォーティネットなどが提供するWANエッジインフラストラクチャだ。リモートユーザーが増えても、SD-WANの機能が入っていれば、適切な回線を選択してストレス無く仕事ができる。

②SASE（Secure Access Service Edge）

　ガートナーは、SASEという考え方を提言している。ネットワークもセキュリティもサービス化して、クラウドで提供するというビジョンだ。ただし、列挙された機能のすべてを実現したものはまだ出てきていない。

　西澤氏によれば、「こうした新しいアーキテクチャを選択する目的は、可視性、ポリシー、自動化の3つ」だ。まず、見えないものは守れない。そして、リモートで働く人が増えても、一貫した社内と同様のポリシーでネットワークを利用させる必要がある。これは、ネットワークセキュリティの運用者にとってはカバー範囲が広がることを意味する。仕事が増えてもセキュリティ担当者がどんどん追加される環境ではないので、自動化が重要になるというわけだ。

　コンポーネントとしては、以下のようなものが考えられる。

繋げたい人/物：拠点アクセス、販売店、工場、IoT
繋ぐ先：データセンター、クラウド、SaaS、サードパーティデータ、インターネット
ネットワーク：セキュアSD-WAN

　具体的には、オフィス内の人だけでなく、リモートオフィスや工場のオートメーション機器、ドローン、販売店のPOSなどが接続元となり、自社データセンターやパブリッククラウドが接続先となる。この時、ユーザーでは認証が、デバイスではきちんとオーソライズされているか（野良APやド不正IoTではないか）の確認が重要だ。そして、LANエッジ、WANエッジ、クラウドエッジなどをセキュアに保つ必要がある（図2）。

図2：数多くの「エッジ」をセキュアに保護する必要がある

　クラウド・データセンターの話では、コンピューティングリソースをどこに置くか、どのように使うかという話ばかりで、それらがどのように接続されるかというネットワークの話が抜けてしまうことが多い。しかし、「いくらクラウド化やサービス化されても、物理的なネットワークがなくなるわけではないので、ここはきちんと考えてほしい」と西澤氏は言う。

　ちなみに、フォーティネット製品では、WANエッジを保護するSD-WANの機能と、LANエッジのスイッチや無線LANアクセスポイントの管理機能が統合されている。「さらにデバイスエッジの保護機能がFortiOSで拡張されるので、WANエッジのSD-WANのノードであるFortiGateの画面から、拠点の中にあるものはすべて補足し、アクセス制御できるようになる」（西澤氏）という。

ハイブリッド

　企業では事業者のデータセンターへのホスティングという従来型から、パブリッククラウドと組み合わせたハイブリッドへ移行が進んでいる。マルチクラウドと言われたこともあるが、「たくさんのクラウドをやたら使うお客さんはほとんどいない。戦略的に1社か2社のパブリッククラウドと自社データセンターを組み合わせることが多い」（西澤氏）のが実情だという。

　一方で、コンプライアンス対応やセグメント化の困難さが課題になっている。アプリケーションへのアクセス制御のために、攻撃対象領域の特定、IT資産の見える化、セグメント化する困難さが増大しているためだ。

統合

　ファイアウォール単体では、データセンターのビジネスとしてあまり成り立たなくなっており、IPSと統合された形で提供される方向だ。ファイアウォールとIPSは保守チームが別でコミュニケーションに課題がある場合もあるが、ひとつの筐体で両方の機能が提供されるのであれば、その方がコストや運用から見て良いという流れになっている。

ハイパースケール

　あらゆる業界でデジタルトランスフォーメーションが進んでいるが、特にECの規模は拡大している。ECでは日々大量のビッグデータが蓄積され、それをAIで分析してビジネスに繋げているため、ハイパースケールは非常に重要なテーマになる。

自動化

　ハイブリッドやハイパースケールを、すべてマニュアルで運用するのは大変なので、オートメーション化やオーケストレーションがテーマになる。

　これらに対応するため、フォーティネットではファブリックとして製品が連携するさまざまなソリューションを提供している（図3）。また、データセンター内にあるのはフォーティネット製品だけではないので、KubernetesやAnsibleなど、標準的な運用管理ツールと連携させることもできる。それを示しているのが、右端の緑色のコンセントのアイコンだ。

図3：フォーティネットサイバーセキュリティプラットフォーム

　FortiGateネットワーク・ファイアウォールは、ファイアウォールとIPSを統合したアプライアンスで、以上の4つのトレンドをカバーする。データセンターでの主なユースケースは、以下の4つだ。

①脅威保護

　アプリケーション、ドメイン、フローを完全に可視化し、死角を排除できる。

　ハイブリッド環境では、インターネットに口が開いている状態になる。現在の通信は暗号化されているが、保護するためには中身を知る必要がある。このため、SSLインスペクションが重要なテーマになっている。ロードバランサーは元々中身を見てバランシングしているため、そちらでセキュリティ機能を追加するというアプローチもあるが、手順が面倒で高価になりがち。FortiGateであれば最適の機能とコストで実現できる。

②柔軟なセグメンテーション

　攻撃対象領域の縮小とラテラル・ムーブメント防止が可能。

　セグメンテーションは、「来るなという壁を立てるだけで、負荷のかかる作業は何もしないので、非常に安価なセキュリティ」（西澤氏）。FortiGateとLANスイッチが協調して動くと非常に運用効率がよく、コストも下げられる。

③統合型IPS

　ファイアウォールとIPSの統合で、既知とゼロデイの脅威から保護。

　かつては誤検知を過度に気にする人もいたが、「現在では攻撃が多すぎるためIPSを活用しなければ間に合わない」（西澤氏）。

　また、古いネットワーク機器のリプレイスで導入されるケースも多いという。古い機器では、SSL性能が低かったり、IPSの処理が遅いためだ。また、ロードバランサーやWebプロキシーの置き換えでコストダウンというケースもあるという。

④ハイパースケールセキュリティ

　大規模で高性能を求める環境で、サービスとエンタープライズエッジを保護する。

　最新のセキュリティチップが搭載されたFortiGateは、100Gbpsの大規模通信やL4セキュリティ、高速IPsec暗号化といった機能を提供する。証券取引所やEコマースなどのビッグデータをバックアップするなど、セッション数は少ないが流れるデータが巨大というケース（エレファント・フロー）でも、高速暗号化通信が可能になる。