トピック
SD-WAN+SASEで実現するIoT時代のゼロトラストネットワーク
ユーザー・デバイスに基づいたダイナミックなセグメンテーション
2021年7月26日 09:00
リモートワークの定着によって、IDaaSやSASEを活用した、「ゼロトラスト」に立脚した場所を意識しないアクセスセキュリティ対策に注目が集まっているが、例えばSASEのようなエージェントベースのソリューションでは工場・店・オフィスといった拠点に存在する、エージェントを導入できない各種IoT端末にセグメンテーションを適用することができない。海外セキュリティ製品を中心に、クラウド・仮想化関連製品やネットワーク最適化ソリューションなどを取り扱う技術商社マクニカネットワークスのゼロトラストキーパーソンと共に、SD-WANとSASEをハイブリッドに組み合わせたIoT時代のゼロトラストネットワークの「あるべき姿」に迫る。
コロナ禍の長期化を受けてリモートワークがさらに定着しつつある。そうした中、社員が自宅などで使用するエンドポイントのセキュリティを担保するため、ゼロトラストネットワークを実現するためにSASE(Secure Access Service Edge)の導入が急速に進んでいるのは多くが知るところだ。
これが非常に重要な施策であることは言うまでもないが、時宜に沿うことを意識するあまり対策がつい手薄になりがちなものがあることもしっかり認識しておかなければならない。それは本社、支社・支店、営業所、店舗、工場など拠点(エッジ)側のセキュリティである。
エージェントをインストールできないIoTデバイスをエッジでいかにして保護するか
マクニカネットワークスの恒本一樹氏(第2営業統括部 第6営業部 主席)は、「そもそもすべての業種がテレワーク可能なわけではなく、工場や店舗のように人がいなければ業務が成り立たない業種もあります。また、今後ワクチン接種が進んで新型コロナウイルスが収束していけば、オフィスにも社員が戻り始めるでしょう。そうしたアフターコロナを見据えて拠点を保護するエッジによるセキュリティ対策も手を抜くことはできません」と説く。ただしエッジのセキュリティは、リモートワーク環境とは異なる対策が求められる。
リモートワーク環境については前述したSASEによるクラウドセキュリティのもと、エンドポイントにエージェントをインストールすることで保護することができる。Windows、Mac OS、Linux、iOS、Androidなど、主要なOSを搭載したPCやスマートフォン、タブレットであればSASEのエージェントをインストールすることでセキュリティ対策が可能だ。
しかし逆に言えば、SASEのエージェントをインストールできないIoTデバイスを代表とするエンドポイントは保護の対象外となってしまう。「複合機や監視カメラなど、エッジにはインターネットに接続されつつも見逃されがちな多数のエンドポイントが存在しています。これらのセキュリティ対策を後回しにしたままでは、社内ネットワークに侵入しようとするサイバー攻撃者にとっての格好の入口にされてしまうおそれがあります。実際、世の中ではそうしたIoTデバイスを踏み台としたセキュリティインシデントが頻発しています」と恒本氏は警鐘を鳴らす。そこで必須となるのがエージェントを導入出来ない端末との通信を仲介するエッジの存在だ。
ユーザー・デバイスに基づいたダイナミック・セグメンテーションの実現
マクニカネットワークスがゲートウェイ型セキュリティの中心に位置づけているのは、拡張されたエッジサービス・プラットフォーム「Aruba ESP」である。HPE(ヒューレット・パッカード・エンタープライズ)が2020年にSilver Peakを買収したことに伴い、Silver Peakがこれまで提供してきたSD-WANのソリューションが「Aruba EdgeConnect SD-WAN」としてAruba ESPに統合されることになったのである。
これによって具体的にどんなことが可能となるのか。まずはユーザーやデバイスの情報に基づいたダイナミックなセグメンテーションの実現である。認証時に加えて、想定されるインシデントに応じてユーザーおよび利用デバイスのロールを動的に適用したり変更したりすることができ、さらにロールごとにネットワークを仮想的に分離して社内から社内、社内から外部へのアクセスを制御できるというものだ。
もともとAruba ESPでは「ClearPass Policy Manager」という認証ソリューションを提供していたが、この管理対象にAruba EdgeConnect SD-WANも追加することで、ユーザーやIoTデバイスのアイデンティティ認識、ロール、セキュリティ・ポスチャーに基づいたアクセスコントロールをWANエッジまで拡張することが可能となった。
「Silver Peakが従来強みとしていたアプリケーションの高度な識別技術に加えて、Aruba ClearPassが保有する認証情報も利用することで、ゼロトラストで必要とされるユーザー・デバイスの状態に基づいたよりきめ細やかなセグメンテーションを実現することができます」と恒本氏は語る。
これにより「監視カメラは特定のアプリケーションのもとでしか通信を許可しない」「POSレジのように顧客のクレジットカード番号も流れてくる通信は特別な権限を持った責任者しかアクセスできない」というように、拠点に存在するIoTデバイス発の通信についてもデバイス単位・ユーザー単位で分離することで脅威を封じ込めユーザー・デバイスに基づいた厳格なセキュリティポリシーを適用することが可能となる。
「従来のようなVLANといった煩雑かつ柔軟性の乏しいネットワーク管理から脱却し、ユーザー・デバイスの状態に基づいた細やかなアクセスコントロールをLANからWANまでエンドツーエンドで実現します」と、恒本氏はAruba ESPによって実現されるダイナミック・セグメンテーションのメリットをあらためて強調する。
UTM機能追加によるSD-WANエッジのセキュリティ強化
Aruba ESPのもう1つのポイントは、高度な統合脅威管理(UTM)機能の実装である。「もともとSilver PeakはWAN最適化・高速化の機能に強みを持つ製品だったのですが、そこにArubaが提供するIDS/IPS(侵入検出と防御)機能も統合され、Aruba EdgeConnect SD-WANの物理/仮想アプライアンス上で提供することが可能となりました」と恒本氏は説明する。これによりネットワーク全体を可視化して重要な脅威情報を共有し、社内ネットワークをラテラルムーブメント(侵入拡大)から保護するセキュリティや、各エッジからのセキュアなインターネット・ブレイクアウトを実現することができる。
なお、この機能はオンプレミスでもクラウドでも一元的に導入することが可能だ。これによりネットワーク管理者やセキュリティ管理者は、Aruba ESP上で共通化された脅威インフラストラクチャと脅威フィードを活用し、全社で一貫したセキュリティポリシーを適用・実行することができる。
ベンダーロックインを回避したベスト・オブ・ブリードなゼロトラスト提案
長年にわたるAruba/Silver Peak製品の国内販売店であるマクニカネットワークスは、ここまで述べてきたAruba ESPのアドバンテージを最大限に生かすことで、「ベンダーロックインのないゼロトラストネットワークを提案する」ことを基本戦略としている。
繰り返すがエージェントをインストールできないIoTデバイスは、狭義のエージェントベースのSASEだけではセキュリティを担保することが難しい。一方で境界防御を基本とした従来のLANセキュリティは、いったん脅威に内部侵入されてしまうと内部での拡散に対応することが難しい。
だからこそこれからは、リモートを保護するSASEと拠点を保護するSD-WANを統合したハイブリッドなセキュアネットワークを構築することが必須となるわけだが、そこで重要となるのが2つのソリューションの最適なマッチングをいかに実現するかである。特定ベンダーにロックインされてしまうと、その自由度が失われてしまうことになりかねない。
「マルチベンダーに製品を取り扱う弊社では、Aruba ESPと組み合わせたお客様の要件に最適なSASEの選定はもちろん、CrowdStrikeのようなEDR(Endpoint Detection and Response)、やIDaaSリーダーであるOktaなどゼロトラストで必要とされる各種エンドポイントセキュリティや認証のソリューションも取り扱っています。弊社はゼロトラストに必要なソリューションをワンストップで提供可能な数少ないゼロトラストインテグレーターです」と恒本氏は訴求する。
マクニカネットワークスはSD-WAN、SASE、IDaaS、EDR等のオープンな製品間連携によるベスト・オブ・ブリード型のゼロトラストセキュリティの提供を通じて、アフターコロナのDX(デジタルトランスフォーメーション)を見据えた企業ネットワークの変革に貢献していくという強い姿勢を世に示している。
マクニカネットワークス株式会社
Aruba製品ページ https://www.macnica.net/aruba/
Silverpeak製品ページ https://www.macnica.net/silverpeak/