中堅・中小企業のためのSASE入門~Verona SASEで実現するゼロトラスト -【JapanSecuritySummit 2024 網屋セッションレポート】
近年、セキュリティに対する新しい考え方としてゼロトラストが求められるようになった。これを実現するために「SASE」(サシー)と呼ばれる技術群が注目を浴びているが、それでも中堅・中小企業では運用面の複雑さやコスト面で負担が掛かり、その導入のハードルは高いままだ。そこで網屋 ネットワークセキュリティ事業部 ネットワーククラウド部の川崎麻未氏は、中堅・中小企業でも、これらの課題を解決できるSASEとして、同社の「Verona SASE」(Network AII Cloudシリーズ)の特徴と優位性について解説した。
近年、企業のセキュリティに対する考え方が変化していることはご存じのとおりだろう。これまでは外部攻撃に備えて、社内と社外の境界で防御する境界型防御が主流であったが、現在は「敵はどこにもいる」という大前提で、あらゆるところからのアクセスを信頼せずに検証し、必要に応じてセキュリティ対策を施す「ゼロトラスト」の考え方にシフトしている。
そもそもゼロトラストが必要になった背景には、コロナ禍を経て、業務システムのクラウド化やテレワークが普及し、守るべき資産が社外に分散したこと、さらにサイバー攻撃が巧妙になり、不特定多数の個人の端末だけでなく、企業ネットワーク内すべてを狙うようになったことが挙げられる。新たなランサムウェアの場合には、UTMやVPNを攻撃することで、ITシステム全体を停止させてしまう手法が一般的になってきた。
そこで現在、ゼロトラストを実現しようとする企業が増えているが、大きな課題も残っている。その1つは、分散した箇所すべてにセキュリティ対策を施すため、運用・管理が煩雑化し、情シスに負担がかかってしまうことだ。またゼロトラストではすべてのアクセスを検証する必要があるため、ネットワークのセキュリティゲートウェイに回線負荷が集中してボトルネックになり、利便性が損なわれてしまう恐れもある。
このような課題を解決しながら、ゼロトラストを実現できる技術として、最近注目を浴びているのが「SASE」(サシー)というわけだ。このSASEとは、簡単に言うと「ネットワーク機能とセキュリティ機能を1つのクラウドサービスとして包括的に管理しながら、ゼロトラスト・セキュリティの実装と運用効率・利便性を両立させる技術・サービスのこと」である。SASEを構成する具体的な機能には「SD-WAN」「SDG」「ZTNA」「FWaaS」「CASB」などが挙げられる。
SD-WANは、拠点間やクラウドとのネットワークをソフトウェアで制御することで、信頼性が求められる通信など、トラフィックの種別に応じて使用する回線の使い分けを可能にするWANだ。SWGはSecue Web Gatewayのことで、インターネットへ接続する通信を検証し、マルウェアや不正サイトの脅威を守ることができる。ZTNAはゼロトラストの原則に則ってアクセス要求ごとに認証を実施し、特定のサービスやアプリケーションに対してセキュアなアクセスを提供する。またFWaaSはクラウド上のファイアウォールで、DPIやIPSなどの機能を有し、URL社内外両方の通信を一元管理できる。CASBは企業とクラウドのネットワークの間に設置し、複数のクラウドサービスの利用を可視化したり、シャドーITの検出ができる。
従来のSASEの課題を解決するマネージドSASE「Verona SASE」の特徴
このように多彩な機能があるSASEだが、もともとSASEはグローバル展開をする大企業向けであり、いざ中堅・中小企業が導入しようとするとハードルが高いという声も強い。しかし、近年のサイバー攻撃は標的型から幣別な不特定多数へのばらまき型攻撃にシフトしており、中堅・中小企業の被害が多いのも実情だ。
大企業であれば、SASEを導入する際に大規模なプロジェクトを組み、高度なIT人材長期にわたり構築できるだろう。しかし、それ以外の企業では、機能が多いSASEは運用管理が煩雑になり、なかなか使い熟せない。同様にライセンス形態も複雑になりコストも高額になってしまう。
そこで当社では、中堅・中小企業でも手ごろな価格でゼロトラストセキュリティを実現できるマネージドSASE「Verona SASE」(Network AII Cloudシリーズ)を提供している。これらは、松屋フーズ、熊谷組、リクルートなど4900社超の導入実績がある。
Verona SASE(以下、Verona)の大きな特徴は以下の3点だ。まず導入が簡単なことだ。通常SASEを導入する場合は半年以上かかってしまうが、VeronaであればExcelのヒアリングシートに必要事項を記入するだけで当社で設定を行い、約2週間で利用できるようになる。
2つ目の特徴は運用負荷がゼロになることだ。一般的なSASEのプロジェクトではネットワークとセキュリティ全般がバラバラに管理され、各部分の運用に手が回らない。Veronaでは設定変更や障害対応など、日々の運用・管理を当社のプロが専任で包括的にサポートするため、企業側には負荷も掛からない。したがって、あまりSASEの知識がなくても、安心して導入が可能だ。
3つ目の特徴はサービス費用がオールインクルーシブになっているという手ごろ感だ。他社のSASEでは、SIコストや帯域コスト、機能別コスト、製品サポート代など、結果的にさまざまな費用が積み上がって数千万円となって高くついてしまう。Veronaならば、月額サービス利用内ですべてが賄えるようになる。
Veronaの具体的な構成要素と機能を徹底紹介!
ではVeronaの具体的な構成要素と機能はどうなっているのであろうか。Veronaは以下のようにネットワークとセキュリティ機能をワンストップで提供するVerona SASEを中心に、拠点間のセキュアなプライベートアクセスをサポートするSASEゲートウェイ・Verona Edge(専用ルータ)、端末のセキュアなプライベートアクセスを提供するクライアントソフト・Verona Clinent、それらを制御するクラウドコントローラ・Verona Cloudで構成される。
Verona Cloudは、機能などを一元管理できる画面で、ログや設定の確認が可能だ。リモートソフトのVerona Clinentは、VPNのようなID/password認証でなく、1つのデバイスに付与されるクライアント証明書をベースにした独自認証システムを採用しており、不正なアクセスを防止できるので安心だ。さらにVeronaCloudとダイナミックポートコントロール機能により、リモートアクセス環境の存在を隠蔽し、Veronaの正規ユーザーからの認証要求のみ応答してポートが開く仕組みなので、不正ユーザーの総当たり攻撃も無効化できる。
VPNでは機器の脆弱性が原因になり、不正ユーザーからの侵入を許してしまうことが問題になった。しかしVeronaでは、当社の専門エンジニアがファームウェアを随時更新しているため、攻撃対象になりにくい。またVeronaのユーザー情報とIDaaSの連携が可能なので、ID管理で退職者のアカウントが削除されるとVerona側のアカウントも追従して削除される。またデフォルトの証明書認証に加え、もう1つ別の認証を加えてニ要素認証として利用できる。
そのほか、TV会議などの特定のクラウドサービスを直接アクセスさせるローカルブレイクアウトによる通信経路の最適な選択や、同時接続数に応じて自動的に負荷を分散させるロードバランスによって通信のひっ迫も解消できる。
もちろんVernaはSASEなので、ユーザーが外部とやり取りする際の出口/入口対策としてのセキュリティも包括的にサポートしている。入口対策としては、URLフィルタリング、DNSセキュリティ、IDS/PS、アンチウイルス、アンチスパムまでをフルカバー。一方、出口対策としては外部から通信されるC&Cサーバーからの対策なども実施できる。
たとえば入口対策では、アプリを可視化・制御し、4800以上のリストの中から業務に必要なアプリのみアクセスを許可したリ、怪しいアプリの使用や業務に不要なアプリの使用を禁止することができる。またSSLインスペクションの有効化すればで、暗号化された内容の精査も可能だ。URL(Web)フィルタリングでは、数十億個のWebサイトを91のカテゴリーに分け、ホワイトリスト/ブラックリストの設定によりWebサイトへのアクセスをコントロールできる。
さらにDNSセキュリティ機能も用意されている。Webフィルタリングでは、Web系通信しかチェックできず、危険なアクセスを許可してしまう可能性がある。そこでDNSセキュリティによって、C&Cサーバからの悪性通信もブロックしてくれる。また、万が一Verona SASEを接続し忘れてダイレクトにローカルブレイクアウトしてインターネットに抜けてしまった場合でも、DNSセキュリティ機能が働くので安全だ。
このほかアンチウイルス/スパムもデフォルトになっており、危険な実行ファイルから守ってくれる。また従来のVPNはその都度手動で接続していたが、Verona SASEでは常時強制的に説独が行えるので(現時点ではWindowsのみ有効)、いつでもどこでも安全なインターネットアクセスが可能だ。
管理性に関してもアクセスのステータス情報などが1つの画面にまとまっており、リモート拠点からテレワーク中のクライアントまでスムーズに把握できる。またトラフィックの確認もでき、負荷や遅延が発生している箇所を特定し、ログの確認をすれば改善方法を導けるだろう。
クライアントのPC紛失時やリプレイス時には、Web上からSaaSで証明書の有効無効を操作できるので勝手に悪用されることもない。Verona SASEはセキュリティに拘った運用体制を取っており、たとえばISMSやNIST SP800-207、JISA Awards 2020なども満たしている。
Verona SASEを導入するなら、まずは拠点間VPNやリモートアクセスVPNなどからスタートしてみると良いだろう。SASEを月額利用で安価に利用し、フルマネージド運用として管理も全面的に任せられるので、中堅・中小企業でも手軽にスタートできるはずだ。
