こんにちは、IIJ Americaエンジニアのあきひサンです。
『SASEを知るシリーズ』では、SASEプラットフォームサービスType-C (以下、本サービス)の何がよいんだっけ?を詳説したいと思います。
SASE (Secure Access Service Edge) はガートナーが定義した「ネットワーク」と「セキュリティ」を融合した新しい概念でしたね。もっと言うと、WAN機能 (SD-WAN) と (ネットワーク) セキュリティとの融合ということができます。
SASE製品導入のメリット
企業のITシステムとしてSASE製品を導入することで、企業やエンドユーザはどのようなメリットを享受できるのでしょうか。今日ここで詳説するのは、SASE導入のベネフィットの1つ、「リモートユーザのセキュリティ向上」についてです。その他のメリットについても『SASEを知るシリーズ』ブログで紹介していきますので、併せてチェックしてみてください。
さて、これまではオフィスのITセキュリティと、リモートユーザのセキュリティは区別して定義・運用してきた、という企業様も少なくないのではないでしょうか。SASEはごくシンプルに、接続するすべての拠点 (オフィス) とリモートユーザに対して同じレベルのセキュリティ機能を提供します。
本サービスは、ユーザトラフィックのセキュリティ検査を実行する「場所」がトラフィックのエントリーポイント、入り口に近いという特徴があります。従来型のWANが導入されている企業ネットワークで、リモートユーザ向けにオフィスと同レベルのセキュリティを確保する場合、企業リソースが集約されているデータセンタやオフィスに置かれたファイアウォールなどのゲートウェイ機器で、トラフィックのセキュリティ検査を行います。定常的にリモートワークを行うユーザが増え、リモートアクセス数が多い場合は、トラフィックのセキュリティ検査が一極に集中するため、高負荷に耐えられる機器・回線を運用しておく必要があります。
一方で本サービスでは、リモートユーザがどこからアクセスしても、最寄りのPoPに自動でアクセスするように設計されています。WANとインターネットの両方のトラフィックに対して最寄りのPoPでセキュリティ検査が行われるため、トラフィックを一か所に集めるといった非効率なことを行う必要がありません。また、PoPの処理性能に関してはSASEプロバイダが管理・運用を行っているため、導入企業がパフォーマンスの設計や見直しを行う必要もありません。
リモートユーザが世界中に設置されているどのPoPに接続しても、同じセキュリティ機能が同じポリシーで適用されます。なお、ポリシーは管理画面で一括して管理されるためリモートユーザの接続先がどんなにバラバラであってもIT担当者の運用には影響を及ぼしません。
次に、リモートユーザに適用されるセキュリティ機能を紹介します。
リモートユーザのセキュリティ機能
1.次世代ファイアウォール
WANとインターネット通信の両方を検査します。ユーザー名、拠点名、時間、トラフィックタイプに基づいて細かいルールを適用し、不要な通信をシャットダウンして端末の安全を確保します。次世代ファイアウォールでは、従来通りのIPアドレスやTCP/UDPポート番号に基づいたルールだけでなく、アプリケーション名やサービス名に基づいたルールも作成することができます。
2.セキュアウェブゲートウェイ (URLフィルタリング)
事前に定義されたカテゴリに基づいて、リモートユーザのWebサイトへのアクセスを監視、制御、ブロックします。この機能により、不要なソフトウエアや悪意のあるソフトウエアのダウンロードを防止したり、業務に関係のないWebサイトの閲覧を防止することができます。監査用のログを取得することも可能です。スマホ(iOS/Android)にも適用されますので、会社支給のスマホ端末からの通信も監視できます。
3.(オプション) アンチマルウェアおよび次世代アンチマルウエア
WANとインターネット通信の両方に適用されます。既知のマルウエアは常に最新の状態に保たれたシグネチャ及びヒューリスティックベースの検査エンジンでチェック、未知のマルウェアは機械学習ベースの検出エンジンを利用してチェックします。
4.(オプション) IPS/IDS
ふるまい検知やレピュテーション解析など、様々な技術を組み合わせてマルウェアが発生させる危険な通信や、ネットワークへの侵入行為を検知・防御する機能です。外部から内部へのアクセスだけでなく、内部から内部、内部から外部への通信も検査することが可能です。
このように、本サービスを導入することで、企業リソースへのリモートアクセスを実現するだけでなく、オフィスにいるときと同等のセキュリティレベルをリモートユーザへも簡単に適用することができます。
本サービスを利用することで、つぎのようなケースでリモートユーザのアクセスを管理できるようになります。
マネージャー以外は、特定のカテゴリのWebサイトへのアクセスをブロックする
特定のユーザのみ、SSHやRDPといったプロトコルの通信を許可する
FacebookやYouTubeなどのアプリは、業務時間外のみアクセスできるようにする
アクセスしようとしたWebサイトでマルウエアを検知したり、レピュテーションが低い場合、アクセスをブロックする
ユーザ毎、あるいはユーザグループで、Webサイトへのアクセスや、企業リソースへのアクセスに対して、通信をブロックするのか、モニター(通信は許可するが、ログとして記録)するのか、プロンプト(注意喚起ページを表示)するのか、等をあらかじめ設定できます。これらの機能により、柔軟なセキュリティ施策、脅威の防御と利便性のバランスが可能になります。
まとめ
一言でいうとSASEは、リモートユーザに対してオフィスユーザと同等のセキュリティを簡単に提供することができます。SASEはこれだけではないのですが、特にリモートユーザのセキュリティが気になる方に向けて、念入りにご紹介しました!
この記事が気になった方はIIJ Americaへお気軽にお問い合わせください。無料電話相談のご予約はこちらのWebフォームから承ります。
SASEを知るシリーズ
(4)[準備中] SASE導入のベネフィット:IT運用の効率性向上
SASEプラットフォームサービスType-C
<4.19.2021 プレスリリース>
Comentários