MENU

ゼロトラストセキュリティ

ゼロトラストセキュリティ

ゼロトラストセキュリティ導入記~今なすべきセキュリティ対策のコツ~

2021.08.26

第4回
アクセス管理2 インターネットブレイクアウト導入の実施例とその効果

アライドテレシスが導入したゼロトラストセキュリティの具体例をもとに、その詳細を紹介する連載の第4回。今回は、インターネットブレイクアウトによるアクセス管理についての2本目。アライドテレシスが実際に行ったインターネットブレイクアウト導入の詳細とその効果について紹介する。

インターネットブレイクアウト導入の具体的な実施内容

そこで既存契約の回線帯域1の強化ではなく、インターネットブレイクアウト2を導入しボトルネックを解消することを決定した。アライドテレシスでは新型コロナウイルスの流行以前より、ゼロトラストセキュリティ3の調査・検証を行っていたため、こうした課題の解決にインターネットブレイクアウトが効果的であることをすでに分かっていたのだ。

用語解説
  • 1

    帯域:通信で使われる周波数の幅。帯域が広い場合は一度に送信可能な通信量が多く、狭いと少ない。インターネット普及後は、通信可能速度を意味することが多い。

  • 2

    インターネットブレイクアウト:特定のアプリケーションを抽出して、データセンターを経由せずに拠点から直接インターネットへ接続し、センター側回線のトラフィックを削減する機能もしくはその方法のこと。

  • 3

    ゼロトラストセキュリティ:「信頼しない(ゼロトラスト)」ことを前提とするセキュリティ対策の考え方。モバイル端末の活用拡大、テレワークなどの働き方の変化により、これまでの「社内ネットワークの端末は安全」という境界型ではなく、全ての通信を信頼しない前提でさまざまなセキュリティ対策を行うことが必要となっている。

DevOps実施構成

具体的な導入としては、まず全国11ヶ所の拠点にSD-WAN4対応のアドバンスト・セキュアVPNアクセス・ルーター「AT-AR4050S」を設置する。ZoomやTeamsなどのアプリケーション通信を識別する機能(DPI5機能)を用いてトラフィックをアプリケーション毎に負荷分散、つまりブレイクアウトすることとした。
インターネットブレイクアウト用のUTMは既存のデータセンター配置ではなく、アライドテレシス独自の自社サービスであるセキュリティゲートウェイ(クラウドUTM6)を利用して、クラウドUTMとの接続にはベストエフォート回線7を採用。IP-VPN8を経由することなくクラウドサービスへアクセスできる構成だ。

インターネットブレイクアウトでは、拠点からインターネット回線でクラウドサービスにアクセスすることになるため、セキュリティ管理が重要になる。ゼロトラストセキュリティでは常に通信をチェックすることが重要となるが、拠点ごとにUTM9などのゲートウェイを導入するのはコスト的にも運用的にも大変で、管理上の漏れも発生しやすい。
そこで、セキュリティゲートウェイを立て、クラウドUTMとして動作させてセキュリティを担保するとともに、ブレイクアウト回線を一旦クラウドUTMに集約することで一元的な管理及び可視化を実現している。各拠点のセキュリティ、ポリシー設定なども集約したクラウドUTMから行うことが可能だ。

なお今回は、セキュリティゲートウェイ(クラウドUTM)を利用することで、万一の障害の際には通信を迂回できる、可用性の高い構成にしている。既存回線・新規回線の双方でバックアップ経路を持たせている。

用語解説
  • 4

    SD-WAN(エスディー・ワン):Software-Defined Wide Area Networkの略。ソフトウェア制御により広域ネットワークを運用管理する技術。従来のように現場に赴いて機器の設定や調整を行うのではなく、中央のソフトウェアで広域なWANネットワークの構築や設定、制御を行うこと。

  • 5

    DPI(ディーピーアイ):Deep Packet Inspectionの意。通信データを監視し、その内容に応じて通信先の振り分けを行うパケットフィルタリングのひとつ。ネットワーク上で行われるデータのやり取りを解析し可視化することで、怪しいふるまいなどをしている通信を特定する機能。

  • 6

    クラウドUTM:ファイアウォールや不正侵入検知(IDS/IPS)、アンチウイルスやアンチスパム、Webフィルタリングなどのセキュリティ機能を集約したUTM(Unified Threat Management)機能を、アプライアンスではなくクラウドサービスとして提供するもの。

  • 7

    ベストエフォート回線:ネットワーク回線を提供している通信事業者が回線契約時に提示する最大通信速度を上限値として、利用者に提供する回線。

  • 8

    IP-VPN(アイピー・ブイピーエヌ):通信事業者が自社のIPネットワーク上に仮想的なネットワーク(VPN)を設定し、限定されたIPのみ通信を行わせることで、セキュリティの確保された安価なWAN回線として提供するサービスのこと。

  • 9

    UTM(ユーティーエム):Unified Threat Managementの略。統合脅威管理。ファイアウォールのみならず、不正侵入検知(IDS/IPS)やアンチウイルスやアンチスパム、Webフィルタリングなどのセキュリティ機能を集約した製品。管理・運用面の負荷軽減と一元管理を実現できる。クラウドUTMはアプライアンスではなくクラウドサービスとしてUTM機能を提供するもの。

中村

中村

万が一、ブレイクアウト側の通信ができなくなっても既存のデータセンターを経由してクラウドサービスにアクセスできるようにしています。分散構成による冗長化ですね。多くの業務でクラウドサービスを利用しているため、サービスの停止は業務そのものの停止に繋がります。なので、こうした対策も非常に重要です。

アライドテレシスでは、インターネットブレイクアウトについて2019年以前よりサービス化に向けて調査検証を行っていたため、導入への障壁は比較的低かったという。

福川原

福川原

利用しているクラウドサービスを調査した上で、Microsoft 365やZoom、ファイル共有などに関わる通信をブレイクアウトさせることで、IP-VPNのボトルネックを解消しています。2020年4月に遅延が判明し、調査を始めて2ヶ月弱でインターネットブレイクアウトを導入しています。

中村

中村

2ヶ月弱と聞くとあまり短く感じられないかもしれませんが、当時はほぼ全ての企業や組織がリモートワークを強化しており、機器や回線の調達に長い時間を要していた時期です。今回のインターネットブレイクアウト導入では、ブレイクアウト用のベストエフォート回線が約1ヶ月で調達できたこともあって、2ヶ月弱という短期間で導入することができています。

なお、リモートワークからの接続については、基本的にUSBシンクライアント10(USBで起動するタイプのシンクライアント。端末にデータを残さない)でアクセスする形になるため、クラウドサービスについては、一度社内ネットワークにアクセスしてからブレイクアウトの回線に繋がることになる。そのため、本社やデータセンターからインターネットへの出口の回線がひっ迫していた部分も併せて解消したことになる。

用語解説
  • 10

    USBシンクライアント:専用USBメモリを起動させてシンクライアント環境を実現するソリューション。普通のPCを容易にシンクライアント化できる。専用USBのため、セキュアな環境を実現可能。

インターネットブレイクアウトのポイントは「セキュリティゲートウェイ」

インターネットブレイクアウトの導入により、業務に支障を来たすネットワークのボトルネックは解消できた。クラウドアプリケーションの遅延や停止、ネットワークに接続できないといった声はまったく聞かれなくなった。とくにメールサービスなど利用が頻繁なものは、遅延が大きなストレスにも繋がるため、この解消は大きな意味を持つ。

中村

中村

頻繁に起こっていた業務遅延はなくなりました。非常に安定して、ストレスなく快適に使える状態になっています。インターネットブレイクアウト用の回線はベストエフォート型ですが全く問題はなく、コスト的にもメリットのある対策ができたと思います。

分散構成にすることで可用性を高めていることは紹介したが、クラウドUTMを利用することで、一元管理と拡張性を担保していることも運用側のメリットになっていると言う。

中村

中村

クラウドUTMによりトラフィックを可視化できるのはもちろん、アプリケーションごとの利用状況なども一目で確認できます。また、クラウドUTMは必要なスペック分だけ利用できますので、トラフィックや拠点数に応じて柔軟に拡張することも可能です。既存契約の回線帯域強化ですと対策が“イタチごっこ”になることもありますが、この構成であれば容易にブレイクアウトを拡張できます。

なお、クラウドUTMを利用した場合と既存のVPN11やファイアウォール12を利用した場合の比較は以下の表の通りだ。

用語解説
  • 11

    VPN(ブイピーエヌ):Virtual Private Networkの略。インターネットのように誰もが利用できる公共のネットワークを利用して、プライベートなネットワークを作ること。VPN環境の実現にはパケットのトンネリングや暗号化の技術が必要になる。

  • 12

    ファイアウォール:FW、F/Wと略して記載されることも多い。ファイアウォール(防火壁)はインターネット・イントラネットで接続された社内(グループ内)のホスト(端末やサーバーなど) および、ホスト内部の機密情報を外部からのウイルスや不正侵入者から守る装置の総称を指す。

クラウドUTMを利用した場合との比較表

パフォーマンスに優れ、スケーラビリティ(拡張性)も高く、柔軟にセキュリティを制御できることがセキュリティゲートウェイ(クラウドUTM)の特長となっている。

福川原

福川原

アライドテレシスでは今後、クラウドUTMを「セキュリティゲートウェイ」として提供していきます。いわゆる「SASE(Secure Access ServiceEdge)13」と呼ばれる分野の一つですが、それと同様に、あらゆる場所からのアクセスをセキュアに行うためのゲートウェイとして、分かりやすいサービスを訴求していきたいと考えています。

オンプレミス14、クラウドをシームレスに接続し、さまざまなセキュリティ対策のゲートウェイとして提供していく。今回のインターネットブレイクアウト導入はその第一歩と言える。

用語解説
  • 13

    SASE(サシー、サッシー):従来の社内ネットワークとインターネットの境界線にファイアウォールやUTMなどを置いて通信を監視する従来方式に対し、ネットワーク管理やセキュリティ機能などをクラウド上に統合して管理するという考え方。2019年に調査会社ガートナーが提唱した新しいネットワークセキュリティのモデル。

  • 14

    オンプレミス:オンプレとも略される。自社内や運用・管理しているデータセンター内にシステムを構築、所有、運用するコンピューティング形態。クラウドコンピューティングと対義的な用語として用いられることが多い。

LAN側のセキュリティ対策とも連携し、効果を高める工夫も

ゼロトラストセキュリティは、複数のソリューションを組み合わせて実現する。今回のアライドテレシスの導入では、セキュリティアプリケーションと連携してアクセス制御を行う「AMF-SEC15」と連携して、セキュリティ強度を高めている。

用語解説
  • 15

    AMF-SEC:AMF-SECurityの略。アライドテレシスが開発したセキュリティ対策ソリューション。ネットワークを構成する通信機器をソフトウェアによって集中的に制御する技術SDN(Software-Defined Networking)により、各種アプリケーションと連携して各通信機器が直接接続するネットワークのエッジ側(エンドポイント)を管理。デバイスをネットワークから自動的に遮断・隔離して被害の拡大を防ぐことができる。

中村

中村

クラウドUTMのアラートを検知したときに、AMF-SECとの連携により、LAN側の該当する被疑端末を隔離することもできます。LANのセキュリティ制御もできるようになっています。

このように複数のソリューションを組み合わせて効果を高めることができるのも、ゼロトラストセキュリティの特長と言える。

次回アクセス管理3では、インターネットブレイクアウト導入により得られた知見とノウハウをもとに開発・提供に至ったサービスの紹介と、導入の上で気を付けるべきポイントのまとめを紹介する。

(第5話につづく)

関連リンク

セキュアVPNルーターARシリーズ
セキュリティソリューションAMF-SEC
テレワーク
ソリューション

登場者

福川原 朋広

アライドテレシス株式会社
サポート&サービス事業本部
上級執行役員 本部長
福川原 朋広

中村 徹

アライドテレシス株式会社
サポート&サービス事業本部
サービスDevOps部 部長
中村 徹

  • 本記事の内容は公開日時点の情報です。
  • 記載されている商品またはサービスの名称等はアライドテレシスホールディングス株式会社、アライドテレシス株式会社およびグループ各社、ならびに第三者や各社の商標または登録商標です。
BACK TO LIST
  • ソリューション
  • サービス
PageTopへ