第3回アクセス管理1 インターネットブレイクアウト導入のメリットと準備

2021.08.122025.06.25

第3回アクセス管理1 インターネットブレイクアウト導入のメリットと準備

新型コロナウイルス対策のリモートワーク環境増強により生まれた課題「WANのボトルネック」を解消するために、アライドテレシスがSD-WAN（インターネットブレイクアウト）を導入したことは、第1回で紹介した。
第3回からはアライドテレシスが導入した（検証している）ゼロトラストセキュリティの具体例をもとに詳細を紹介していく。まずは今回から3回に分けて、インターネットブレイクアウトによるアクセス管理について、その方法、効果やコツなどを紹介していく。

ゼロトラストセキュリティ導入記のまとめはこちら

連載ななめ読み「ゼロトラストセキュリティ導入記」第1回目から第10回目の連載内容を振り返って

WANアクセスの最適化を実現するインターネットブレイクアウト

SD-WANはソフトウェア制御（仮想化）によるWANの最適化である。さまざまな手法でWANの運用性や管理性、セキュリティを向上するが、インターネットブレイクアウト（ローカルブレイクアウト）もその手法の一つだ。
インターネットブレイクアウトは、ごく簡単に言えば、各拠点からインターネットやクラウド上のサービスに直接アクセスさせる手法だ。通常であれば各拠点からのクラウドサービスへのアクセスは、IP-VPNなどの閉域網を経由して、本社やデータセンターのゲートウェイを経てサービスへアクセスさせるのだが、インターネットブレイクアウトでは閉域網や本社・データセンターのネットワークを経由することなく直接インターネット経由でアクセスさせる。これにより本社拠点間の閉域網やゲートウェイのトラフィックを減らすことができる。

しかしそのまま直接クラウドサービスへアクセスさせることは、セキュリティへの懸念を増加させる。そこで、アプリケーションや接続先ごとにトラフィックを「本社やデータセンターのゲートウェイを経由させる」「サービスへ直接アクセスさせる」と分けて、アクセス方法を設定することが必要となる。このようにアクセスを分け、設定・管理するための仕組みがSD-WANである。

ユーザー認証：IDaaSでユーザー・デバイスに基づいた認証
エンドポイントセキュリティ：EDRでリスクに応じた動的なポリシー制御
アクセス制御：セキュリティゲートウェイ、SD-WAN/SD-LANで常に通信をチェックして最小限でアクセスを許可
ログ監視：SIEMですべての通信を常に監査・分析

一般的にゼロトラストセキュリティを実現するために必要とされている要素には上記が挙げられるが、SD-WAN（インターネットブレイクアウト）はこのうちのアクセス制御にあたる部分だ。ゼロトラストセキュリティは上記の要素が連携し、組み合わせて効果を得ることになるが、アライドテレシスでは以前からすでに二要素認証を導入し、ユーザー認証の強化についてはスタートしていた。

福川原

ID＋パスワードだけでなく生体認証も導入し、Active Directoryと連携したユーザー認証の強化を実施しています。インターネットブレイクアウトではしっかりとしたユーザー認証も必須です。

当然ではあるが、インターネットブレイクアウトは直接インターネット経由でクラウドサービスにアクセスさせることになるため、「そのユーザーが本人であること」をしっかりと認証することが重要だ。アライドテレシスのユーザー認証、ID管理についてはまた別の回で詳細を紹介する。

ネットワークのボトルネック解消にはまず「調査」が重要

アライドテレシスのゼロトラストセキュリティがインターネットブレイクアウトから始まったことは第1話、第2話でも紹介した。リモートワークの推進でWANの帯域がひっ迫し、業務に支障が出ていたことを解消するための施策である。

第1回ゼロトラストセキュリティ導入のきっかけは「新型コロナ対策」から？

第2回ゼロトラストセキュリティの実現には何が必要？

福川原

酷いときにはネットワークに接続できないこともありました。ですが、こうしたネットワークの遅延は常時発生するわけではなく、不特定の時間帯で発生していましたので、調査は大変難しいものでした。

ネットワークの遅延は、それが発生しているときに調査しなければ正確な原因は分からない。不定期で発生する遅延に調査は難航した。

中村

調査の結果、本社と拠点間を結ぶ閉域網、その本社側の入り口のところでトラフィックが詰まっていることが分かりました。他にも、クラウド・インターネットへの出口やデータセンターと閉域網の間などもトラフィックが帯域上限に達することが多くありました。

ボトルネックを解消するためにはトラフィックの分析だけでは不十分だ。利用されているクラウドアプリケーションは何か？どのような使われ方をしているのかも重要な要素となる。
利用されているアプリケーションを分析すると、TeamsやZoomといったコミュニケーションツールの利用率、利用時間が大幅に増え、とくにTeamsを含むMicrosoft 365関連のトラフィックが全体の4割以上を占めていた。

中村

ネットワークのどの部分がボトルネックになっていて、どのようなアプリケーションがどのような使われ方をされているかを調査することは大切ですが、実際、その作業やボトルネックの特定は非常に難しいものです。当社はネットワークベンダーとして日々お客様のネットワーク環境の最適化も支援していますが、この事前調査フェーズはとくに重要なポイントです。

調査結果を受け、最初に閉域網のIP-VPNの帯域を強化する（太くする）検討を行い、実際にある程度は帯域を強化したもののあまり効果は無く、効果が出るだけの規模で帯域を強化するのはコスト的に難しいと判断した。

福川原

当社の環境では閉域網にIP-VPNを利用していますが、帯域保証を付けた比較的高品質な回線です。これをボトルネック解消まで帯域強化しようと思うと、インターネットブレイクアウトと比較して約10倍のコストが必要になるという試算になりました。

次回、アクセス管理2では、アライドテレシスが実際に行ったインターネットブレイクアウト導入の詳細とその効果について紹介する。

（第4話につづく）

連載記事

ゼロトラストセキュリティ導入記

働き方の変化などで最近注目の的となった新たなセキュリティの考え方「ゼロトラストセキュリティ」。一言に「ゼロトラスト＝信頼しない」セキュリティ対策と言っても、そうシンプルなものではない。
そこで当連載では、アライドテレシスが実際にゼロトラストセキュリティを導入した例を交え、ゼロトラストセキュリティが目指すもの、個別の手法とその効果などを中心にお伝えしていく。