東芝情報システム株式会社

ITインフラの知見を生かし SASEによるお客様のIT環境の最適化を実現

2019年に登場したSASE注1は、DX(デジタルトランスフォーメーション)推進に欠かせない新しい概念で、IT環境におけるセキュリティ機能とネットワーク機能を組み合わせて最適化を図るものです。当社は、お客様のビジネス環境におけるITインフラ構築の基盤ソリューションとしてSASEを位置付け、お客様のニーズに応えられるよう研究開発に取り組んでいます。

注1 SASE:総合的なセキュリティとネットワークの機能を提供するサービス、プラットフォーム
SIソリューション事業部
冨岡 正俊

SIソリューション事業部
冨岡 正俊

インフラ技術とはどのように関わってきたのでしょう

 入社以来、バックアップシステムの構築など、長年インフラ構築に携わってきました。インフラ構築におけるノウハウの蓄積はさまざまな場面で生かされるようになり、2017年頃、SD-WAN(Software Defined Wide Area Network)によるネットワークの最適化につながりました。この頃のITインフラにおけるトピックは、何と言ってもクラウドの浸透です。官公庁でもクラウドが使われるようになり、一般企業においてもクラウド活用が加速することを想定し、新規領域の規模拡大を目的にSD-WANによるネットワーク最適化に関する提案活動を積極的に行うようになりました。
画像1-1

どのような経緯でSASEに着目することになったのですか

 SD-WANは、拠点間の接続を一元管理するために、複数の回線をアプリケーションで可視化して管理するものです。 従前の日本の企業に見られる特徴として、インターネットへの回線は単独の回線とプロキシを経由してアクセスします。この場合、インターネットアクセスの集中によりボトルネックが起きてしまいます。こうした状況を解消するため、SD-WANが注目されてきました。拠点ごとの管理や専用線のコストダウンを目的にSD-WANを検討する企業が増えてきましたが、コロナウイルス感染拡大の影響でリモートワークが増加すると、皮肉なことにSD-WANのニーズは減少しました。

 在宅勤務にシフトする企業が多くなった結果、インターネットへのアクセスはプロキシを経由することなく個別にアクセスすることとなり、従来のメイン回線のボトルネックが解消された代わりに、VPNアクセスポイントのリソース不足や個別回線の品質問題に伴うネットワークの遅延やウイルス感染などのセキュリティに関連するインシデントなどが発生するようになりました。つまり、品質の不揃いなネットワーク構成では均一なサービスレベルを満たすこともセキュリティを担保することも難しいことが浮き彫りになってきたのです。そうした状況に対応出来るSASE(Secure Access Service Edge)という概念と出合いました。

SASEの特徴について教えてください

 SASEは、2019年に初めてGartner(ガートナー)社が提唱したネットワークセキュリティの新しい考え方です。今までのセキュリティやネットワークの構成は、目的ごとに1つのシステムを構築することが一般的で、システム全体で見ればツギハギ状態であることは拭えず、運用コストや管理コストが増大する一方、接続遅延などの課題が発生していました。私たちは、セキュリティフレームワークとしてのSASEのコンセプトに着目し、クラウドやモバイルの普及で分散する企業のITリソースに対し、ユーザやデバイスを問わずにどこからでも安全にアクセスできるITインフラの実現を支援しようとしています。

 現状のネットワーク構成では、インターネットを使う場合でもVPNなどを活用しデータセンターにアクセスします。データセンターからインターネットへのアクセスとなるため、データセンターがボトルネック(バックホール)になっていました。しかし、インターネット利用が多くなるとボトルネックとなる場所がリモートアクセスの増加でアクセスポイントに変わり、アクセスポイントの増強によるコスト(管理系も含む)増が発生したり、GatewayやFirewallのパフォーマンスが低下してネットワークの遅延が生じたりします。また、会社支給のパソコンを使用して個人で契約している無防備なインターネットに接続することによるウイルス感染のリスク、個人のデバイスやクラウドに関するシャドーIT問題など、多くの課題が顕在化してきています。さらに、ハードウェアについても、それぞれ導入時期の違いにより保守期限が個々で違うなど、管理面の負荷も増大しています(図-1)
画像1-1
 そこでデータセンターの代わりにセキュリティコンポーネンツとしてのSASEを中心に配置する考え方でネットワークを構成する「アイデンティティ中心モデル」への移行によるベネフィットを考えました。場所、時間、デバイスがそれぞれ違っても、インターネットへのアクセスが安全に行えるSASEは、お客様に対してネットワークとセキュリティの両面で安心を提供するコンポーネントとして機能します。SASEの概念を取り入れたネットワーク構成では、「アイデンティティ認証」というキーワードが不可欠です。資格情報、信頼性、役割などの多様な項目について、ユーザ、デバイス、アプリケーション単位で使用権限を設定することにより、企業内のITリソースに透過的にアクセスをさせる、これこそが、「データセンター中心モデル」では実現できなかったクラウド時代の新しい扉を開くアーキテクチャと言えるでしょう(図-2)
画像1-2

SASEによって得られるメリットにはどのようなものがあるのでしょうか

 SASE導入により、業務レベルで期待できるメリットは、①「ゼロトラストの実現」 ②「利用者の利便性向上=多様な働き方への対応」 ③「複雑多岐にわたるコストの削減」 ④「セキュリティポリシーの統一化」 ⑤「管理運用負担の低減」です。中でも「管理運用負担の低減」は、リソース管理などの状況を表示するダッシュボードがたくさんあると運用者の負担が増大し、ヒューマンエラーを招きかねないため、統一した1つのダッシュボードですべてを管理する仕組みが有効的に機能します。

 このように、多くのメリットを実現するSASEは、ネットワーク分野で11要素、セキュリティ分野で13要素をカバーするポートフォリオが特徴です。合計24要素すべてを網羅した状態が最適な状態と言って良いですが、オールマイティにカバーできる製品は現状では存在しません。我々は今、最も必要とされているリモートアクセスで、ゼロトラストネットワークアクセス(ZTNA)、DLP(Data Loss Prevention)といったセキュリティのコンポーネントを中心にアプローチし、多様な展開を見据えた提案を行っていく方針です(図-3)
画像4-1

SASEの導入を検討中のお客様にどのように提案していく考えですか

 お客様にSASEをご検討していただくにあたり、現状の課題や今後の方針などをヒアリングしています。「リモートネットワークに何らかの手を入れたい」「さらなるセキュリティの強化を行いたい」など、漠然とした声を耳にします。そのようなニーズに対して、SASEでカバーする24要素を適宜組み合わせることで、ネットワークとセキュリティの最適化はもちろん、その延長線上に生産性の向上や企業価値向上が期待できることも申し添えておきます。今後、SASEが普及、浸透していくにはクラウドが前提と思われがちですが、決してクラウドファーストであるとは考えていません。お客様がオンプレミスを望むならSASEの構成要素を組み合わせることにより最善の結果を得られるよう提案を実施します。お客様のセキュリティとネットワークの品質を担保するSASEのコンポーネントやポートフォリオをどのようにオンプレミスに活かせるか、ハイブリッド対応が可能かをコンサルティング的な視点で捉え、お客様に最適な環境をご提案いたします。

※この記事に掲載の、社名、部署名などは、2021年9月現在のものです。

お気軽にお問い合わせください。