ネットワークの柔軟性を確保したり、管理負担を軽くしたりできる技術として注目されているのが「SD-WAN」です。SD-WANは、利便性に優れている点が大きな利点ですが、セキュリティに関しての課題は見過ごされがちです。この記事では、SD-WANのセキュリティ面の課題、及びその対策方法をご紹介。導入を検討されている方は、ぜひ参考にしてください。
SD-WANとは
SD-WANとは、企業が利用するWANをSDN化したもので、具体的には、WANのトラフィック監視やポリシー策定、優先順位付けなどを、一つのソフトウェア上で実現させます。そもそもWANとは、「Wide Area Network」の略で、会社の各拠点にあるLAN同士が通信するためのネットワークのことを指します。通常は、電気通信事業者のWANサービスを契約して利用します。
一方でSDNとは、「Software Defined Network」の略で、仮想環境を作り出し、ソフトウェアを用いた柔軟な管理を可能にするためのネットワークのことです。各機器にある「ネットワーク制御」の機能がソフトウェア上で一つにまとまるため、管理者の運用負担を軽減することが可能です。
SD-WANでは、ソフトウェアによる仮想環境のところでWANを一元管理します。そのため、通常のWANと比べるとネットワーク設定をするために各拠点へ出向いたり、機器ごとに設定したりする手間を省くことができます。
SD-WANの特性
ここでは、システムの観点から見た場合、SD-WANにどのような特性があるのかを解説いたします。
ゼロタッチ・プロビジョニング
ゼロタッチ・プロビジョニングとは、OSや機器の固有設定を自動化することによって、ネットワークへ接続するだけで使用を開始できるようにする仕組みのことです。ソフトウェア上に設定データがあらかじめ用意されており、機器で参照するだけでセットアップを完了させることができます。
SD-WANにおいては、ネットワーク制御を一元管理するため、ゼロタッチ・プロビジョニングを実現することが可能になります。インターネット回線と接続されたエッジ機器の電源を入れ、指定するWi-Fiネットワークへ接続し、メールなどで送られてきた設定用のURLをクリックするだけで準備完了となります。
SD-WANを導入すると、ネットワークエンジニアが、国内や海外の各拠点へわざわざ出張に行く必要がなくなるため、運用経費や作業負荷を大幅に削減することができます。SD-WANによるゼロタッチ・プロビジョニングを実現することで、今までよりもビジネスのスピードを加速することが可能になります。
アプリケーション識別
SD-WANの活用によって、数千種類以上の接続先アプリケーションを識別することができます。例えば、SNSやIP電話、SaaSの業務システムなど、さまざまなアプリケーションに対応しています。SD-WANの管理画面上では、自社のアプリケーションがどれくらい使用されているかを一元的に把握することができ、必要に応じて回線を切り替えたり、後述するインターネットブレイクアウトを実現したりすることが可能となります。
インターネットブレイクアウト
インターネットブレイクアウトとは、企業の各拠点から、Web閲覧やSaaS利用の際に直接アクセスすることができる仕組みのことです。データセンターで一元的にトラフィック管理をする必要がなくなるため、回線負荷を削減することができるのが大きなメリットです。
本来であれば、インターネットブレイクアウトを実現するためには、複雑なトラフィック制御を行わなければなりませんでした。しかし、SD-WANでは各拠点のネットワーク制御を容易に行えることから、手間やコストを削減しつつインターネットブレイクアウトを実現できます。
近年では、クラウド型アプリケーションの普及、インターネット接続拠点の増加などによって、企業のトラフィック量が増大傾向にあります。本社のデータセンターなどへかかるネットワーク負荷を削減するためにも、SD-WANによるインターネットブレイクアウトは重要となります。
セキュリティの理解に欠かせない、SD-WANの仕組み
SD-WANのセキュリティを理解するために欠かせない、通信の仕組みについて解説いたします。
SD-WANは、一元管理をするためのシステム「オーケストレータ」、トラフィックや稼働状況を一覧で表示する「ダッシュボード」、通信機器と回線をつなぐ「エッジ機器」の3種類で構成されており、それぞれが相互に連携し合うことで、正常に動作しています。
まず、PCからのデータ通信が始まると、Wi-Fiなどのネットワークを経由し、エッジ機器へ送信されます。その後、エッジ機器からデータ転送されたオーケストレータにて通信の判別が行われ、事前に設定されたWAN回線もしくはインターネット回線へ接続します。管理者は、これらの通信をダッシュボードから確認し、現状の把握や設定の変更を行うことができます。
従来は、各拠点から行われたデータ通信はすべて、中央のデータセンターを一度経由する仕組みになっていました。それに対してSD-WANでは、オーケストレータにて一度通信を受信するため、ダイレクトに適切な振り分け先の選択ができるのです。
SD-WANのセキュリティは大丈夫?
SD-WANは、データセンターを経由せずに直接インターネット通信を行う「インターネットブレイクアウト」を実現するため、セキュリティ面では従来に比べてより一層注意が必要になります。
従来のWANでは、データ通信はすべてデータセンターで行うため、監視や制御などが容易でした。しかしSD-WANにおいては、それぞれの機器からダイレクトにインターネットへ接続することもあるため、セキュリティホールが発生するリスクが高まります。
また、多くのSD-WAN製品は、使い勝手やシンプルな構造を重視したものが多く、セキュリティへの配慮に欠けていることもあるのが現状です。そのため、セキュリティ対策がなされたSD-WAN製品を検討したり、自社で独自にセキュリティ対策を行ったりすることが求められます。
SD-WANのセキュリティ課題を解決する方法
ここでは、SD-WANのセキュリティ課題を解決するための3つの方法をご紹介いたします。
1.各拠点へのファイアウォールの導入
一つ目は、各拠点へのファイアウォールの導入です。ファイアウォールを設置すれば、外部ネットワークとの壁が作られるため、通信を制御してセキュリティを高めることが可能になります。ファイアウォールには、クラウド型とオンプレミス型の2種類が存在します。SD-WANと相性の良さを考えた場合、クラウド型の導入をおすすめします。
各拠点へファイアウォールを導入する際、拠点数が少ない会社であれば容易に実施できます。しかし、多拠点を有する企業の場合は、コストや運用負担の面で現実的とは言えません。その場合は、以下で解説する方法を検討しましょう。
2.セキュリティ機能を搭載しているSD-WAN製品の導入
もともとセキュリティ機能が搭載されているSD-WAN製品を導入するというのも有効な手段の一つです。具体的には、ファイアウォールやトラフィック監視・制御、通信暗号化などを利用することができます。
とくに、SD-WANにおいてファイアウォール機能を利用できれば、一つの画面でネットワークセキュリティを管理できるため、管理者の運用負担は大幅に軽減されます。更に、セキュリティポリシーの一貫性を保つことが容易になるというメリットもあります。
以上の理由から、SD-WAN製品を比較検討する際は、ファイアウォールをはじめ、セキュリティ機能がどの程度搭載されているのかを十分に確認することが重要です。
3.SWGやCASBの導入
SWGやCASBなどのクラウド型セキュリティサービスの導入も、SD-WANがもつセキュリティ面の課題を解消するための有力な方法です。
SWGとは「Secure Web Gateway」の略で、安全にネットワークへのアクセスを行うためのクラウドサービスのことです。具体的には、「アンチウイルス」「Webフィルタリング」「アプリケーション制御」「サンドボックス」といった機能が搭載されています。
一方CASBは、「Cloud Access Security Broker」の略で、クラウドサービス自体のセキュリティ能力を高めるためのサービスのことです。エンドポイントユーザーとクラウドサービスの間に位置し、アクセス制御やアンチウイルスといったセキュリティ対策を1つの管理画面で行うことができます。
SWGとCASB、この両者の相性はとてもよく、組み合わせて使用することで、WebとSaaSサービス双方へのセキュリティ対策が可能になります。SD-WANへ組み込むことで、インターネットやSaaSサービスへダイレクトにアクセスする「インターネットブレイクアウト」においても、比較的安全の高い通信が可能になるのです。
SD-WANを活用した新しいセキュリティの形「SASE」とは?
SASEとは、「Secure Access Service Edge」の略で、ガートナー社が2019年に提唱した新しいセキュリティの概念です。具体的には、クラウド上で提供されるネットワークサービスとセキュリティサービスを、統合管理しようという考え方になります。
クラウドネットワークサービスとクラウドセキュリティサービスは、現在のところ別々に存在しており、運用者の管理負担は大きくなってしまう傾向にあります。しかし、SASEにより両者を一元管理することによって、自社のセキュリティポリシーを統一したり、データ通信のパフォーマンスを向上させたりできるのです。
SASEは、拠点間の通信をクラウド化するための「SD-WAN」、社外からの通信をクラウド化するための「ZTNA(Zero Trust Network Access)」、そしてSWGやCASBなどの「クラウドセキュリティサービス」から構成されます。上記の要素が融合することによって、社内・社外の場所を問わず、クラウドを活用した安全性の高いネットワーク通信が可能になります。
単体でSD-WANを利用するのではなく、ほかのネットワーク概念やセキュリティ概念も取り入れ、それらを組み合わせることによって、利便性やセキュリティをより高いレベルへ引き上げることが可能になるのです。SD-WANの導入後に、SASEの実現を目指していくのも一つの手でしょう。
SD-WANのセキュリティについて理解し、適切な対策を講じよう
この記事では、SD-WAN運用時のセキュリティ課題と、具体的な解決方法についてご紹介いたしました。SD-WANの導入によって、各拠点からダイレクトにインターネットへ接続することが可能になるため、今まで以上にセキュリティ面での注意が必要となり、よりレベルの高い対策が求められます。
SD-WANによってインターネットブレイクアウトを実現する際は、以下のセキュリティ対策が有効です。
-
各拠点へのファイアウォールの導入
-
あらかじめセキュリティ機能が搭載されているSD-WAN製品の導入
-
SWGやCASBなどのクラウド型セキュリティサービスの導入
これからも、SD-WAN自体のセキュリティ機能や、周辺のクラウドセキュリティサービスの機能は次々と進化し、グレードアップしていくことが予想されます。自社の通信状況やセキュリティポリシーなどと照らし合わせて、適切な対策を講じてみてください。
コメント