いつでもどこでも働ける環境を実現するためにクラウドに注目が集まる一方、企業のクラウド移行は進んでいない――ゼットスケーラーは、企業のクラウド移行が進まない理由や企業がクラウド移行を成功させるために必要な3要素を語った。
新型コロナウイルス感染症(COVID-19)をきっかけに企業のリモートワーク導入が加速する中で、明るみに出たことがある。国内企業のクラウド移行がうまくいっていないという現実だ。
「米国のクラウドシフトの割合が30〜50%といわれているのに対して、日本は2桁に乗るか乗らないかが現状だ」。2020年6月に開催された「@IT NETWORK Live Week」の講演「今求められるクラウドネイティブなプラットフォーム〜セキュリティと生産性の両立〜」でそう述べたゼットスケーラーのエバンジェリスト&アーキテクトである髙岡隆佳氏は、原因はアーキテクチャがレガシーに縛られたままである点であると指摘した。
髙岡氏はクラウド移行を成功させるポイントは、3つの要素の移行(トランスフォーメーション)を並行して実装することだと定義する。
特にセキュリティとネットワークのトランスフォーメーションはクラウド時代のフレームワーク「SASE」(Secure Access Service Edge)としてGartnerが定義している。ユーザーエクスペリエンス(UX)や生産性の担保を前提に、サービス状況に応じてスケールし、オンプレミス時代と変わらないセキュリティポリシー管理を実現できなければならない。ゼロトラストモデルを実践する上でも、SASEは重要な要素となってくる。
ところで、企業の現行アーキテクチャはどうなっているのだろうか。本社や拠点がインターネットへ接続するにはトラフィックを一度自社データセンターやサーバ拠点に集約し、セキュリティポリシーで制御した上でアクセスさせるという「ネットワーク一点集中型」は当たり前。セキュリティについては、安全な通信やデータ保護でVPN(Virtual Private Network)やシンクライアントを採用するケースが一般的だろう。
しかし、「Microsoft 365」など膨大なトラフィックが生成されるようなアプリケーションを利用する場合、特に社員の大半が自宅でのリモートワークに移行した企業であれば、就業開始時間のアクセス負荷は相当に膨れ上がり、処理性能が足りずに遅延の原因となり得る。高額なネットワーク機器の増設で拡張を余儀なくされるところも少なくないだろう。セキュリティ対策についても同様だ。新たな脅威に対抗するため、SSL(Secure Sockets Layer)プロキシやIPS(侵入防御システム)、次世代型ファイアウォールなどを次々と導入し、多層防御で守る構成は、アクセス負荷や遅延の呪縛から逃げられない。
かといって、自社データセンターを介さず直接クラウドサービスへアクセスしても良いかというと、そういうわけにもいかない。リモート端末が感染すれば悪意ある通信が社内リソースへアクセスできることから、VPNは万全な対策とはいえず、かえって二次感染や情報漏えいのリスクを増長させる。シンクライアントはアクセス負荷の観点で生産性低下を招く。
Zscalerが米国で創立した2008年当時は、クラウドコンピューティングが台頭し始めた時代。自前のデータセンターやハードウェアは「Microsoft Azure」や「Amazon Web Services」などのIaaS(Infrastructure as a Service)やPaaS(Platform as a Service)に移行し、業務アプリケーションもオンプレミスからSaaS(Software as a Service)に取って代わり始めていた。その中で、Zscalerの創業者でCEOのジェイ・チャウドリー氏は「ネットワークとセキュリティだけがオンプレミスに残るわけがなく、いずれクラウドベースで提供されるようになる」と予測。クラウドプロキシやCASB(Cloud Access Security Broker)などが活用される未来を見越して、ネットワークとセキュリティをクラウド提供するサービス事業者として取り組んできた。それから10年以上がたった今も、ネットワークとセキュリティについては残念ながら当時のままだ。
「アプライアンスが仮想化され、NFV(Network Function Virtualization)やSDN(Software Defined Networking)が登場したものの、各機能がシングルテナントで動作し、個別の設定や制御、ロギングが必要で、スケールが難しいことはこれまでと変わらない」(髙岡氏)
ゼットスケーラーは、「Zscaler Cloud」を介してクラウドサービスや自社データセンターへセキュアで快適なリモートアクセスが可能なソリューション「Zscaler Private Access」(ZPA)や、Zscaler Cloudを介してクラウドサービスにアクセスする「Zscaler Internet Access」(ZIA)を提供している。
ユーザーはクライアント端末に専用アプリケーションをインストールするだけで、Zscaler Cloudをプロキシとして、適切なセキュリティポリシーに応じたアクセスが可能になる。管理者もユーザーのテレメトリーを把握でき、トラブルシューティングやセキュリティ対応に必要な可視化を実現できる。導入は簡単で、短期間でゼロトラストネットワークを構築できるのが特長だ。
特筆すべきは、これらサービスを支えるゼットスケーラーの分散型アーキテクチャだ。機能は3つに大きく分けられ、グローバルに分散管理されている。脅威インテリジェンスやポリシー管理といった脳として動作する部分、トラフィックの全パケットをインラインで高速処理するエッジ部分、匿名化され圧縮されたログをリアルタイムに指定パスへ送信、保存する「ナノログ」部分だ。
ポリシー管理は、完全に日本語対応したユーザーインタフェースのポータルが用意され、各種セキュリティ機能の推奨設定からベストプラクティスを確認できる他、ワンクリックでレポート生成する機能もある。エッジ部分は、150カ所の同社データセンターに分散配置され、利用地域のエッジで遅延を最小限に抑えながらサービスを享受できる。
さまざまなエッジのパフォーマンス測定ツールやWebサイトが公開されており、トラブルシューティングに役立てることができる。プロキシ接続テストや遅延確認ツール、サービス状態確認などだ。6カ月間のログを指定地域のナノログに保存できる。受信用仮想マシンが必要にはなるものの、オンプレミスのSIEM(System Information and Event Management)に転送することも可能だ。重複排除や匿名化、圧縮処理がかけられるため、ログによる保存領域の圧迫を防ぐことができる。
これだけではない。クラウド移行やクラウド活用で課題となるセキュリティとパフォーマンスについて、設計面から徹底的にチューニングされている。
例えば、プロキシ処理の部分だ。通常、プロキシでパケット処理する場合、イーサネットヘッダやIPヘッダ、TCPヘッダなど各レイヤーでキューが発生し、処理にパケット当たり10ミリ秒ほどかかるといわれている。わずかな遅延に思えるが、積もり積もれば「プロキシを通すと重い」と感じる要因になる。ゼットスケーラーの技術では各ヘッダを並列処理するので、キューが発生しない。これにより、従来の遅延の100分の1に当たる0.1ミリ秒で処理が可能だ。
さらに、セキュリティの多層防御の処理でかかる内部遅延を抑えるために、セキュリティ処理を全て「SSMA」(Single Scan Multiple Analysis)で並列処理。複雑な多層処理が0.1ミリ秒で完了する。
「ユーザーがVPNを介することで60ミリ秒以上、プロキシ処理でパケット当たり10ミリ秒以上、多層防御処理で200ミリ秒以上、ピアリングで2ミリ秒以上かかるのが一般的だとした場合、当社のソリューションであれば最寄りの当社データセンターへのSSL接続で60ミリ秒以上、プロキシ処理でパケット当たり0.1ミリ秒以上、多層防御処理は30マイクロ秒以上、ピアリングで2ミリ秒以上と高速だ。クラウドプロキシでありながらプロキシを感じさせない、ユーザーとクラウドを限りなく近づける工夫がなされている」(髙岡氏)
「今後5G通信の活用が始まれば、こうした内部処理の遅延問題はサービス品質に大きく影響を与える」(髙岡氏)。クラウドネイティブなアーキテクチャだからこそ、新しいテクノロジーやサービスが登場しても安全で快適なアクセス環境を提供でき、企業のデジタルトランスフォーメーションの基盤として活用されていくとした。
「これからクラウド移行を進める企業は、インフラベースでクラウド化するという発想を基点に、オンプレミスにある”荷物”を軽くしてクラウドに少しずつ解放するところから始めるのがよい」と髙岡氏はアドバイスする。そして、ZPAやZIAなどのサービスを活用し、3つのトランスフォーメーションを念頭に、VPNに依存せずローカルブレークアウトする環境を整えることができれば、移行は完成だ。
「ハードウェアから脱却することで、管理費や運用管理費、本社回線と機器増設費用、SOC(Security Operation Center)運用負担や感染端末対応費用などを削減できる。最新のセキュリティ体制を維持しながらユーザーエクスペリエンスを向上でき、気持ち良く業務を進めることができるようになる」(髙岡氏)。
こうした改革を実現すると企業イメージが向上する効果があり、海外ではGEやシーメンス、国内では伊藤忠テクノソリューションズ(CTC)やNECなどが同社ソリューションを採用して効果を実感していると髙岡氏は述べる。
現在はZPAとZIAの可視化向上に向けて「Zscaler Digital eXperience」(ZDX)のβ版を公開中だ。エンドツーエンドでトラフィックを継続的に監視し、UXスコアに基づき、デジタルエクスペリエンスの問題を検出、報告するというソリューションだ。データセンターの通信障害をいち早く検知できる他、通信遅延が発生した場合、マルウェア感染によるCPU負荷急増によるものなのか、それとも回線側の問題なのかユーザー側で見極めることができる。
ゼットスケーラーは、自社のセキュリティリスク状況をワンクリックで検証できる無償テストも公開している(http://securitypreview.zscaler.com/)。まずは自社の現状を知った上で、クラウド移行のメリットや、ネットワークとセキュリティ対策の見直しを図るのも手だ。
「これまではオンプレミスに重きを置いてクラウドは二の次という考え方だったが、この認識を真逆に変えていく。そうした変革は国内企業で既に起こりつつあり、ゼットスケーラーはそうしたクラウド移行を支えるナビゲーターとして今後も支援していきたい」(髙岡氏)
Copyright © ITmedia, Inc. All Rights Reserved.
提供:ゼットスケーラー株式会社
アイティメディア営業企画/制作:@IT 編集部/掲載内容有効期限:2020年8月1日