VMware Anywhere Workspaceを実現するVMware SASE：今いる場所、そこが仕事場になる

以前から働き方改革の重要性が叫ばれてきたが、コロナ禍以降は特にテレワークが急速に拡大し、物理的な場所に依存しない働き方が当たり前になりつつある。こうした分散化した環境で一人一人が持てる能力をフルに発揮できるようにするためにVMwareが掲げているのが「VMware Anywhere Workspace」というビジョンである。そしてこれを実現するための重要な基盤となるのがVMware SASEだ。

[PR／＠IT]

PR

SASEが必要とされる背景

　現在のビジネスパーソンにとって、働く場所はもはや1つの決められた場所ではない。いつでも、どこでも働くことができる環境が求められている。

豊田浩司氏

　しかし、そこでのボトルネックとなるのがネットワークセキュリティのアーキテクチャである。ヴイエムウェア パートナー技術本部 パートナー第二SE部の豊田浩司氏は、「従来のネットワーク構成は、いわゆる境界型のアーキテクチャに基づいてセキュリティを管理、制御しており、現在の分散化されたワークスペースには対応しきれなくなっています」と指摘する。

　例えばオフィスから社外にアクセスする通信は、全てデータセンターのプロキシサーバを経由して出ていくのが一般的だが、これはSaaSなどのクラウドサービスへの通信経路として最適な形とはいえない。

　さらに大きな課題となっているのが、テレワークでクラウドサービスを利用しているケースだ。自宅をはじめ社外のさまざまな場所で分散して働いているユーザーがこぞって社内のデータセンターにアクセスし、そこからクラウドに出ていくというルートを通ることになるからだ。トラフィックが集中し、VPN回線もプロキシサーバもその負荷に耐えられずにパンクしてしまうという問題が起こっている。

　こうした課題の解決策となるのが、SASE（Secure Access Service Edge）である。「簡単にいえばSASEとは、従来データセンター上で運用されていたファイアウォールやプロキシサーバ、さらにはVPNといった仕組みを、クラウドサービスとして利用できるようにするものです」と豊田氏は、その基本的な考え方を説明する。

ネットワークとセキュリティをクラウドサービスとして統合

　もともとSASEを提唱したGartnerは、その概念を「ネットワークとセキュリティの統合されたクラウドサービス」と定義している。SD-WANやWAN最適化といったWAN機能に包括的なネットワークセキュリティ機能を組み合わせて、企業の動的なセキュアアクセスニーズをサポートするというものだ。

SASEとは

　また、そこで重要な役割を担うのがPoP（Point of Presence）と呼ばれる接続拠点で、ユーザーは最寄りのPoPにアクセスすることにより、セキュリティを確保しながらクラウドサービスにアクセスすることができる。

　そしてこのSASEのコンセプトを体現するプラットフォームとして、VMwareがクラウドからサービス展開しているのが「VMware SASE」である。

　「VMware SASEは分散化されたエンタープライズ環境に統一的なネットワークとセキュリティを提供することで集中コントロールを可能とします。オフィスや自宅などさまざまな場所で働くユーザーがIaaSやSaaSなどのクラウドサービス、あるいはオンプレミスのアプリケーションにアクセスする際に、その経路上にVMware SASEが入ってSD-WANルーティングやリモートアクセスをサポートします。さらには、ZTNA（Zero Trust Network Access）やCASB（Cloud Access Security Broker）、FWaaS（Firewall as a Service）、URLフィルタリングといったセキュリティ機能も提供します」と豊田氏。

　なお、これらのネットワーク機能やセキュリティ機能は必要に応じて組み合わせて利用することが可能で、「これまで種別ごとに個別の管理が求められていた、セキュリティソリューションのサイロ化の解消にもつながっていきます」と豊田氏は言う。

　さらにVMware SASEでは、さまざまな場所で分散して働くユーザーのデバイスからのアクセスに対して、それぞれのコンテキストに応じた柔軟なアクセス制御が可能となっている。

　例えばオフィスから社外のWebサイトへのアクセスについて、認証情報や通信内容のコンテキストを検査し、ビジネスに関係ないサイトやリスクの高いサイトへのアクセスを禁止するといったポリシーを適用できる。また、テレワーク環境など社外に持ち出されたデバイスに対してヘルス状態を検査し、最新のセキュリティパッチが当たっていないデバイスはオンプレミスで管理されているデータへのアクセスを禁止するといったことが可能だ。

　そしてVMware SASEのこれらのサービスを提供しているのが「VMware SASE PoP」という接続点である。「VMware SASE PoPは世界150カ所以上のリージョンで利用できるように拡張を進めています。日本でも東京リージョンが開設され、世界人口の80％のアクセスに対して10ミリ秒以内の遅延で最寄りのVMware SASE PoPに接続できます。さらにVMware SASE PoPは AWS（Amazon Web Services）、Microsoft Azure、Zoom、Salesforceなど主要なクラウドサービスにダイレクトピアリングされており、5ミリ秒以下の遅延で高速アクセスが可能です」と豊田氏は訴求する。

VMware SASE PoPの拠点

VMware SASEの柱となる3つの機能

　VMware SASEがVMware SASE PoPを通じて提供している主要な機能およびその特徴を、さらに掘り下げてみていこう。

　1つ目はSD-WANだ。これは従来VMware SD-WANとして提供されてきた製品と同等の機能を持つもので、SD-WAN Edgeを展開する拠点とVMware SASE PoPの間でWAN回線の最適化を行い、快適な状態を維持できる。

　例えばインターネット回線を含めた複数の回線を仮想的に1本に束ねて利用することが可能だ。これにより通信速度をスピードアップする他、いずれかの回線に障害が発生した際の切り替えを自動的かつ高速に行うことができる。

　こうしてVMware SASE PoPと接続した後は、前述したように主要なクラウドサービスとダイレクトピアリングされているため、「ハイパフォーマンスの通信をエンドツーエンドで実現し、さまざまなクラウドアプリケーションの利便性を損なうことなく、効果を最大限に発揮させることができます」と豊田氏は強調する。

　2つ目は、リモートアクセスVPNの機能を提供するVMware Secure Accessだ。

　従来のリモートアクセス環境は先にも述べたように、全てのユーザーの通信がデータセンターを経由して外部に出ていく形をとっているため効率が悪く、トラフィックのヘアピンによる遅延、パケットロス、データセンターの帯域ボトルネックなどによりユーザーエクスペリエンスが低下する。また、ユーザー側では急ごしらえのリモートアクセス環境構築によるセキュリティリスクも高まっている。そもそもVPN装置やプロキシサーバ、ファイアウォールなどのセル設備を自前で運用し続けることが、コストやリスクの増大を招いてしまう。要するにこれらの課題をVMware Secure Accessが解決するのである。

　「VMware Secure Accessを利用することでリモートユーザーはVMware SASE PoPに接続することが可能となります。これにより常にデータセンターを経由していたヘアピンの経路は解消され、効率的かつハイパフォーマンスな経路でクラウドサービスとつながることができます」と豊田氏は語る。

　なおVMware Secure Accessは、デジタルワークスペースを実現する統合プラットフォームのVMware Workspace ONEと連携することで利用できる。エンドデバイスの健全性の担保や認証認可なども合わせて行うことができ、ユーザーとデバイス双方をよりセキュアに保ちながらクラウドサービスを利用することが可能となる。

　そして3つ目が、VMware Cloud Web Securityだ。SaaS利用やWebアクセスに潜む脅威の検知と対応をサポートするもので、具体的には次のような機能を提供している。

• SSL Decryption：暗号化通信を復号してセキュリティチェックを行う
• URLフィルタリング：マルウェア拡散や情報流出を促すサイトからユーザーアクセスを保護する
• アンチマルウェア：既知の脅威への対策としてユーザーの種別に応じたファイルのアップロードやダウンロードを制限し、ファイルスキャンによるマルウェア対策を行う
• サンドボックス：未知の脅威にゼロデイ対策として、ファイルを隔離された環境で安全に検証できる
• CASB：SaaSアプリケーションに対するユーザー行動の可視化と制御を行う

　さらに今後に向けては、機密データを外部に漏えいさせてしまうことによる事故を未然に防ぐDLP（Data Loss Prevention）の提供も予定しているという。

　「VMware Cloud Web Securityによって最新の脅威からの防御をはじめ、アクセスの可視化、制御やコンプライアンスへの対応など、広範囲にわたるセキュリティ機能を自由に利用し、一貫して適用できます」と豊田氏は語る。

VMware SASEの導入を全力で支援

工藤真臣氏

　上記のような多くの優位性を持ったVMware SASEのさらなる普及に向けて、積極的な施策を展開しているのがVMware製品のディストリビューターであるネットワールドだ。同社 SI技術本部 ソリューションアーキテクト課 課長の工藤真臣氏は、「パートナーの皆さまにおける案件創出から技術支援、共同検証、お客さま先での導入支援まで幅広くカバーする手厚い支援体制を整えています」と語る。

　例えば案件創出について、リード獲得のための特設サイト「VMware Cloud Frontier」からの情報発信の他、オンラインの「デジタル出前勉強会」でもVMware SASEのコースを提供している。また共同検証では、VMware SASE単体でのPoC（概念実証）はもとよりVMware SASEとVMware Workspace ONE UEM/Accessを組み合わせたPoC、VMware Carbon Black連携まで考慮したPoC、さらにMicrosoft Azure Active Directory（Azure AD）をIDaaSとして認証連携を行ったPoCなどにも対応している。

　そして当然のことながら顧客の本番環境へのVMware SASEについても、他のVMware製品と同様に設計、構築からその後の運用フェーズに至る支援を提供。「VMware SASEはゼロトラストアーキテクチャの核となるだけに、今後ますます重要なソリューションとなります」と工藤氏は、パートナーとのエコシステムを通じてVMware SASEの導入を全力で後押ししていく意向を示している。

ネットワールドで提供可能な貸し出し環境