テレワークにはゼロトラストが必須 SASEで「ネットワークとセキュリティのシンプル化」が鍵に：なぜクラウドネイティブの「真のシングルベンダーSASE」を選ぶべきか？

テレワークが社会に浸透し、誰もがさまざまな場所からアプリやデータを利用するようになったことで、境界型防御の限界が認識されるとともに「ゼロトラスト」と「SASE」に注目が集まっている。本格的にテレワークを推進するなら、なぜこの2つに行き着くのだろうか。

[PR／＠IT]

PR

　コロナ禍の前後でテレワークが社会に浸透し、私たちの働き方は大きく様変わりした。なぜ、テレワークを前提としたセキュリティ強化を考えるとゼロトラストセキュリティとSASE（Secure Access Service Edge）に行き着くのか。アイティメディア主催のオンラインイベント「ITmedia Security Week 2024秋」の講演から、テレワークの推進にゼロトラストが欠かせない理由、そしてSASEがゼロトラスト実現に果たす役割について解説する。

ゼロトラストセキュリティを実現する「5つの要素」とは？

　場所や時間にとらわれない働き方「Work From Anywhere」が広まったのには、2つの理由が考えられる。

　1つ目はITの進化だ。無線LANや5G（第5世代移動通信システム）のようなワイヤレス通信技術が発達し、どこにいても高速なネットワーク回線を利用できるようになった。これらの無線通信を利用するモバイルデバイスも軽量かつ高性能で、高度な作業も軽々とこなせてしまう。クラウドサービスも広く普及し、複雑な準備なしに業務アプリケーションを簡単に利用できる環境が整ってきた。

　2つ目は社会環境の変化だ。感染症対策や災害対策を意識する出来事が度々発生し、事業継続を目的としたテレワークは経営課題として重視されるようになった。政府が主導した働き方改革も、テレワークの文化やシステムの普及に一役買った。政府の取り組みとしては「地方創生テレワーク交付金」にも注目したい。人材不足にあえぐ企業は、遠方の人材を確保できるというメリットを意識して、テレワーク環境整備に力を入れている。このことは地域の魅力を活性化させることにもつながる。

マクニカの鈴木富士雄氏

　しかし企業がテレワークを推進するには、従来の境界型防御モデルではセキュリティ対策として限界がある。セキュリティ強化を考えるなら、ゼロトラストモデルへの移行は必須の戦略といえる。ゼロトラストの実現には、

• ID管理
• デバイス保護
• ネットワークセキュリティ
• データセキュリティ
• ワークロードのマイクロセグメンテーション

という5つの視点でセキュリティを考えなければならない――マクニカの鈴木富士雄氏（ネットワークス カンパニー セキュリティ第3事業部第2営業部第4課）はそう説明する。

　「ID管理とデバイス保護には、IDaaS（ID as a Service）、EDR（Endpoint Detection and Response）、統合エンドポイント管理（UEM）というツールがありますし、SASEはネットワークとデータを包括的に守ります。ただし現状、ゼロトラストを単一のパッケージ製品で実現することはできません。異なるベンダーのポイントソリューションを選んで組み合わせる『ベストオブブリード』を追求する必要があります。マクニカは5領域全ての製品を取り扱っており、総合的なサポート体制を整えています」（マクニカ鈴木氏）

ゼロトラストの中核となるSASEで、ネットワーク管理工数の削減を目指す

　テレワークにおけるゼロトラスト環境を整える際、特に注目したいのはネットワークとデータの領域だ。

　従来のセキュリティ対策では、ファイアウォールに穴を開けてVPN（Virtual Private Network：仮想プライベートネットワーク）を通す方法が採用され、VPNが利用できるのは一部の従業員に限定することが珍しくなかった（図1左）。しかしVPNの脆弱（ぜいじゃく）性を突いた攻撃によって、多数の組織が被害に遭ったことは記憶に新しい。

　クラウドサービスを利用するには監視・管理が必要ということもあり、ローカルブレークアウトしてオフィスネットワークとクラウドネットワークを分離する手法が登場した。オフィスからのアクセスはSD-WANソリューションを利用して2つの回線を使い分け、セキュリティを分離。インターネットからのアクセスやクラウドへのアクセスには、ZTNA（ゼロトラストネットワークアクセス）やCASB（Cloud Access Security Broker）などのSSE（Security Service Edge）製品を活用してセキュリティを確保するようになった（図1中央）。しかしこのように2つの仕組みを利用することは二重投資になり、二重管理の手間も無視できない。

　「費用と運用管理の課題を解消するために、一連の機能を1社の製品に統合したものを選ぶことはとても重要です」とマクニカの鈴木氏は強調する。オフィスでも自宅でも同じように仕事ができる「ハイブリッドワーク」のためには、あらゆる通信をSASEで統合してセキュリティを確保しつつ、ネットワーク管理をシンプルにすることを目指したい（図1右側）。「そのため、VPNとオフィスネットワークを、シングルベンダーのクラウド型セキュリティサービスで保護するという点がポイントになります」（マクニカ鈴木氏）

図1　過去のクラウドセキュリティと比較した、シングルベンダーSASEの特徴（出典：マクニカ提供資料）

シングルベンダーSASEの中でも“プラットフォーム“としての強みを持つCato SASE Cloud

　マクニカの鈴木氏がお薦めに挙げるシングルベンダーSASEが、Cato Networksの「Cato SASE Cloud Platform」（以下 Cato SASE Cloud）だ。Cato NetworksのSASEは2024年に調査会社Gartnerのマジック・クアドラント「シングルベンダーSASE」部門でリーダー企業に位置付けられている。

　「Cato SASE Cloudはグローバルプライベートバックボーンとして構成されており、全世界90拠点以上の接続拠点（Point of Presence：PoP）を設置しています。オフィスであれば小型の専用デバイス『Cato Socket』、モバイルデバイスなどであれば『Cato Client』を利用するだけで、Cato SASE CloudのPoPへ容易に接続できます」と、Cato Networksでチャネルセールスエンジニアを務める鈴木槙悟氏は解説する。特にアジア圏では、東京と大阪の国内2拠点、そして北京、上海、香港、ソウル、台北、シンガポールなど、サービス提供地域を広くカバーしている点がユーザー企業に高く評価されているという。

Cato Networksの鈴木槙悟氏

　一部の企業には「あるクラウドサービスやデータセンターへアクセスする際には、IPや国、地域を固定したい」というニーズがある。Cato SASE Cloudはこうした設定が柔軟にできるのが強みだ。例えば、国外出張などでシドニーの拠点からクラウドサービスにアクセスする際に、東京を経由した通信に設定することができる。Cato Clientは最寄りのPoPを自動的に選択し、設定された東京のPoPまでCato Networksの高速なグローバルバックボーンを利用する。こうしてミドルマイルの通信遅延を解消する。

　Cato SASE Cloudが備える機能は幅広い。FWaaS（Firewall as a Service）、SWG（Secure Web Gateway）、IPS（Intrusion Prevention System）、DNS（Domain Name System）、次世代アンチマルウェア、ZTNA、CASB、DLP（情報漏えい防止）、RBI（リモートブラウザ隔離）など、SASEとして期待されるセキュリティ機能全般を搭載している。

　「Cato SASE Cloudは2016年から提供しています。SASEという言葉が登場する前から開発してきたプラットフォームであり、あらゆるトラフィックを検査することが前提になっています。Cato SASE Cloudの強みは、将来新しい機能が登場した時には容易に拡張できるアーキテクチャとして構成している点にあります。新しい脅威に対策する機能が必要になったら、新しいシステムを買い足すのではなく、必要な機能を追加するだけでよい。未来を見据えたプラットフォームです」（Cato鈴木氏）

図2　Cato SASE Cloudのアーキテクチャ（出典：Cato Networks提供資料）

事業の「安心」を支えるCato SASE Cloud、ネットワーク安定性が経営に寄与した例も

　さまざまなグローバル企業がネットワークやセキュリティの課題を解決するためにCato SASE Cloudを活用している。幾つかの事例を見ていこう。

　ビール醸造会社Carlsbergは、世界の各拠点に導入するセキュリティ技術がそれぞれ異なるため、管理が困難になっていた。複数のレガシーアプライアンスを統合的に可視化できず、ゼロトラストアーキテクチャを構成できない状況も課題だった。中国拠点のVPN接続性能にも問題があり、包括的なSASEに解決策を求めた。同社は6社のSASE製品を比較し、セキュリティテストを実施してCato SASE Cloudのパフォーマンス優位性を評価した上で導入。200以上の拠点と2万5000人のリモートユーザーがどこからでも同じ環境で業務を遂行できるようになった。また、同社は中国20カ所に拠点があり、繁忙期である旧正月のネットワーク安定性を経営課題として重視していた。この懸念を解消したという点で、Cato SASE Cloudは経営にも寄与していると高く評価している。

　サッポロ不動産開発の場合、ショールームやギャラリーを構える商業施設ではLANを自由に敷設できず、運営委託先のインフラやセキュリティに介入できないことが懸案事項だった。これをSASEで解決しようとしても、一般的な製品は数百名規模を対象としており、少人数の常駐スタッフが扱うには規模が合わなかった。その点Cato SASE Cloudはユーザー10人から利用できる。同社はこの点を評価して40人分のライセンスからスモールスタートし、運営委託先にセキュアなネットワーク環境を整備できた。Cato SASE Cloud導入後に、委託先のPCに感染していたマルウェアも発見したという。

　マクニカの鈴木氏は「日本〜中国間の拠点間回線費用が10分の1になったという国内製造業や、グローバル100拠点のセキュリティ機器を削減できたという旅行サービス業など、さまざまな導入効果が報告されています」と述べ、国内約500社がCato SASE Cloudによって多くの成果を挙げていると強調する。マクニカ主催のユーザー会のアンケートでは、「VPNの脆弱性対応における負荷が軽減され、テレワークの安全性が強化できた」「SWGとして利用することで、クラウド利用時のセキュリティが向上した」など、Cato SASE Cloudを評価する声が多数寄せられた。

シングルベンダーSASEで、シンプルなゼロトラストを実現

　ハイブリッドワークが中心となりつつある近年、テレワーク時のセキュリティ確保のためには、ゼロトラストの考え方に基づいてシステムを見直す必要がある。

　マクニカの鈴木氏が挙げたゼロトラストの5要素の中でも、ネットワークとデータのセキュリティは複雑になりがちで、シンプルに構成できるソリューションが望ましい。IT担当者とセキュリティ担当者は、高度化、悪質化の一途をたどるサイバー攻撃への対処に疲弊し、クライアントデバイスの増加に伴うネットワーク管理コストの肥大化にも悩まされている。

　Cato SASE CloudのようなシングルベンダーSASEを選ぶことは、いわゆる「セキュリティアラート疲れ」を回避し、ネットワーク機器やセキュリティ機器の運用管理を楽にすることにつながる。Cato SASE CloudはGUIベースで管理しやすい統合コンソールを備えており、ツールの習熟までの負担が軽いのはユーザー企業にとってうれしいポイントだ。

　「グローバルプライベートバックボーンによって高速かつ安全な通信が保証でき、日本企業のビジネスにおいて重要な中国との安定的な接続が確保できるという点も、多くのユーザーに選ばれている理由です」（Cato鈴木氏）

図3　Cato SASE CloudのシンプルなGUI（出典：Cato Networks提供資料）