運用負荷を増やさずにセキュリティを強化 一貫したポリシー管理で“全体最適”を実現するネットワーク戦略とは：エッジからクラウドまで一体で守る

ランサムウェアの脅威が増す中、単純に機器を増設する形でネットワークを拡充し続ける運用は限界を迎えている。セキュリティを強化しつつネットワークの管理負荷を抑えるには何を選ぶべきか。

PR／＠IT

PR

　サイバー脅威は巧妙化と大規模化が進んでいる。警察庁サイバー警察局の「令和7年におけるサイバー空間をめぐる脅威の情勢等について」によると、ランサムウェア（身代金要求型マルウェア）の被害報告件数は226件に上り、依然として高水準を推移する。復旧に総額1000万円以上を要した組織の割合は全体の5割を超えており、復旧までに1カ月以上を要した組織も約半数を占めるなど、経済的損失や業務への影響は甚大だ。

　境界型セキュリティが形骸化する中、テレワークやクラウド利用が浸透した基本的なネットワーク基盤を拡張し続けるだけでは、どのようなボトルネックに直面するのか。日本ヒューレット・パッカードの坂部浩樹氏（HPE Networking事業統括本部 技術本部 テクノロジーコンサルティング部 プリセールス コンサルタント）に、現場のIT担当者が直面する課題の本質を聞いた。

一貫性を持ち、可視性と運用性を手に入れる「インテグラルセキュリティ」

　拠点の分散や従業員の増加に伴うセキュリティデバイスの増加と接続パターンの複雑化は、OS更新やパッチ適用といったメンテナンス負荷を増大させる。従業員から通信の安定性と快適性を期待される一方、管理作業にはネットワーク停止が必要というジレンマもある。さらに、拠点用ファイアウォールとリモートアクセス用VPNを別個に導入してきた結果、管理画面やセキュリティポリシーが乱立して効率低下を招いている。加えて、ハイブリッドワークやクラウド利用の拡大により、従来のゲートウェイ型VPNのままでは運用継続が難しくなりつつあり、拠点や接続要件の増大に比例して管理負担が急増している。これがセキュリティインシデントを誘発する背景になっている。

　HPEはこうした課題に、ネットワークとセキュリティを一体として捉える「インテグラルセキュリティ」の製品群を展開する。SASE（Secure Access Service Edge）、ZTNA（ゼロトラストネットワークアクセス）、各拠点のファイアウォール群を横断的に制御するアーキテクチャだ。「社内に独立した認証基盤（IDP）を整備しきれていない企業でもスモールスタートできる手軽さを備えつつ、運用管理の属人化や負担を抑えて、一貫したセキュリティポリシーを段階的に適用可能にする共通基盤になることを目指しています」と坂部氏は説明する。

図1　インテグラルセキュリティの成功の鍵（提供：HPE）《クリックで拡大》

ルーティング技術と堅牢（けんろう）性を両立させた「Juniper SRX400シリーズ」

　拠点用ファイアウォールには、ネットワーク機器としての通信速度だけでなく、セキュリティ処理を並行できるインフラとしての安定性が求められる。「HPE Juniper SRX400シリーズ」は、次世代ファイアウォールをはじめ複数のセキュリティ機能を備えたUTM（統合脅威管理）製品だ。「同シリーズは、ネットワーク機器ベンダーとして培った高いルーティング技術とスイッチング技術に加え高度なセキュリティ機能も搭載し、全てを有効化した状態であっても、通信パフォーマンスを維持して運用が可能です」と坂部氏は説明する。

　同シリーズは、コンパクトさと静粛性、高い信頼性を備える。低消費電力ながら高スループットを発揮する設計は、設置・冷却コストやカーボンフットプリントの削減に寄与する。4台まで構成できる次世代冗長化機能「マルチノードHA」は、IPの到達性があれば遠隔の別拠点間でも構成可能だ。TPM 2.0やセキュアブートによりSRX自体の安全性をさらに高め、L2レイヤーの通信を暗号化する「MACsec」によりスイッチ機器などとのL2通信においても情報漏えい対策が可能だ。第三者調査機関CyberRatingsの評価では、2025年エンタープライズファイアウォール部門において、高度な回避型マルウェアを含む複数の攻撃テストをクリアし、テストに参加した7社中3社にだけに与えられた推奨製品の認定を受けている。

　拠点用ファイアウォールに求められる機能として、坂部氏は「ローカルブレークアウト」「脅威の高速検知」「耐量子計算機暗号（PQC）への対応」の3点を挙げる。

　ローカルブレークアウトは、複数のクラウドサービスを利用する企業で、拠点ネットワークの帯域不足や帯域混雑を防ぐ主要なアプローチだ。従来、プロキシサーバが存在するネットワークではクライアント端末の設定変更が必要になり導入が難しいとされていたが、SRXのSecure Web Proxy機能により、クライアント端末の設定を変えることなくローカルブレークアウトが導入できるようになっている。

　脅威の検知では、AIをSRX上に組み込むことで、シグネチャに依存せず未知のマルウェアを高速に検知する。外部のクラウド環境へデータを送信して解析を待つ従来の手法ではタイムラグの発生が課題だったが、Juniper SRX 400シリーズが備える「Eclipse Engine」機能は未知のマルウェア対策をSRXの内部で完結させる。また「Eclipse Engine」はオフラインでもダウンロードが可能なため、閉域環境でも導入可能な仕様になっている。

　PQCは、量子コンピュータの発展によって従来の暗号化が解読されるリスクに対抗するための次世代暗号技術だ。暗号技術は定期的な刷新が必要であり、米国立標準技術研究所（NIST）が進める標準化や、2035年を目標とした移行のロードマップが国内外で策定されている。将来的なインフラ刷新を見据え、こうした最新の暗号規格への追随が可能な製品の選定は、拠点ネットワークの長期安定運用において重要な意味を持つ。

ゼロトラストによってリモートアクセスVPNを刷新する「HPE Aruba Networking SSE」

　企業の攻撃対象領域（アタックサーフェス）と化しているリモートアクセス環境の刷新も急務だ。リモートアクセスVPNは外部からの接続口をインターネットに公開するアーキテクチャのため、その脆弱（ぜいじゃく）性が攻撃の標的となる。HPEはこの課題にZTNAを適用する。

　「HPE Aruba Networking SSE」は、社内に設置する「コネクタ」から、インターネットにあるPoP（Point of Presence）に向けて内から外へのアウトバウンド通信のみでセッションを確立する。外部からのインバウンド接続を一切受け付けないため、アタックサーフェスを排除できる。社内ユーザーが社内リソースへアクセスする際、通信をクラウドに迂回（うかい）させずに直接通信させる「Private Edge」機能も特徴の一つだ。トラフィックがPoPを経由して社内に戻るヘアピン現象を防いで、ネットワークリソースの浪費を抑える。

　同製品は20ユーザーから導入可能で、中堅・中小企業のスモールスタートにも適している。最小構成から段階的に拡張できるため、従来の大規模前提のSSE（Security Service Edge）と比較して導入ハードルが低い点も特徴だ。一般にSSEの導入は外部IDPの連携を前提とするが、同製品は「内部IDP」を搭載するため、認証基盤が未整備でも単体でユーザー認証とアクセス制御を開始できる。Webブラウザ経由で接続するエージェントレスのインタフェースもあり、業務委託先やサプライヤーのアクセス手段としても有用だ。「接続元の地域やデバイスのOSバージョンといったコンテキスト（環境情報）を識別して、アクセスの可否を決めるポリシーを一括適用できます」と坂部氏は説明する。

図2　HPE Aruba Networking SSEの構成（提供：HPE）

AIネイティブな統合管理基盤「HPE Juniper Networking Mist」がもたらす運用変革

　これらの機能は“高根の花”ではなく、もはや手の届くところにある。セキュリティ製品の運用負荷は企業規模を問わず共通の課題だ。HPE Juniper SRX400シリーズやHPE Aruba Networking SSEは、AIネイティブな管理基盤である「HPE Juniper Networking Mist」を組み合わせることで、運用管理を省力化できる。

　「HPE Juniper Networking Mistはネットワークの死活監視だけでなく、エンドユーザーの快適性を定量的に分析します。トラブル発生時はAIアシスタントとのチャット形式の対話で原因と解決策を特定して、状況を把握できます」と坂部氏は説明する。各コンポーネントに組み込まれたAIエンジンが自動で支援する仕組みは、専門知識に依存せずに高度な運用を可能にして、管理工数を削減する。

　「ネットワークとセキュリティを一体として捉えて、エッジからクラウドまで横断管理する視点が、将来のインフラ戦略で重要です。HPEの製品群は、自社の課題や予算に合わせた段階的なアプローチで導入を進められます」と坂部氏は語る。HPEはインテグラルセキュリティを構成する製品を通じて、ユーザー企業のネットワーク基盤の安全性を向上させる取り組みを支援する。

Amazonギフトカードが当たる！アンケート実施中

本記事に関連して「ネットワーク／セキュリティ製品の導入」についてのアンケートを実施しています。回答された方の中から抽選で10名様に、Amazonギフトカード（Eメールタイプ）3000円分をプレゼントいたします。当選者には、アイティメディアIDにご登録のメールアドレス宛にギフトをお送りします。当選者発表はギフトの送付をもってご連絡とさせていただきます。ぜひ下記アンケートフォームよりご回答ください。

ログイン または 会員登録（無料）いただくとアンケートフォームが表示されます。オレンジ色の「アンケートに回答する」ボタンからアンケート回答をお願いいたします。