ゼロトラスト・セキュリティーの実現に向けたSASE導入ポイント

記事をシェアする:

1. はじめに

Tokyo2020に向けて一部の企業がリモートワークを推進してきましたが、2020年初頭からCOVID-19の流行によりテレワークのニーズが急速に高まったのは記憶に新しいと思います。
またそれ以前より、企業はオンプレミスからクラウド・サービスに移行するデジタル・トランスフォーメーション(DX)も推進してきました。
このような背景から、従業員は社内・社外問わず業務する環境が求められ、従来型ネットワークのように、信頼する「内側」と信頼しない「外側」に分けた境界のセキュリティー対策では不十分になってきました。これを解決する考え方がゼロトラストです。ゼロトラストとは「すべての通信を信頼しない」ことを前提にセキュリティー対策を行います。
ゼロトラストのセキュリティーを実現するためのセキュリティー・ソリューションとしては、既に多く存在しますが、本稿ではゼロトラストにおいて検討の主軸になるであろう「Secure Access Service Edge（SASE）」ついて、構成の方針や導入にあたってのポイントをご紹介させていただきます。
SASEについては、弊社の過去のブログでもご紹介していますので、是非こちらを参考にしてください。

＜図１＞SASE導入時の全体構成＞

2. SASE導入にあたっての企業側のハードル

企業のセキュリティー・ポリシーや設備が従来のオンプレミス機器主体であった場合、全てをSASEに当てはめることは難しいと思います。

企業担当者からは、以下のような課題を多くお聞きします。

1. 現行のWEBフィルタリングやファイアウォールのポリシーを移行したいが、ポリシーが膨大かつ管理されていないため、削減していいか誰も決められない。また、移行はどのようにしたらよいかわからない。
2. SaaSサービスにすると通信ログが海外のサーバーに保存されるため、企業のセキュリティー・ポリシーに反してしまう可能性がある。
3. 端末の認証を社内と同レベルにしたいが、Active Directoryがオンプレミスにしかないため、追加でAzureADやIDaaSの検討も必要になる。
4. ソースIPを固定しているサイトはSASE移行後も使いたい。
5. 現在利用中のSIEMにログをフォワーディングしたい。

また、人的リソース、社内調整、技術的知見にも不安を抱えていることでしょう。

1. 導入検討するセキュリティー・エンジニアがいない、足りない。
2. 新たな運用設計をするリソースがない、足りない。
3. ネットワークやサーバー担当者など、関連部門が複数あり、社内調整に時間がかかる。
4. つぎはぎのネットワークのため、企業全体のネットワーク・デザインをまとめるエンジニアがいない。
5. 今でもリモート端末を使っているが事業部毎に導入しており、事業部間と連携ができていないため、全社的に導入できない。

すぐに解決できない課題もあると思いますが、一方でセキュリティーに対する脅威は待ってくれません。
このような場合は、次項に述べるSASE選定の要素を参考に、自社で何がやりたいのか棚卸をしてみて、まずはPOCやスモールスタートで初めてみることを推奨します。

3. SASEを活用したネットワーク構成の方針検討

まず、骨子となる方針としては以下が挙げられると思います。

1. 社外（国内・海外）からリモートでセキュアにインターネット・アクセスしたいか。
2. 社外からリモートで社内リソースにアクセスしたいか。
3. リモートからはすべての通信をSASE経由にしたいか、WEB通信のみをSASE経由にしたいか。
4. オフィスからの利用時は、IPsecトンネルやGREトンネルを構築してSASE経由でインターネットアクセスしたいか。
5. クラウド・サービスのアプリケーションにセキュアにアクセスしたいか。
6. 全社で統一のセキュリティー・ポリシーを適用したいか。
7. 端末にはエージェントを導入して一元管理をしたいか。
8. TLS/SSL復号をしてセキュリティー・チェックをしたいか。
9. SASE運用をすべて自社で行うのか、SOCなど外部ベンダーに委託するのか。

また、従来のネットワークやセキュリティーに対しては、以下のようなご要望を多くいただきます。

1. Proxyやファイアウォールなどのオンプレミス機器を縮退してSaaSサービスに移行し、機器保守やEOL対応から解放されたい。
2. 閉域網を縮退して、インターネット通信は拠点からローカル・ブレイクアウトしたい。
3. 従来から利用しているVPNリモートアクセスは併用したい。
4. 導入済みのEDRなど、エンドポイント・セキュリティーに影響が無いようにしたい。
5. ソースIP制限している宛先は引き続き利用したい。
6. 特定の宛先に対しては、SASEを経由しないで直接通信したい。
7. ログを一定期間保管したい。

これら1.2.6.については、SASEを含むネットワーク全体の設計の考慮が必要になります。
また3.4.5については、POCなどで検証されることをお勧めします。
7については、SaaSサービスを使用した場合ログの保管先が海外になる場合があるため、あらかじめご了承いただく必要があります。

さらに、SASE導入を契機にセキュリティー強化の観点から、以下のようなご要望も多く伺います。

1. エンドユーザー利用時にはSAMLやLDAPで認証したい。
2. 情報漏洩対策としてDLPを導入したい。
3. シャドーIT対策としてCASBを導入したい。
4. SIEMにログをフォワーディングしたい。

また重要なこととして、ゼロトラストはSASE一つで何でも解決できるわけではないことを理解しておく必要があります。
SASEだけで自社の要件を満たせない場合は、以下のようなソリューションとの組み合わせも検討するとよいでしょう。

1. エンドポイントセキュリティー：EDR/MDR
2. ローカルブレイクアウト：SD-WAN
3. 認証連携：IDaaS、AzureAD
4. ログ分析：SIEM

従来の環境や導入に必要な要件を加えると、下記のようなイメージになります。

＜図２＞従来環境とSASEの要件を加えた全体構成

なお、あまりに要件が多岐に渡りすぎて、かつ深掘りし過ぎた要件であると、周辺のインテグレーションも含めて幅広く検討をしないといけません。
この辺りは、各企業のセキュリティー・ポリシーやネットワーク構成、さらに検討にかけられる時間と費用などの事情を踏まえて方針を決める必要があります。

4. 導入にあたっての留意事項

方針が決まったらいよいよ導入です。
実際の導入には、システム・インテグレーターに導入支援をしてもらうケースが多いと思いますが、それでも企業担当者は導入に向けて実施することがたくさんあります。
システム・インテグレーターへの委託範囲にもよりますが、弊社の経験上以下の代表的項目については、企業側で実施するケースが多く見受けられます。

• 現行環境の確認

現行の通信経路の設定や経路上の機器を確認します。
また、新環境の構成図はシステム・インテグレーターが作成することが多いと思いますが、現行環境の構成図は企業担当者で用意する必要があります。

• 現行環境から移行するソリューション

SASEに移行するソリューションを決めます。
代表的な例では、Proxy、WEBフィルタリング、ファイアウォール、IPS などが挙げられます。
また、どのポリシーを移行するか、そのポリシーの数はどのくらいあるか、どのようにデータを抽出できるかを事前に把握しておく必要があります。

• ネットワーク設定変更

製品や構成によってネットワークの設定変更が発生します。

– SASEへのネットワーク接続構成の検討
– SASEの宛先のルーティング設定やファイアウォールの許可
– ブランチオフィスからSASEまでIPsecトンネル/GREトンネルで接続 など

• TLS/SSL復号除外の範囲

現行環境で実施経験がない場合、SASE導入の際には特に悩まれる部分ではないでしょうか。
安全な導入としては、まず業務に関係のないカテゴリーから徐々に復号範囲を広げていくことを推奨します。
また、アプリケーションや宛先によってはSSL復号を推奨していない場合もあるため、事前に調査しておく必要があります。

• 認証連携

例えばSAML連携する場合、システム・インテグレーターはService Provider (SP)側が作業範囲になることが多いため、AzureADやIDaaSなどのIdentity Provider(IdP)側の設定をする必要があります。自身で設定ができない場合は、SAMLなどの認証系担当者との調整が発生します。

• 外部システム連携

– SIEMへログ送出

SASEからSIEMにログを送出する場合は、SIEM側でログソースを追加してログ受信設定やルールの設定などが発生します。

– ソースIP制限をしている宛先

SASEに移行することで外部向けグローバルIPアドレスが変更になるため、ソースIPアドレスを固定しているサイトやアプリケーションに対して変更通知が発生します。エンドユーザーに支障がないよう、事前にサイトやアプリケーションの確認と変更のリードタイムも把握しておく必要があります。間に合わない場合は、従来のソースIPアドレスで通信できるように一時的に特定の宛先除外の通信を許可・設定する必要があります。

• エージェントの配布方法

SASEのエージェントをクライアントに配布する方法を決めます。
グループポリシーで配布か、資産管理ソフトで配布か、またはイントラネットのホームページからユーザーにダウンロードしてもらうかを決める必要があります。
エージェントは通常Windows版とMacOS版とで異なるため、事前に台数やOSのバージョンを把握しておく必要があります。

• 導入スケジュール

多くのケースでは、要件定義・設計・構築・テストまではシステム・インテグレーターがスケジュールを引いてくれますが、どのようなグループや拠点の単位で展開するかは企業担当者側で決めなければなりません。

• 社内周知

導入スケジュールに沿って社内周知を実施します。
多いケースでは、IT部門でテストが終わったらブランチオフィスや事業部などのIT担当者に周知、エンドユーザー展開前に試行して評価してもらう場合があります。
エンドユーザー展開時には、トラブル申告時の一次窓口対応もする必要があります。

• 運用体制の準備

SASEは、いわゆるクラウド上にあるインターネット・ゲートウェイです。日々のユーザー業務通信を制御するためのポリシー・ルール管理に加え、セキュリティー監視、インシデントフロー、デバイス監視など、新しいソリューション導入に伴う運用体制を構築もしくは既存の運用に組み込む必要があります。

いかがでしょうか。実際には、これに加えて企業固有のケースがあるため、検討事項はさらに増えると思います。

5. 最後に

IBM Securityの構築支援は、単に製品売りに留まらず、セキュリティーやネットワークにおける幅広い経験豊富なチームで、お客様毎の環境や事情に沿った構築支援をご提供します。
また、導入前のセキュリティー・アセスメントやSASEの導入コンサルティング、導入後の運用支援のご提供まで、トータルでお客様のゼロトラスト・セキュリティー実現に向けてご支援します。
 

【著者情報】

寺本　将嘉
日本アイ・ビー・エム株式会社
セキュリティー事業本部
コンサルティング&システム・インテグレーション

大手通信事業者でネットワークやセキュリティエンジニア業務に従事。 2020年に日本アイ・ビー・エム株式会社に入社。プロジェクトマネージャーとして、ネットワークセキュリティ分野を中心とした様々な業界のデリバリーに携わる。