[技術解説]

エキスパートが説く「DX時代のネットワーク/セキュリティ」諸課題とベストプラクティス

Palo Alto Networks Forum 2019 vol.2

2019年5月20日(月)柏木 恵子

国内企業の間でクラウドシフトやモバイルシフトが加速している。「IT環境が大きく変化することで、ネットワークやセキュリティに早急な対応が迫られています」と話すのは、IPv6、SDN、SD-WAN、そしてクラウドセキュリティなどのテクノロジー/ビジネスソリューションに精通するNTTデータの馬場達也氏だ。Palo Alto Networks Forum 2019 vol.2(主催:パロアルトネットワークス/メディア協力:インプレス)の特別講演に登壇した馬場氏は、「デジタル時代のセキュリティベストプラクティス」を示した。(撮影:小沢朋範)

●馬場氏が出演したパネルディスカッションを含む全体セッション編はこちら(関連記事「見えないものは守れない、まずは可視化」─マルチクラウド時代のセキュリティの要諦を探る

クラウドシフトに伴うネットワーク上の問題と対応策

 「Office 365」や「G Suite」「Box」「Dropbox」など、社内ITアプリケーションの多くがクラウドサービスにシフトしつつある。さらには、働き方改革、デジタルトランスフォーメーションの機運で、モバイル/スマートデバイスの活用が一般的になってきている。こういったIT環境のシフトによって、ネットワークやセキュリティの新たな問題が生まれ、企業のIT部門は対応を急ぐ必要がある──今日のユーザー企業を取り巻く課題から馬場氏(写真1)のセッションが始まった。

写真1:NTTデータ ビジネスソリューション事業本部 ネットワークソリューション事業部 サービスイノベーション統括部長 馬場達也氏

 馬場氏は、Office 365の典型的な利用状況を挙げる。例えば「Outlook」だけでも1ユーザーあたり20~30本のセッションを使用するため、オンプレミスのプロキシサーバーの性能が追いつかない。これに対応するものとして、「クラウドWebプロキシ」の活用がクローズアップされているという(図1)。

図1:クラウドシフトに対応したネットワーク構成としてクラウドWebプロキシの活用がクローズアップされている(出典:NTTデータ)
拡大画像表示

 馬場氏はクラウドシフトに伴う環境変化の話を続ける。通常、インターネットアクセスのためには本社(あるいはデータセンター)のプロキシを経由する必要があり、各拠点と本社は閉域網で接続されている。つまり、各拠点からのインターネットアクセスは必ず本社を経由しなければならない。しかし、クラウドシフトでインターネットアクセスが増えるにしたがい、拠点から本社への閉域網や本社からのインターネットアクセスの帯域が逼迫する。

 これに対応するのが、アプリケーションを識別して、許可されたものだけを直接インターネットにブレイクアウトする機能を持つSD-WANである、と馬場氏は述べ、SD-WANの主な機能として以下の6点を挙げた(図2)。

図2:SD-WANの主な機能(出典:NTTデータ)
拡大画像表示

 SD-WANの導入メリットが認知されるようになり、製品/ソリューションの選択肢も増えている。例えば、シスコシステムズが買収で得た「Cisco SD-WAN(旧Viptela)」や、ヴイエムウェアが同じく買収で得た「VMware SD-WAN by VeloCloud」といった製品が知られている。

 馬場氏は選定時のポイントとして、(1)クラウドアプリケーションをきちんと識別してインターネットに出せるか、(2)各拠点に分散して設置されるSD-WAN機器をクラウドで一括制御できるか、(3)UTM機能でセキュリティを確保できるか、の3つを示した。

 一方、企業のモバイルシフトに対応するには、リモートアクセス機能が欠かせない。クラウドのリモートアクセスサービスを実現するフレームワークとして、SDP(Software-Defined Perimeter)が登場している。SDPは、元々はリモートアクセスユーザーをクラウド側で認証し、許可されたユーザーのみを企業ネットワークにアクセスさせるための仕様として、CSA(Cloud Security Alliance)が策定したものだ(図3)。最近は「もっと広くとらえて、CSAの仕様に準拠していなくても、クラウドでリモートアクセスを提供するものをSDPと呼んでいるベンダーも多く出てきている」(馬場氏)という。

図3:モバイルシフトが進み、対応しうるリモートアクセス機能としてSDPが登場している(出典:NTTデータ)
拡大画像表示

 馬場氏によれば、最近のトレンドは、SWG(Secure Web Gateway)、FWaaS(Firewall as a Service)、DLP(Data Loss Prevention:情報漏洩防止)、CASB(Cloud Access Security Broker)、そしてSDPなどの機能が統合された「SIG(Secure Internet Gateway)」だという。インターネット接続に必要な機能が、すべてクラウドで提供されるようになりつつある。

 馬場氏が挙げるSIG製品の選定ポイントは、(1)各社のサービスはその出自によって強みが異なるので必要な機能に合わせて選択する、(2)拠点間のアクセスが必要な場合は、インターネット宛だけでなく拠点間のアクセスにも対応している製品が必要(例えば、パロアルトネットワークスの「Prisma Access」(旧製品名:GlobalProtect Cloud Service)、(3)オンプレミスのファイアウォールがある場合、SIGのFWaaSと統合管理できることが重要、の3つである。

●Next:クラウドセキュリティの重要概念「CASB/CSPM」とは?

この記事の続きをお読みいただくには、
会員登録(無料)が必要です
  • 1
  • 2
関連キーワード

クラウドセキュリティ / NTTデータ / Palo Alto Networks / IT人材 / CASB / CSPM / SASE / SOAR

関連記事

トピックス

[Sponsored]

エキスパートが説く「DX時代のネットワーク/セキュリティ」諸課題とベストプラクティス国内企業の間でクラウドシフトやモバイルシフトが加速している。「IT環境が大きく変化することで、ネットワークやセキュリティに早急な対応が迫られています」と話すのは、IPv6、SDN、SD-WAN、そしてクラウドセキュリティなどのテクノロジー/ビジネスソリューションに精通するNTTデータの馬場達也氏だ。Palo Alto Networks Forum 2019 vol.2(主催:パロアルトネットワークス/メディア協力:インプレス)の特別講演に登壇した馬場氏は、「デジタル時代のセキュリティベストプラクティス」を示した。(撮影:小沢朋範)

PAGE TOP