[Sponsored]
[IT Leaders Tech Strategy LIVE ゼロトラストセキュリティの要諦を穿つ]
ハイブリッドワークのセキュリティの課題を解決する次世代ゼロトラストアーキテクチャ
2022年10月14日(金)
2022年8月31日に開催されたウェビナー「[ゼロトラストセキュリティ]の要諦を穿つ」(主催:インプレス IT Leaders)に、日本ヒューレット・パッカード(HPE)の横山博樹氏(Pointnext事業統括 GreenLake&コンサルティング推進本部 コンサルティングビジネス推進本部 プリセールスコンサルタント)と日向直人氏(同 シニアコンサルタント)が登壇。「次世代ゼロトラストアーキテクチャ〜ハイブリッドワークで見えてきた通信やアプリケーションセキュリティの課題を解決する次の一手」と題して、オンプレ環境とクラウド環境、境界セキュリティ、ゼロトラストセキュリティを統合して運用管理できるソリューションを紹介した。
メタバース、遠隔医療、自動運転などで「分散化」は今後も加速する状況
働き方改革とリモートワーク促進の流れや、働く場所を選択できるハイブリッドワークの加速を受けて、セキュリティに対する考え方やアプローチが大きく変化している。特に近年はWeb会議を含め多種多様なSaaSを活用し、社員が場所を問わず生産性を向上できる環境の整備が進められるなか、ゼロトラストセキュリティへの移行が叫ばれるようになった。横山氏はこう説明する。
「企業のITリソースは社内にとどまらずWANを超えて、データセンター(DC)の向こう側にあるクラウド側に移行してきています。同時にユーザーもインターネットを介してさまざまなデバイスでさまざまな場所からリソースにアクセスしてくるようになりました。調査によると現在クラウドを利用している企業は約94%に達し、約69%がハイブリッドクラウド環境を利用しているほどです」(横山氏)。
こうした変化にともなって、セキュリティのあり方もネットワークと認証を中心に大きく変化している。従来は、WANと境界となるDC、社内に設置した認証基盤、VPNアクセスでセキュリティを確保していた。だが、現在はITリソースがクラウドに移行し、よりインターネットセントリックな環境へと移行した。社外にいるユーザーは直接インターネットを介してクラウドにあるリソースにアクセスし、オフィスにいるユーザーもローカルブレイクアウトでDCを介さず直接インターネットにアクセスするようになった。IDも各クラウドにプロビジョニングする必要があり、認証機能の分散が起こっている。
「境界を守るのではなく変化を考慮したアプローチをとる必要がでてきています。守らなければならない場所が増え、セキュリティのエンフォースメントポイントも分散しています(図1)。メタバース、遠隔医療、自動運転など、分散の流れはさらに加速していきます」(横山氏)。
拡大画像表示
移行プランやポリシー運用などゼロトラストには多くの課題が存在する
そこで重要になるのがゼロトラストだが、導入にあたっては課題も多いのが現状だ。例えば「今までにチューニングしてきた境界セキュリティの廃止に抵抗がある」「ベンダーから提案される移行プランが非現実的で踏み切れない」「一部採用したが仕様変更に対する定期変更やポリシーなどの運用が難しい」「クラウドに移行できないレガシーアプリがある」などだ。
「すべてのアプリケーションがクラウドベースな企業なら移行は容易かもしれませんが、多くの企業はそうではありません。企業の持つすべてのリソースをゼロトラストアーキテクチャに移行させるには、根気のいる長期的な取り組みが必要です。オンプレミスのシステムが残る場合、境界型セキュリティも同時に持つ必要があり、境界型とゼロトラストを共存させていくことが重要です」(横山氏)。
こうした「共存の時代」に求められているのは、本社・支店、工場・研究所、自宅、外出先のさまざまなロケーションからユーザーがオンプレやクラウドを意識せずに使い分け、必要なリソースに正しくアクセスできるプラットフォームだ。
「こうしたプラットフォームの実現のためにはユーザーがアクセスしてくるポイントである各パブリッククラウド上に分散されたプロキシ、DCにある集中プロキシでユーザーのID情報とコンテキスト情報をもとに正しくアクセスを判別でき、通信の脅威からも守ってくれるセキュリティ機能を持つ必要があります。コネクティビティ・認証の両面からセキュリティを担保可能で、分散するリソースを統合的に管理できるプラットフォームが理想的です」と横山氏は訴求した(図2)。
拡大画像表示
ネットワークとセキュリティを融合した「F5 Secure Proxy Mesh」を提供
続いて日向氏が分散した環境で求められるプラットフォームの具体像を解説した。日向氏はまず、ITリソースやユーザーが分散したインフラストラクチャに求められるニーズとして「トランザクション単位でのセキュリティ」「分散するアプリケーションへの接続性」「インターネットからの直接の認証」「複数の認証基盤への対応」「認証強化とユーザー利便性の両立」「マルチデバイスへの対応」「IoTなど人以外(モノ)への対応」「組織の変化への柔軟な対応」「今起きていることの可視化」「管理者の負荷をこれ以上かけないこと」を挙げた。
「これらは3つの要素に整理できます。1. オフィス-DC-クラウドまでのサイト間での自在でセキュアな接続、2. アプリケーションの場所に依存しないSSOの実現、3. 一元的かつ一括管理が可能なコンソールです。こうした要素を満たすソリューションの1つがF5が提供する『Secure Proxy Mesh』です」(日向氏)。
Secure Proxy Meshは、「F5 Distributed Cloud Services」と「F5 BIG-IP APM」というネットワーキング製品とセキュリティ製品を組み合わせたハイブリッドソリューションとなる。SD-WAN相当の簡単なサイト間接続が可能で、VPNを含むゼロトラストネットワークアクセス(ZTNA)接続の提供、SASE(セキュアアクセスサービスエッジ)のようなセキュリティと接続制御ができることが大きな特徴だ(図3)。
拡大画像表示
前述の3要素は以下のように実現される。
- オフィス-DC-クラウドまでのサイト間での自在でセキュアな接続では、分散クラウドネットワークを構成するMeshと多彩なMeshノードで対応する。
- アプリケーションに依存しないSSOでは、認証ゲートウェイのデファクトスタンダードであるBIG-AP APMの機能を使って、柔軟で強固な認証プラットフォームを実現する。
- 一元的かつ一括管理が可能なコンソールでは、サービス・ネットワーク・基盤・セキュリティ環境を一括管理・可視化する管理画面を提供する。
「HPE Pointnext Services」や「HPE Greenlake」で顧客をサポート
こうした次世代ゼロトラストアーキテクチャを実装するために、HPEのコンサルティングチームが提供するのが、顧客の取り組みを支援するさまざまなサービスだ。
「HPEがお客様の期待に応えられる理由は大きく5つあると考えています。1つめは、お客様のDX推進を支えるHPE Pointnext Servicesの存在。2つめはハイブリッドクラウドの全面的なサポート。3つめは幅広いテクノロジーパートナーとの協業、4つめはゼロトラストプラットフォームへの高い対応力、5つめがあらゆるプラットフォームをas-a-Serviceモデルで提供することです」(日向氏)。
HPEはハードウェアベンダーとしてだけでなく、IT消費モデル「HPE GreenLake」を活用しながら、世界1万5000人のITエキスパートがDX推進に向けたアドバイザリー、プロフェッショナル、オペレーショナルの各フェーズで顧客をサポートする。HPE Pointnext Servicesでは、分散環境に適した製品をカバーし、トラディショナルなITからプライベートクラウド、コンテナプラットフォームといった最新ITまでを全面的にサポートする(図4)。F5のパートナーとしても豊富な実績があり、パートナーアワード「Best Software Sales Performance」受賞経験も持つ。
拡大画像表示
また、ゼロトラストプラットフォームについても、クライアント&デスクトップ管理から、セキュアアクセス、ID&アクセスマネジメントといった6つの構成要素に高い対応力を持つ。
最後に日向氏は「境界型とゼロトラスが共存する時代には、柔軟なセキュアアクセス、認証の最適化、統合コンソールの3つを実現するプラットフォームが重要です」と述べ、講演を締めくくった。
●お問い合わせ先
日本ヒューレット・パッカード合同会社