クラウドファースト時代はゼロトラスト!ヴイエムウェアが描くSASEとは
- お役立ち情報
2021年01月29日
- ゼロトラスト
- SASE
- セキュリティー
ユニアデックスのビジネスパートナーであるVMwareが2020年9月29日~10月1日に年次イベント「VMworld 2020」を開催し、今後のロードマップを公表しました。
ユニアデックス では 、その中でも「VMware SASE」に注目しています。VMware SASEは「Zero Trust」と「SASE(Secure Access Service Edge)」を実現するプラットフォームの名称で、Zero Trust/SASEの実現のために必要な機能のほとんどをヴイエムウェアのソリューションで構成しているところが注目点です。
Zero Trustとは、その名の通り「何ものも信用しない」というセキュリティーの考え方です。ファイアウォールをはさんで組織内のネットワークを防御する境界型モデルに代わるもので、ユーザーがアプリケーションやサービスにアクセスするごとに、そのユーザーのIDおよびデバイスに対する認証を行い、アクセス権限があるか否かを検証する仕組みです(より詳しくは『1分で分かるかも?「Zero Trust」』を参照してください)。
一方のSASEとは、2019年にGartnerが新たに提唱したセキュリティーモデルです。同社は、ユーザーがいつでもどこでもクラウド上のアプリケーションやデータ、サービスに安全にアクセスできるようにするための仕組みだと説明しています(より詳しくは『1分で分かるかも?「SASE(サシー)」』を参照してください)。
境界型モデルのセキュリティー対策は限界に
Zero TrustやSASEという考え方は以前から存在しましたが、この1年の間に大きく注目されるようになりました。というのも、企業のIT環境が大きく変化したからです。一昔前であれば、企業のITシステムといえばオンプレミス、すなわちファイアウォール の内側にあるのが一般的でした。だからこそ、セキュリティー対策は境界型モデルで十分だったのです。しかし、クラウドサービスの普及とテレワークによって状況は一変しました。
それにもかかわらず、多くの企業が境界型のセキュリティー対策を基本として、新たなアクセス経路が生まれると例外的な対策を講じているのが現状です。こうした継ぎはぎ的な対策では、ネットワーク/セキュリティー機器の運用保守が煩雑になります。さらにはネットワークの遅延や利便性の不満から企業が認めていないSaaSの利用(Shadow IT)などの課題に遭遇することになります。こうした課題の解消という側面でも、Zero Trust/SASEが注目されています。
境界型セキュリティーの限界
エンドポイント保護や未知の脅威に備えた機能も搭載
Zero Trust/SASEを実現するには、単一のソリューションを導入すればいいというわけではありません。下の図のようにさまざまな機能が必要になってきます。
Zero Trust / SASEの全体概念
VMware SASEでは、プライベートネットワークアクセス制御に「VMware SD-WAN」、セキュアゲートウェイに「VMware Unified Access Gateway」を採用。インターネットアクセス制御には「VMware Cloud Web Security」or「Zscaler」を選択できます。モバイル環境において、スマートフォンやタブレット端末、ノートPCなど多様なデバイスからアクセスする際のセキュリティー対策も講じています。この役割を果たすのが「VMware Workspace ONE」です。
Workspace ONEは、業界で最も利用され(*1)、信頼性の高い、モバイル管理を中心とした働き方改革ソリューションです。モバイル管理機能は従来、「VMware AirWatch」として業界をリードしていたものですが、ID管理機能や仮想デスクトップ機能を組み合わせ、Workspace ONEとしてモバイル利用環境を提供するソリューションとなりました。
Workspace ONEを導入すれば、iPhone/iPad/AndroidだけでなくWindows10やMacOSのセキュリティー設定をリモート管理することが可能になります。盗難紛失時にデバイスをワイプする機能も備えています。アプリケーションポータルによって、ログイン後にはユーザーにアサインされたアプリケーションのアイコンの一覧が表示され、アイコンをクリックすればパスワードの入力なしにアプリケーションが利用できます。
VMware SASEには、エンドポイント(ネットワークの末端に接続された機器や端末)を未知の脅威から保護する機能もあります。この機能を提供するのが「VMware Carbon Black」です。Carbon Blackは、保護と自動検知の機能を組み合わせたクラウドネイティブのエンドポイント保護ソリューションです。
サイバー攻撃がネットワーク内に侵入した際に、Carbon Blackは特許技術である「ストリーミングプリベンション」を駆使して、その振る舞いを検知してエンドポイントを保護します。マルウエア、ランサムウエア、ファイルレス攻撃(非マルウエア攻撃)、環境寄生型攻撃や、過去に観察されたことのない新たな攻撃をオンライン/オフラインを問わず自動的に阻止することが可能です。
Zero Trust/SASEを実現する「Uniadex CloudPas®」
「複数のソリューションを組み合わせるのでは、既存のセキュリティー対策と変わらないのではないか?」と思った方もいるかもしれません。複数のソリューションが必要だからこそ、ヴイエムウェアが1社で全てを提供することに大きな意義があるのです。運用保守作業とサポートが一元化されるので、セキュリティー対策に関わる作業負担が劇的に軽減されるのです。
Uniadex CloudPasは、クラウド認証基盤の「Okta」やゲートウェイセキュリティーを提供する「Zscaler」など第三者のソリューションを組み合わせてZero Trust/SASEを実現するサービスです。モバイル管理にはVMware SASEと同様に「VMware Workspace ONE」を採用しています。現時点でVMware SASEのロードマップには含まれていないSIEM機能も提供します(ソリューションは「Sumo Logic」を採用)。
VMware SASEを構成する機能の中には、Workspace ONEやCarbon Blackのように既にリリース済みのソリューションもあります。ユニアデックスでは、これまでに蓄積した知見を活用することによって、Uniadex CloudPasとVMwareのソリューションを組み合わせてお客さまのご要望にお応えすることが可能です。全てのソリューションに対する保守やサポートをユニアデックスがワンストップで担うので、運用管理が煩雑になる恐れはありません。
Zero Trust/SASEを実現するためにはさまざまな機能が必要になるので、運用管理の手間をできるだけ軽減することが成功の鍵になると考えています。
- 注1)Global Analyst Firm Ranks VMware AirWatch the Largest Enterprise Mobility Management Vendor in the World for the Second Consecutive Year
プロフィール
中條 貴博
ユニアデックス株式会社サービス企画部
プラットフォームサービス企画室
お問い合わせ
お客さまの立場で考えた、
最適なソリューションをご提供いたします。
お気軽にお問い合わせください。