· 

ネットワークセキュリティの在り方はどのように変化していくのか? その2

松田 幸裕 記


新型コロナウイルス感染の勢いが収まらず、飲食店への時短営業要請や住民への外出自粛要請、GoToキャンペーンの利用制限などが各所で進められています。未だ十分なデータがないため、なぜ感染が拡大したのか、なぜ収まったのかなどもつかめず、今のところは「ハンマー&ダンス」しか採る手段が無いようです。

気候の変化やGoToキャンペーンによる影響もありますが、結局は国民の気の緩みがこの感染拡大を引き起こしているように思えます。それなのに、感染が広がった結果として被害を受けるのは、緩んだ人々ではなく飲食業など一部の業界です。そう考えると、なんだか不公平な世の中ですよね。

マスク会食について「ぜったい無理。」、「そんなことするくらいなら行かない」などの意見が多いようですが、それはある意味「私たちは我慢できないから、感染拡大は仕方ない。そうなったら飲食業の皆さんが苦しんでね。」と言っているようにも思えます。マスク会食が難しいのはわかりますが、医療従事者や飲食業含め我々が共存していくために、簡単に無理と言わず、小さいことからでも、「難しくてもやってみようよ」という気概が必要なのではないでしょうか。

今回も前置きが長くなりましたが、本投稿も前回の投稿「ネットワークセキュリティの在り方はどのように変化していくのか? その1」に続き、ネットワークセキュリティの在り方の変化について考えてみたいと思います。

「社内は安全、社外は危険」という思想の中で長い間企業のネットワークセキュリティは成り立ってきましたが、サーバーはクラウドへの流れが進み、PCなどのデバイスは「働き方改革」とともに社外へ持ち出されるようになりました。もはや社内と社外の境界線でセキュリティを考えることが困難になってきた中で、社内も社外も同等に対策を行う「ゼロ・トラスト」という考え方が出てきています。

本投稿では、この「ゼロ・トラスト」からどのようにネットワークセキュリティの考え方や市場が変化していくかを、考えてみたいと思います。

各サービスの守備範囲拡大と「SASE」

当初は「CASB(Cloud Access Security Broker)」、「SWG(Secure Web Gateway)」など各ソリューションの守備範囲が個別に分かれていましたが、徐々に各ソリューションの守備範囲拡大の動きがみられるようになっています。例えば、元々SWGの領域でリーダー的位置づけにあったZscalerは、現在CASBの機能も持っています。逆にCASBの領域でリーダー的位置づけにあったNetSkopeは、現在SWGの機能も持っており、さらに最近では「SDP(Software Defined Perimeter)」の機能も追加しています。各クラウドサービスベンダーが守備範囲を広げ、この全領域の争奪戦を繰り広げています。

そんな中で、昨年ガートナーから新たなネットワークセキュリティモデルである「SASE(Secure Access Service Edge)」が発表されました。その定義とは、「包括的なWAN機能と包括的なネットワークセキュリティ機能(SWG、CASB、FWaaS、ZTNAなど)を組み合わせて、デジタル企業の動的なセキュアアクセスニーズをサポートする新たな製品である」というもので、要はネットワークセキュリティ全体を網羅した製品ということになります。注目すべきは、SD-WANなどネットワークの領域にもかなり踏み込んだものになっていることで、SASE全体としては相当広い領域となっています。

各社は続々と「うちはSASEサービスを提供しています!」と宣言していますが、現状これらをすべて網羅できるベンダーは限られているでしょう。

そして今後は?

ここからは勝手な推測になります。

日本企業の多くは、前述の通り「社内は安全、社外は危険」という思想に基づいたネットワークセキュリティ対策を講じてきましたが、コロナ禍をきっかけに変化の必要性を感じています。SASEのような広い範囲を網羅するサービスが、今後続々と日本企業で検討、採用されていくでしょう。

例えばCATO Networks。私が3年ほど前にこのソリューションを知った時、ネットワークセキュリティのかなり広範囲を押さえているという印象を受け、注目していましたが、当時日本での採用は片手で数えられる程度だったと記憶しています。この3年間、思ったより注目度が上がってこなかったと感じていますが、SASEの波に乗ってこのようなソリューションの注目度が更に上がってくる気がしています。

また、SD-WANが徐々に各企業にて採用されていますが、この領域にも変化が生じるのではないかと思っています。SD-WANで最も注目されているローカルブレイクアウト機能は、「直接クラウドサービスと通信したほうがいい場合は、拠点からデータセンターを介さずに直接通信させる」というもので、企業内からインターネットへの通信をすべてデータセンター経由で行ってきた企業にとって魅力的なものです。しかし、CASBやSWGのようにデバイスとクラウドサービスが連携してセキュリティ強化を図るソリューションを利用してしまえば、外向きの通信はすべてそのサービスが考えてくれるようになるため、拠点のネットワーク機器に複雑なアプリケーションレベルでのルーティングは不要となります。実際に、拠点のネットワークは単純にインターネットへ接続できるようにしているだけで、あとはデバイス側の機能とクラウドサービスでネットワークセキュリティを成立させている企業も、少なからずあります。SD-WANの領域はローカルブレイクアウトだけというわけはなく、ネットワークの抽象化や可視性、設置の容易性など魅力的な要素が多いため廃れることはありませんが、現在注目度の高いローカルブレイクアウトは不要になっていくかもしれない、と感じています。

今後どのような方向に市場が発展していくのか、どのタイミングどのタイプのソリューションを導入していくのか、長い目でどのようなロードマップを策定していくのか…、これらの情報をもとに、ぜひ皆さんも考えてみてはいかがでしょうか。