実践企業が語る SASEに潜む"落とし穴"とは？：生産性を向上させるセキュリティとは

「SASE」や「ゼロトラスト」がバズワードとなって久しいが、リソースやコストの問題からなかなか本格的な導入が進みにくい場合がある。先行する企業に課題や対策、ポイントを聞いた。

[PR／ITmedia]

PR

　近年、従来の境界型防御に変わる新たなセキュリティモデルとして、ネットワークとセキュリティを統合し、クラウドを活用してデバイスを保護する「SASE」（Secure Access Service Edge）やゼロトラストが注目を集める。

　しかしその実践に当たっては「既存の投資や資産をどう生かすか」「運用プロセスや体制はどうあるべきか」など悩みが尽きない。コロナ禍をきっかけに自社のセキュリティ環境にSASEの考え方を取り入れたTISとラックの担当者に、導入に潜む落とし穴と構築のポイントを聞いた。

セキュリティギャップをどう埋める？　経験して初めて分かるSASE導入の課題

（左から）TISの河田 哲氏、TISの茅野博史氏、ラックの外山 拓氏、ラックの田原祐介氏

――まず、皆さまがどのような立場でSASE導入に関わったのかお聞かせください。

河田 哲氏（TIS　IT基盤技術事業本部　IT基盤技術事業部　IT基盤ビジネス推進部　エキスパート）：　アプリケーションセールスや技術支援の経験を生かし、SASE導入のリーダーとして要件定義から設計といった立場で携わっています。

茅野博史氏（TIS　IT基盤技術事業本部　IT基盤技術事業部　IT基盤コンサルティング部　エキスパート）：　今回のプロジェクトではプロジェクトマネジャーを務めました。エンドポイントセキュリティの専門家としてVDI構築を中心に活動しています。

外山 拓氏（ラック　IT戦略部ICTイノベーション推進室長）：　情報システム部門という現場の立場から今回のSASE導入に携わっています。

田原祐介氏（ラック　インテグレーション推進事業部　インテグレーションサービス＆企画部長）：　普段は顧客の環境にSASEソリューションを設計、導入しています。今回はその知見を生かしプロジェクトに関わっています。

――TISがSASE導入に至った背景と、取り組みの過程をお聞かせください。

河田氏：　コロナ禍に伴って働き方が大きく変化し、オフィスという“情報資産を保護した区域”で業務を進める従来のやり方が通用しなくなりました。社外からのアクセスが増加する中、認証済みの人物が適切なリソースにアクセスできるようにするため、認証や認可、プロキシ、内外の通信の検疫などを実現できるSASEに注目が集まっています。

　TISは5000人超の従業員向けにSASEの仕組みを構築しました。2020年6月に導入の話が持ち上がり、3〜4カ月で要件定義をして関連製品のPoC（概念実証）を実施。その後、半年で導入を完了しました。

――かなり急ピッチですね、導入に当たってどのような壁がありましたか。

TISの茅野博史氏

茅野氏：　当初は「クラウドサービスを組み合わせるだけなので、比較的簡単に導入できるだろう」と想定していました。しかしオンプレミスのネットワーク構成から見直す必要があることが分かり、当初の想定よりも工数が掛かりました。ネットワークに関する知見がないとSASEの導入は難しいことを肌で感じました。ネットワークに強い担当者の協力を得て既存の環境を棚卸しし、分析した上で変更すべき部分を変える、というステップを踏む必要があると思います。

田原氏：　ネットワークとセキュリティの両方を見直す場合、既存のデータセンターに導入したネットワーク機器やセキュリティ機器も含めてシステム構成を大きく変更することもあります。全ての担当者を巻き込んで検討する必要がありますね。

河田氏：　境界型防御とSASEの間で、セキュリティレベルのギャップを埋めるのも重要です。設定をカスタマイズできるプロキシサーバからSASEによる認証や認可に切り替えたとき、フィルタリングのポリシーがそのまま移行できない、想定していた暗号化ができないといった問題が発生しています。

　SASEを導入するからには、それまでよりもセキュリティレベルを上げなければいけません。脅威ベースやリスクベースで課題を洗い出し、技術的な実現可能性を確認しながらソリューションを比較検討したり、XDR（Extended Detection and Response）といった技術的な手段と組み合わせてリスクを軽減したりしました。

茅野氏：　クラウドサービスならではの苦労もありました。サービス仕様が頻繁に変わるため、実装時とテスト時で必須要件の機能が変更されることもあり、リリース後にもチューニングが必要でした。

各部署やユーザーを巻き込み、必要に応じてルールの見直しも

ラックの外山 拓氏

――ラックではどのように取り組みを進めましたか。

外山氏：　働き方改革を進める中で「働き方の変化」という観点から、ラックもTISさんと同様のSASEの仕組み構築に乗り出しました。2019年末から計画を策定し、2020年7月には拠点のセキュリティを、2021年にはモバイルユーザーの端末セキュリティをという具合に段階的にSASEへの移行を進めています。ネットワークのトラブルを避け、業務への影響を防ぐためです。

田原氏：　移行中には、社内の業務システムに接続できなくなるといったトラブルも起きました。切り替え当初は問題なく動いていたのですが、特定のアプリケーションが「うまくつながらない」という声がユーザーから上がりました。ユーザーがSASEの導入に理解を示し、情報システム部門では把握し切れなかった問題を速やかに伝えてくれたことが、トラブル解決につながりました。

ラックにおける段階的なSASE導入の過程（出典：ラック提供資料）

　SASEを導入する最終的な目的は生産性の向上です。ユーザーが改善を実感できれば成功ですし、ユーザーが負担に感じるようでは失敗でしょう。ラックはユーザーの負担を減らしつつセキュアな環境をつくる点に注力しています。

　この観点で欠かせないのが「セキュリティのルール」の見直しです。従来の働き方に合わせたルールのままでは業務の足かせになる可能性があるので、ファイアウォールのアクセス制御だけでなく業務規定やセキュリティポリシーも見直し、適切に変える必要があります。

茅野氏：　TISでもユーザーや関係者を幅広く巻き込んでSASE導入を進め、必要に応じてルールを変えたことがプロジェクトの成功につながりました。セキュリティ統括部門と足並みをそろえ、働き方の変化に伴ってPC持ち出しのルールを変えたのです。プロジェクトの後半でPoCを実施した際は、どの程度生産性が向上したかをユーザー部門で指標化し、評価してもらいました。

従業員により良い環境を提供し、変化に対応できる基盤整備を実現

――SASE導入後の効果はいかがでしたか。

ラックの田原祐介氏

外山氏：　ラックは従来VPNを使っていましたが、帯域の問題から常時接続ではありませんでした。SASE導入後は場所を選ばず社内のリソースやクラウドを利用できるようになりました。情報システム部門の立場では、これまでオンプレミスで運用してきた複数のセキュリティアプライアンスを統合でき、ハードウェアの保守からも解放されました。

　セキュリティ強化につながった点もポイントです。ネットワークとセキュリティを統合したことでさまざまなログを集約し、可視化や分析ができます。インシデントがあった際も速やかに追跡できる点で価値が高いと考えています。

田原氏：　ただしSASEはあくまで「基盤」であり、この上でどうゼロトラストを実装するかが重要だと考えています。企業それぞれのニーズや文化の違いも踏まえながら、自社にとってのゼロトラストの理想型に近づけるのがSASE導入における今後の課題でしょう。

　もう一つ欠かせない視点が、SASEの導入によっていかに生産性を高めるかです。クラウドサービスが自由に使えるようになれば、さまざまなデータを集約、分析するといった試みが容易になります。基盤を刷新してセキュリティポリシーを統一することで、システムの変化に柔軟に対応することが可能になったのは大きな前進ですし、これからさらに効果を実感できるはずです。

茅野氏：　TISの場合、以前はインターネットアクセスに多くの制限をかけ、クラウドストレージの利用も限定していました。SASEの導入によってクラウドサービスの制御や可視化が可能になり、クラウドの利用を積極的に後押しできるようになりました。

経験したからこそ分かる強み　「落とし穴」を防ぎながらSASE導入を支援

――今回得られた知見を自社ビジネスにどのように生かしたいですか。

TISの河田 哲氏

河田氏：　TISは「ゼロトラスト導入支援コンサル」や「ゼロトラスト環境構築」、ラックさんの支援を受けての「ゼロトラスト/SASEソリューション導入支援サービス」といった包括的なゼロトラストやSASEの構築支援サービスを提供しています。

　今回のプロジェクトでは「生産性の維持ではなく、向上を目指す」をコンセプトに、社内の営業やシステム開発、企画、事務といった部署のユーザー目線で要件を整理し、要件定義やPoCに落とし込みました。そこで得た知見は、環境アセスメントやコンサルティング、製品選定、環境構築、運用支援やセキュリティ監視サービスまで、両社共同でオールインワンのサービスに生かします。

　顧客の要望は「境界型防御を残したままインターネットブレークアウトをしたい」「とにかく特定のSASEツールを入れたい」など多様です。要件を整理して理想と現実の折り合いを付けながら、最適な方法を提案できると考えています。

TISのSASE構築支援サービス（出典：TIS提供資料）

田原氏：　ラックも認証基盤との連携を含めたSASEやゼロトラストのインテグレーションサービスを提供しています。自社でSASEを導入し、運用しつつ課題やトラブルを解決してきた知見を踏まえ、顧客に「導入によって何を実現したいか」という視点で提案できるのが強みです。

　SASEやゼロトラストを構成するクラウドサービスのアーキテクチャを理解した提案ができる点も両社の特長です。エンドユーザーからは見えない部分を理解し、導入を成功させられる知見を持っていることがポイントです。

――ありがとうございました。