「Security-First, AI-Powered Networking」が示す新しいゼロトラスト：ゼロトラ時代のネットワーク＆セキュリティの新潮流

社内ネットワーク管理に慣れた情報システム担当者にとって、「モダンなネットワーク環境の導入と適切な運用」と「強固なセキュリティ」を両立させるのが難しい場合もあるだろう。どうすれば両立に向けて踏み出せるだろうか。

[PR／ITmedia]

PR

　“つながる”ことを目指すネットワークと、リスクを判断して時には“つなげない”ことを目指すことになるセキュリティは見方によっては相反する場合があり、各担当者は日々頭を悩ませているかもしれない。しかし経営層にとってこの2つはもはやないがしろにはできず、双方のいいとこ取りを目指すべきものだ。

　可能な限りリスクを抑えながら、ユーザーやモノに高いパフォーマンスと中断のないアクセスを提供するにはどうすればいいのか。より良いものを顧客に提供する力を持つSB C&Sの遠藤宗正氏（ICT事業本部 技術本部 技術企画室 セキュリティビジネスデベロッパー）と土田貴大氏（ICT事業本部　ネットワーク＆セキュリティ推進本部　ゼロトラスト推進室）が、ネットワーク＆セキュリティにおける最先端の技術を持つ日本ヒューレット・パッカード（HPE）の奥野木 敦氏（Aruba事業統括本部　事業開発本部　Unified SASEビジネス開発担当）にインタビューする形で、話題のゼロトラストの新潮流を探った。

ネットワークをセキュリティ込みに　HPE Aruba Networkingが狙うもの

土田氏　当社はセキュリティに限っても多様なソリューションを取り扱っています。お客さまの要件に最適な製品を提案できるように、各種ソリューションがゼロトラスト、SASEのどの領域をカバーしており、領域内でどのような強みがあるのかを統一フォーマットで評価しています。まず、HPE Aruba Networkingについて教えてください。

奥野木氏　HPE Aruba Networkingはゼロトラストに注力しており、HPE傘下となった後もセキュリティとネットワーク部分を担う中核とも言える部門です。Arubaというブランド名はカリブ海に浮かぶ美しい島の名前に由来していて、IT管理者やネットワークそのものに平穏をもたらしたいという願いを込めて名付けられました。買収後もビジネスは大きく成長しており、HPEの事業部としても重要な位置にあります。

　HPEは今、ゼロトラストの実現に注力しています。かつて企業を守ってきたファイアウォールは、境界型防御の終えんに伴って役割を終えようとしています。代わりに注目を集めるのは、あらゆる場所からアプリケーションにアクセスするためのセキュリティを管理できるセキュリティサービスエッジ（SSE）です。これこそがゼロトラストを実現するための鍵となります。

　場所を問わず、エクスペリエンス（体験）が重要になっています。アプリケーションと人、モノをつなぎ、最高の“体験”を得るには、それらがセキュアにつながることが必要です。これは生産性を向上させるだけでなく、お客さまの心をつかむこと、事業者間で信頼関係を構築すること、そして効率を最適化することにもつながります。

　しかし、最高のパフォーマンスを求めるネットワークと、侵害させずにリスクの軽減を狙うセキュリティの“体験”は相反する部分も少なくありません。経営層の課題は「可能な限りリスクを抑えながら、ユーザーやモノに高いパフォーマンスと中断のないアクセスを提供するにはどうすればいいのか？」にまとめられます。そのためにゼロトラストが役立ちますが、ゼロトラストの原則そのものを適用することは複雑性の観点から、非常に難しいのも事実です。

　HPE Aruba Networkingは「Security-First, AI-powered Networking」というメッセージを発信しています。ゼロトラストの原則をネットワークアーキテクチャに“ビルトイン”し、相反する部分のあるネットワークとセキュリティのいいとこ取りを実現します。

　調査会社によるネットワーク業界の分析によれば、2026年までに生成AI技術は初期ネットワーク構成の20％を占めるようになるといわれています。

　昨今自動化が多くの場面で利用されてきましたが、組織が今後も競争力を維持するためには従業員が効果的に業務を遂行できるようにAIを活用することが重要です。

　Security-First, AI-Powered Networkingによって、検索、ファームウェアのアップグレード、その他のメンテナンスおよびサポート機能といったバックエンドのオペレーションを簡素化することが可能です。

サイロ化を防ぎEdge-to-Cloudでセキュリティを確保する

遠藤氏　SASEの提供をうたっているネットワークメーカーもあります。その中でHPE Aruba Networkingはどのように優位性を打ち出していますか。

奥野木氏　一元管理できることが最も大きな違いです。管理がばらばら、管理コンソールがばらばらということはなく、集中しやすいことが強みです。現在のネットワークとセキュリティの技術はサイロ化した「個々の島々」のように散らばっており、ゼロトラストを適用して快適なネットワークを提供するのは容易ではありません。

土田氏　HPE Aruba Networkingではどのようにサイロ化を防いでいるのでしょうか。

奥野木氏　ゼロトラストを含めた形でネットワーク自身にセキュリティ機能をビルトインするSecurity-First, AI-powered Networkingを推進しています。実現する価値は「可視化の共有」「グローバルポリシーの実現」「Edge-to-Cloudエンフォースメント」「AIによる自動オペレーション」の4つです。

　「可視化の共有」で実現できることとしては、セキュリティ担当者、ネットワーク担当者が同じ情報を見ることができるというメリットがあります。セキュリティインシデントが発生時に素早く初動対応でき、複数のチームが同じ情報を共有して動けます。

　サイロ化が進んでしまうと、ポリシーを一元管理することさえも難しいでしょう。これが今、ポリシー設定ミスによる情報漏えいやセキュリティホールにつながり、大きな問題になっています。Security-First, AI-powered Networkingは、ポリシーをシンプルに実現して運用もしやすいというあるべき状況をつくれます。Edge-to-Cloudエンフォースメントによってハードウェアやソフトウェア、クラウドを含めてセキュリティ全体をカバーできる上に、AI技術を運用管理に使って自動的、自律的にサポートできます。

　これを支えるのが、一つの画面で全てを管理できる「HPE Aruba Networking Central」です。通常、このようなネットワークを実現するためにさまざまな製品を寄せ集めた結果、多数のダッシュボードを横断して眺め、確認しなければならなくなります。HPE Aruba Networkingは“体験”を重要視していて、可視化の体験価値を上げることに注力して投資してきました。そのため、パートナーや顧客の意向や期待もさることながら、継ぎはぎではない“真の統合”を行うことが戦略として根付いています。

　コネクティビティーがクリティカルな問題になっていて、柔軟性も大事です。アプリケーションや人が動いている時代、その環境に追随するにはネットワークが重要なのです。そこにあらかじめセキュリティを組み込んでおくことで、守りやすい、コントロールしやすい環境をつくり上げることができます。それがHPE Aruba Networkingがポートフォリオを広げてきた理由です。

「HPE Aruba Networking SSE」の4つの“強み”

遠藤氏　主要なセキュリティサービスを統合したSSEが注目を集めています。HPE Aruba Networking SSEにはどのような強みがあるのでしょうか。

奥野木氏　ゼロトラストの実現ではSSEの機能が重要です。これは全てのユーザー、デバイス、アプリケーションがどこからでもシームレスでセキュアにアクセス可能な環境を構築できるもので、包括的なSASE戦略の一環として導入を検討している企業も多いでしょう。

　HPE Aruba Networking SSEの特徴は4つあります。まずはデータセンター、SaaS、パブリッククラウド、インターネットなどのセキュアアクセスを統合するプラットフォームとしての機能です。日本にもサービス接続拠点のPoP（ポイントオブプレゼンス）を提供していて、高速かつクラウドネイティブのプラットフォームとして展開しています。

　HPE Aruba Networking SSEはポリシーやトラフィックの制御をシンプルに管理できる点も特徴です。インターネットやSaaSだけでなく、SSHやRDP、VoIP（Voice over IP）などのさまざまなプロトコルにも対応していて、柔軟性が高い。Amazon Web ServicesやMicrosoft Azureなどとのバックボーンのネットワークも最大限に活用し、高速な接続や高い冗長性、拡張性を提供できます。エージェント／エージェントレスの双方をサポートして、ユーザーがセキュアにリソースにアクセスできる、ゼロトラストネットワークアクセス（ZTNA）が実現することもポイントです。

「HPE Aruba Networking SSE」の4つの“強み”（提供：HPE）

ZTNAがもたらしたメリットを2つの事例から学ぶ

土田氏　HPE Aruba Networking SSEのユースケースを教えてください。

奥野木氏　グローバルの事例を2つ紹介しましょう。まずは多くの企業で課題になりつつある「VPN」です。

　VPNは、テレワークに必須の機能として多くの企業が大急ぎで導入・拡張しました。しかし今ではマルウェアの侵入のきっかけとして攻撃者に注目されてしまい、インシデントが急増してしまっています。これを置き換えるのがHPE Aruba Networking SSEです。

　HPE Aruba Networking SSEはVPNの代わりに“外向け通信専用”のセキュアトンネルを実現する小さなコネクターアプリを設置します。下図にあるようにリモートユーザーは、エージェントを経由して安全な経路を確保でき、本社側はアプリケーション単位でのアクセス制御が可能です。VoIPのSIP（Session Initiation Protocol）サーバやパッチ配信をはじめとする内部のサーバを起点とする通信が発生するアプリケーションも、コネクターを経由することでクライアントに通信を届けられる点が他のソリューションとの大きな違いです。これによりVPNを完全に撤廃可能です。

ZTNAを採用することでVPNを撤廃できる（提供：HPE）

　もう一つの事例は関連企業、協力会社などを含めた「サプライチェーン」に関するものです。サプライチェーンに関するセキュリティリスクはエージェントレスのZTNAの技術で低減できます。エージェントレスZTNAはWebブラウザベースでZTNAを実現しており、クラウドのポータル経由で、関連企業ごとに必要な機能やアプリケーションだけにアクセスできるポリシーを提供できます。Webブラウザのみで実現するためエージェントを導入できない環境でもセキュアなアクセスが可能です。

　Webブラウザベースでのセキュアアクセスはダウンロード禁止などのポリシーも適用できるだけでなく、RDP、SSH、データベースアクセスなどのプロトコルも利用可能です。メンテナンスのためのターミナル接続を提供する際も、VPNを別途用意することなく実現できます。もちろん、拠点間のネットワークを用意する必要はありません。

協力会社にも安全なアクセスを提供可能（提供：HPE）

　これらの機能をユーザー数ベースで“as-a-service”として提供できるのが大きなポイントです。最小ユーザー数は20なので、中堅・中小企業でもこれらの強力な機能をすぐに使えます。エージェント／エージェントレスでの接続もでき、ZTNA部分だけ利用することも可能です。

管理しやすく安全なネットワーク／セキュリティのあるべき姿が今すぐ手に入る

　Security-First, AI-powered Networkingを掲げるHPE Aruba Networking SSEでネットワークとセキュリティを一元管理すると運用の負荷が減り、セキュリティを強化できるという。SASEの導入にはさまざまな考慮ポイントがあり、どこから手を付けたらよいかと悩む場面も多いだろう。

　そのとき、HPE Aruba Networkingの技術とSB C&Sのインテグレーションの力が、正しい仕組みを手に入れる最短の近道を提供できるはずだ。ネットワークとセキュリティに悩んでいる担当者や経営者は、これらの機能やSB C&S、HPE Aruba Networkingの思いをチェックしてみてほしい。

左から土田貴大氏、遠藤宗正氏、奥野木 敦氏