自社にフィットするセキュリティ対策は？――「SASEワークショップ」に参加して発見 将来像を設計するコツ

[PR／ITmedia]

PR

　コロナ禍以降、多くの企業がテレワークなどを導入して働き方が多様化した。そのような働き方を支えているのが、ネットワークやクラウドサービスなどのITシステムだ。特に、手軽に導入してすぐに使い始められるSaaSは手放せない存在になった。これらがDX推進にも一役買っている。

　柔軟な働き方やDXが浸透する一方で、テレワークの増加に伴ってセキュリティインシデントが増えている。これまでは安全な社内ネットワークの外側にあるインターネットを危険視して対策する「境界型防御」が定石だったが、社外ネットワークからのアクセスが当たり前になったことで限界を迎えたのだ。

　こうした課題に有効なのが「ゼロトラストセキュリティ」という考え方で、その中心となるものが「SASE」（Secure Access Service Edge）だ。SASEとは、セキュリティ機能とネットワーク機能を一体化し、クラウド経由で利用するセキュリティの枠組みを指す。

　多くの企業がSASEに注目する中、SASEの導入支援を続けているのがソフトバンクだ。その経験を基に無料の「SASEワークショップ」を開催している。SASEの詳細説明やユースケースなどの紹介に加え、企業の既存環境や抱える課題、目指すべき将来像をベースにディスカッションできる。本格的にSASEの導入を検討する企業にうってつけということで、参加してみた。

SASEワークショップの様子

全3回でSASEの基礎から導入イメージまで議論

　SASEワークショップは、受講を希望する企業ごとに個別に実施する。全3回のうち、1回目はゼロトラストの考え方とSASE導入のメリットについて学ぶ。2回目は、SASE製品それぞれが持つ機能やユースケースを確認。さらに、受講者の企業のIT環境をヒアリングした上で適した導入イメージなどをディスカッションする。3回目は、ディスカッションを基に作成したレポートの解説やソリューション構成の説明を受けて終了だ。

　ワークショップは主に中堅企業から大企業の受講を想定している。参加するのはセキュリティ対策の構成を検討するセキュリティやネットワーク担当者など、現場に近い人と意思決定者が同時に参加するのがいいだろう。

1回目は“SASE概論”――ゼロトラスト要件をSASEでカバーする

　1回目の内容は、SASEの概要について学ぶ。その内容を簡単におさらいする。

　本記事の冒頭で示したように、テレワーク環境が整ったこと、またSaaSをはじめとするクラウドサービスの活用が広がったことで企業のシステムやデータが“境界の外側”に当たるクラウドに移行し、境界型防御が成り立たなくなってきた。

　こうした状況に対応したセキュリティ対策がゼロトラストセキュリティなのだが、これを実現するには社内システムの構築概念を変更するほどの大きな改革が必要だ。

　そこで、ゼロトラストセキュリティの重要なポイントとなるSASEに注目が集まっている。ゼロトラストでは場所に関係なく、全ての通信を保護することが求められており、SASEを導入することでオフィスや自宅などさまざまな場所からの通信にセキュリティポリシーを一律に適用でき、データの管理や通信ログの分析などを実現することができる。

　こうした内容を約60分かけて学んでいく。受講者の要望に合わせて1回目を短縮して、2回目以降のディスカッションを優先するなど柔軟に調整可能だ。

SASEの事例を紹介　効果を分かりやすく解説する

　ワークショップは第2回、第3回と進んでいく。SASEを導入した企業の事例紹介などもあり、下記のような課題を持つ企業のITシステムがSASEでどう変わったのか詳しく理解できる。

• 機器の脆弱性の管理不全が原因で不正アクセスを受け、ランサムウェア被害が発生する懸念
• シャドーITの利用が増え、管理が行き届かず情報漏えいのリスクが増大する
• さまざまな場所から閉域網に接続する構成にした結果、インターネットゲートウェイや回線が逼迫（ひっぱく）する

　こうした事例は、セキュリティ担当者が対策や効果をイメージするのに役立つ。ワークショップに参加することで、自社の現状を整理しやすくなるだろう。

　「受講企業の課題解決につながる事例を紹介して、『SASEを使えばどこからでも一律のセキュリティポリシーを適用できる』『ロケーションフリーになる』などの効果を説明することが多い」と、講師を務めるソフトバンクの松本浩志氏（法人プロダクト＆事業戦略本部 セキュリティ事業統括部 セキュリティデザイン推進部 プリセールス推進課）は話す。

ソフトバンクの松本浩志氏（法人プロダクト＆事業戦略本部 セキュリティ事業統括部 セキュリティデザイン推進部 プリセールス推進課）

　事例の他に参加者が関心を持つのが、内部不正対策や情報漏えい対策だ。どちらも従来のセキュリティ対策では対応が難しい問題だった。SASEはSaaSそのものへのアクセス制限だけでなく、データのやり取りも監視できるので、情報の持ち出しや情報漏えい対策にも有効だ。

個社ごとに詳細ヒアリング　「求める対策レベルを把握して将来像を提示」レポートを報告

　ソフトバンクのSASEワークショップは、一方的な解説をするだけの座学ではなく、受講企業の事情や要望を事前にヒアリングし、ワークショップではさらに詳細を確認していく。SASE以外のセキュリティ対策も含めたディスカッションを経て、レポートを最終成果物として提出して終了する。

　「事前に50〜60問のヒアリングシートへの記入をお願いしており、現在のセキュリティ対策状況や求める対策レベルなどを把握した上でワークショップに臨み、お客さまに適した将来像を提示します」――こう説明するのは、ワークショップをデザインするソフトバンクの田頭直樹氏（法人プロダクト＆事業戦略本部 セキュリティ事業統括部 セキュリティデザイン推進部 プリセールス推進課 課長）だ。

ソフトバンクの田頭直樹氏（法人プロダクト＆事業戦略本部 セキュリティ事業統括部 セキュリティデザイン推進部 プリセールス推進課 課長）

「中立の視点」「通信キャリアの知見」　ソフトバンクならではの強み

　すでにSASEの導入を検討中で、ベンダーから解説を受けて効果やメリットを理解している人もいるだろう。それでも、ソフトバンクのSASEワークショップは受講する価値がある。

　「過去の参加者には、SASEベンダーから製品の提案を受けた方がいました。しかし、その製品のいいところだけアピールされたようで、社内で導入すべきか否か意見が割れていました。ソフトバンクは複数のSASE製品を取り扱っているため、中立的な立場で説明できます。ワークショップを受講したことで社内の意見がまとまり、その企業の環境に合った製品を見極めるのに役立ったとご評価いただきました」（松本氏）

　「SASEワークショップでは、ベンダーだけでは実現が難しいフラットな視点を提供できます」（田頭氏）

　ソフトバンクの強みはそれだけではない。通信キャリアとして磨いてきたネットワークに関する知見を、SASEをはじめとするセキュリティ対策に生かしている。

　これまでに多くの企業でSASEの導入を支援した実績とノウハウがあることも重要なポイントだ。自動車業界などの製造業や建設業、金融業などさまざまな業界の動向やセキュリティ規格を把握しており、ワークショップの内容、レポートに反映させられる。

　松本氏はSASEワークショップについて「ソフトバンクが実施するヒアリングを基に自社の状況を整理し、ワークショップを受講した後でもう一度状況を客観的に見直すのに役立ててほしい」と語る。

　ワークショップはソフトバンクと受講者との会話を通じて、新たな気付きや課題解決の方法を発見する機会として役立てられる。

ワークショップで実施したディスカッションの様子

SASE製品「Zscaler」「Netskope」「Prisma Access」を紹介

　ソフトバンクは3つのSASE製品を取り扱っている。米Zscaler社の「Zscaler」と米Netskope社の「Netskope」、米Palo Alto Networks社の「Prisma Access」だ。ワークショップでは各社の製品の特徴や違いについて解説してくれる。

　いずれもSASE製品だが、それぞれ特徴が異なる。拠点間の通信維持を最重要ポイントにしたい、情報漏えい対策に注力したいなど、受講企業の要望にマッチする製品にフォーカスして説明することも可能だ。「ヒアリング内容を基に将来の構成案をいくつか提示いたします。またSASE以外のセキュリティ対策案も併せて提示いたします。検討の参考情報として非常に有意義だったというお声を多数いただいております」（田頭氏）

ソフトバンクが取り扱うSASE製品（クリックで拡大）

　SASEはネットワーク構成にも関わってくるので、検討開始から選定、導入まで長いスパンになる傾向がある。それでも、現在の状況を把握するためにワークショップを活用してほしいと田頭氏は述べる。

　「SASEの導入が少し先になるとしても、現時点の最新情報をお伝えし、実際の導入検討時にもう一度情報をアップデートすることもできます。特定のベンダーに肩入れせず、多数のSASE導入実績があり、さらに“ネットワーク事業者”でもあるソフトバンクならではの価値を提供します。お気軽にご相談いただければ幸いです」（田頭氏）

　セキュリティ対策は企業のビジネスの根幹に関わるため、網羅的で正確な知識をベースに判断する必要がある。それにはセキュリティやネットワークのノウハウを持ち、客観的なアドバイスをくれる企業に相談するのが適している。SASEの導入を検討し始めた企業、そしてSASEは知っていても自社への導入に悩んでいる企業は、基礎から構成提案までカバーするソフトバンクのSASEワークショップに参加してみてはいかがだろうか。