Cisco Umbrella

iwahara column cover

CISCOソリューションで実現する「SASEモデル」とは?(岩原裕樹のクラウド徹底活用コラム 第3回)

Print Friendly, PDF & Email
iwahara column cover

はじめに

近年、多くのクラウドサービスが様々な会社から提供されています。
テレワークやハイブリッドワークなどの多様な働き方が行われるようになり、従来のクライアント/サーバーシステムだけではビジネスを円滑にすすめることが難しくなってきていること、クラウド化することによりコストの見直しやBCP対策もできるため、このようなシステム変革は今後ますます活発になっていくことになると思われます。

そのような流れのなかで、システムの変革と同じように注目されているのがセキュリティ分野です。自宅など会社外でPCを使い、会社のデータにアクセスする機会が増えることで、今までにないセキュリティ対策が必要になってくるのは必然のことかと思います。
そして、クラウド環境+セキュリティ対策を考えるときに「SASE(サッシー/サシー)」という言葉を聞くようになりました。とはいっても、まだまだ一般には聞きなれない言葉かもしれませんが、情報システムを担当されている方々などの中には既に注目し、情報収集をされている方も多いのではないでしょうか?

「SASE」とはアメリカのIT調査会社であるガートナー社が公開したレポートに提唱されている考え方が基になります。
この「SASE」は、セキュア・アクセス・サービス・エッジ(Secure Access Service Edge)の頭文字となる略語で、ネットワークに関する機能とセキュリティに関する機能について、それぞれをバラバラに考えるのではなく一貫性を持った1つのサービスとして捉えるというモデル(考え方)になります。
そうすることで、常に脅威の侵害を受ける前提で、発信元の場所やデバイスの種類に関わらず、全てのアクセス元に対して信頼性を検証・確立する「ゼロトラストセキュリティ」の実現を目指すことができます。


「SASEモデル」を実現する構成要素

「SASEモデル」では様々な機能について提唱されていますが、その中心として提唱されている機能が以下の4つになります。


SD-WAN(Software Defined-Wide Area Network)

本社と支店などのように離れた場所にあるそれぞれのLAN環境をつなぐWAN(Wide Area Network)の多くは基本的に専用線や光回線などを用いたVPNにて構築されます。
ただ、それでは自由度が少なく、拠点の増加やデータ容量の増加、はたまたリモートワークなどによるネットワークの複雑化により、トラフィックやセキュリティへの十分な対応が難しくなってしまいます。
そこで、ネットワークに自由度と拡張性をもたせるためにソフトウェアを用いた管理を可能にするのがSD-WANの基本的な仕組みです。
例えば信頼性を求められる社内システムなどには、従来のVPN回線を利用し、そもそもの信頼度が高いクラウドサービスなどには通常のインターネット回線を使うといったように、用途に応じて使用する回線をで切り替えて使い分けることができます。


CASB(キャスビ―:Cloud Access Security Broker)

管理している端末のクラウドサービスへのアクセスを可視化し制御することで、すべての管理端末に一貫性のあるセキュリティーポリシーを提供するのがCASBの基本的な考え方です。
シャドーITといって、情報システム部などに申請や申し出をせずに、部門で独自にクラウドサービスを利用してしまうなど、管理が十分に行われないケースも多い状況のため、このようなことが発生しないよう可視化し、管理するソリューションとして最近は注目されています。


SWG(Secure Web Gateway)

端末からのインターネットアクセスを安全に行うための中継するクラウド型のプロキシソフトウェアです。SWGは文字通り門番(ゲートウェイ)的な役割を果たし、組織で認めていないクラウドサービスや、特定カテゴリーのウェブサイトへのアクセス制限や、マルウェアなどへの感染の恐れがある危険なサイトなどへのアクセスをブロックしたり、外部からの不審なアクセスをチェックしたりします。


FWaaS(Firewall as a Service)

ファイアウォールは、セキュリティ関連のシステムとして一番なじみのある言葉かと思います。
ある程度以上の規模の組織であれば、専用ハードウェアを導入し、悪意のあるアクセスを防ぐ役割を果たします。
これをクラウド上で展開し、従来通りに内部端末の防御をするとともに、クラウド上の環境も保護する機能を備えます。


Ciscoの対応製品

ここまで、「SASE」の基本コンセプトや機能について見てきました。では具体的にこれらの機能を利用したい場合はどうすればいいのでしょうか?
現状で見てみると「SASEモデル」を推奨し、提供しているのはCiscoのサービスが一番ではないでしょうか?

そこで上記の機能に対応するサービスをCISCO製品で見ていきたいと思います。


Cisco SD-WAN

幅広くカバーし、かつ柔軟な設定を提供するサービスです。
CiscoのWebサイト内でも、“マルチクラウド、セキュリティ、ユニファイド コミュニケーション、アプリケーション最適化に対応したCisco SD-WANが、あらゆるユーザーのあらゆるアプリケーションへの接続を可能にします。そのすべてを、SASEに対応したアーキテクチャで実現します。” とうたわれているように、快適なトラフィックでセキュアなWAN環境の導入を検討されている方にはお勧めです。
SD-WAN – Software-Defined WAN – Cisco


Cisco Umbrella

一方、他のSWG、CASB、FWaaSについては「Cisco Umbrella」というサービスを提供しています。
「Cisco Umbrella」は、様々なセキュリティサービスが統合されているため、抜け漏れなく安心して導入していただくことができます。例えばマルウェア、フィッシングなどの脅威に関するドメインをブロックしたり、シャドーITを検出しブロックしたりできることはもちろん、上記のSD-WANとの統合をすることもスムーズに行うことができます。

  • DNS Security Essentials
  • DNS Security Advantage
  • Secure Internet Gateway(SIG)Essentials

とパッケージのプランが分かれていますので、必要に応じて最適なパッケージを導入することができますが、SWGを利用するのであれば、「DNS Security Advantage」 を、FWaaSも利用する場合は、「Secure Internet Gateway (SIG)Essentials」を導入する必要があります。
Cisco Umbrella – 企業向けセキュアインターネットゲートウェイ(SIG) – Cisco
SIG(セキュアインターネットゲートウェイ)とは? – Cisco

ここで紹介させていただいた内容は、ほんの導入部分にすぎません。「SASEモデル」やCiscoのサービスにはまだまだ様々なサービスがありますので、気になる方はお気軽にお問い合わせください。

本コラムは2022年4月時点での情報を基に作成しています。


mr iwahara

著者プロフィール
岩原 裕樹(いわはら ひろき)
神奈川県出身。マイクロソフト クラウドサービス提案・販売のスペシャリスト。2000年入社、2001年当時注目を浴び始めていたセキュリティ拡販プロジェクトに参画。大手セキュリティベンダーとともにインターネット関連業界へのセキュアーなWebサービス環境の構築支援に従事。2019年に弊社「Microsoft Power Platform」を使った業務改革に着手。社内での活用アプリの企画、開発を主導。その経験に基づき多くのユーザ企業に対してセキュリティを含めDX推進に繋がるシステム導入実績を持つ。


「岩原裕樹のクラウド徹底活用コラム」一覧
第1回:Windows Server 2012 / 2012 R2 EOS に向けて
第2回:今注目の「Azure Virtual Desktop(AVD)」について
第4回:「Microsoft 365」のバックアップが必要な理由とは?「HYCU」利用のススメ
第5回:安全・お手頃なクラウドストレージ「Wasabi」が選ばれる理由とは?
第6回(前編):なぜ「Azure Files」が選ばれるのか?
第6回(後編):大容量のファイルには「Azure File Sync」で高速アクセスを確保

「Cisco Umbrella」導入事例


関連イベントレポート


関連Cisco セキュリティソリューション

関連記事一覧