自粛要請が出されたとき、環境が整っていた会社はすべての社員を在宅勤務に切り替えて事なきを得ましたが、テレワークに移行しようとして既存の VPN 設定ではワークロードを処理するのに十分な容量がないことが判明したところもあります。以下は、よくある VPN 関連の問題です。

  • VPN は、すべての社員のログオンを一度に処理できない場合がある
  • VPN は SaaS またはクラウドでホストされるアプリケーションと互換性がない可能性があり、ユーザーがクラウド内のリソースに安全にアクセスすることが困難
  • アーキテクチャがフラットで、セグメンテーションがないため、権限のないユーザーが機密情報にアクセスできてしまう

これらの問題があった組織では、理想的とは言えない条件(遅かったり、品質が悪かったり、安全でなかったり)で業務を遂行しなければならなかったことになります。状況が安定し始めた今、VPN の代替案として、より多くの人に、より高速な接続を、より安全に提供できるようにするテクノロジーを検討することは意味があります。

高速で安全、障害にも強い代替案

VPN 経由で接続しなくても、より高速に使用できるコンシューマーグレードのブロードバンドインターネット接続があるという、テレワーカーのジレンマがあります。また、電子メールや生産性ツールといったほとんどの日常のビジネスアプリケーションは現在、クラウドサービスプロバイダ側で情報が保護されているクラウド内にあります。VPN を利用することで不便になり効率が落ちるなら、どうして高速のコンシューマーグレードの接続を使用してクラウドアプリケーションにアクセスしてはいけないのかといぶかる社員はいるでしょう。VPN の方が安全だとしても、「セキュリティ」という確認しにくいものより、便利さという抗い難い魅力の方に押されてしまう傾向はが否定できません。スプリットチャネルVPNなどの単純なベストプラクティスを採用したり、必要なとき以外は VPN を使用しないことでこの問題を解決できる場合もありますが、厳しい規制コンプライアンスを満たさなければならないような場合は、もっと技術的なソリューションが必要になります。

SD-WAN、ソフトウェア定義の広域ネットワーク(Software-Defined Wide Area Network)は、そのようなソリューションとして、広範囲のコンシューマーインターネット接続から、接続を制限することなく、プライベートネットワークを作成する方法を提供します。次のように動作します。

  • 企業は、家庭のインターネット接続を企業ネットワークに属するものとして定義します。これは通常、クラウドベースの管理コンソールを使用するか、SD-WAN アプライアンスをユーザーの家庭のインターネットに接続することで実行できます。
  • SD-WAN サービスでは、ビジネスアプリケーションへのトラフィックに優先順位を付けます。この機能を使うことで、Salesforce や Office 365 などの業務上重要なアプリケーションが Facebook や Netflix などのアプリケーションよりも優先されます。
  • SD-WAN は、また、広範囲のネットワークを調整することができます。優先度の高いトラフィックや機密データを扱うトラフィックは、ホームネットワークからファイバーネットワークまたは MPLS にホップする必要がある場合があります。優先度の低いトラフィックは、ホームネットワークからセルラーネットワークにホップすることもあります。SD-WAN はホップの数と品質をコントロールし、障害が発生すると重要なトラフィックを別の接続にフェイルオーバーすることもできます。
  • SD-WAN は、基本的に、アプリケーショントラフィックを保護(暗号化、認証、ファイアウォール)するために使用されるセキュリティツールをデータセンターからクラウドに取り込みます。ホームユーザーからデータセンターにアプリケーショントラフィックをバックホールして検査する代わりに、すべてのセキュリティ保護がエッジで実行されます。

インテリジェントなネットワークオーケストレーションが可能な SD-WAN を使用すると、多くの社員がテレワークを行っていても、ネットワークが混雑していると感じることはありません。リモートユーザーからのアプリケーショントラフィックがパンデミックによって900%近く増加したという報告もありますが、SD-WAN はその超過分を吸収するには最適のテクノロジーだと言えます。

接続性には SD-WAN、セキュリティには SDP

SD-WAN はセキュリティを維持しながら接続性を向上させる優れた方法ですが、ソフトウェア定義の境界(software-defined perimeter、SDP)を取り入れると、接続性を妨げることなくセキュリティをさらに強化することができます。

VPN でネットワークアクセスがコントロールされるように、SDP は SD-WAN へのアクセスをコントロールします。デバイス・フィンガープリントなどの機能で、ソフトウェア定義のネットワークへのアクセス偽装を防止し、ユーザーがパッチが適用されていないデバイスや設定が安全でないデバイスには接続しないようにすることもできます。また、資格情報が攻撃者に盗まれたと疑われる場合に多要素認証などの機能を展開することも可能です。

ユーザーがログインしても認証は停止しません。ソフトウェア定義の境界は、「ゼロトラストセキュリティ」の重要なコンポーネントであり、認証されたユーザーは引き続き厳密に監視され、制限付きの権限が適用されます。

SDP を使用すると、管理者は、ユーザーがジョブを実行するために必要なファイルとアプリケーションのみを含む非常に細かいマイクロセグメントを作成できます。VPN でも同様の設定をすることは可能ですが、SPD を使用すればより迅速に処理でき、詳細にコントロールすることができます。ソフトウェア定義の境界が実装されれば、ユーザーはアクセスできないリソースを表示することさえできなくなります。攻撃者は、たとえネットワークに侵入できたとしても、自由にネットワークを探し回ったり特権をエスカレートしたりすることはできません。

Tags