「セキュリティサービスエッジ」(SSE)は、優れた包括的な方法でビジネスの安全を確保することにより、組織に変化をもたらす触媒となり得るソリューションである。しかし、全てのSSEのソリューションが同じように作られているわけではないことに注意が必要である。導入を検討しているITリーダーは、組織がセキュリティ対策を簡素化でき、ビジネスの生産性向上などに貢献できるような、適切なソリューションを選択する必要がある。今回は、SSEのソリューションを選ぶ際に避けるべき7つの「落とし穴」を紹介する。
SSEプラットフォームの基礎および基本機能での穴
落とし穴その1:パフォーマンスや可用性の拡張性が乏しく、世界的なクラウドプラットフォームの運用実績がないベンダーのソリューション
何十億ものトランザクションに対応するマルチテナントのSSEプラットフォームの構築や運用は、容易ではない。SSEのソリューションには、顧客企業の保護、ビジネスアプリケーションへの接続性、ビジネスへの貢献が求められ、組織全体に均一かつタイムリーにSSEのサービスを提供する必要がある。
気をつけるべき事項その1
- エッジ(ユーザーがSSEクラウドにアクセスする際のアクセスポイント)自身ではポリシー適用(Policy Enforcement)を行わず、ポリシー適用を行うための十分な計算資源が利用可能な大きなデータセンターへ通信を流すだけのエッジ、すなわち通信の入口としてのみ機能し、通信を他の拠点に転送するだけのエッジを利用するSSEサービスは避ける
- 多数のパブリックエッジ(複数の顧客で共用されるエッジ)があっても、各エッジで機能やキャパシティーが共有できていないSSEサービスは避ける
- エッジに可用性、スループット、障害からの復旧に関するSLA(サービス品質保証)がないSSEサービスは避ける
- エッジがマルチテナントに対応していないSSEサービスは避ける
- 大規模顧客に対する展開の経験がないベンダーのSSEサービスは避ける
- サービスの安定性と可用性に関する状況(稼働状況報告サイト)を公開していないSSEサービスは避ける
落とし穴その2:正しいゼロトラストアーキテクチャーに基づいていないSSEソリューション
全ての企業内通信に「ゼロトラスト」を適用するとは、いかなる発信元(ユーザー、サードパーティー、ネットワークなどを含む)からの、いかなる宛先へのアクセスも、明確な許可と承認がない限り認めないということを意味する。これができていないと、外部からの訪問者が付き添いなしで自由に社内を歩き回れるような状態であり、機密データが盗み出される恐れがある。
気をつけるべき事項その2
- 正しいゼロトラストアーキテクチャーの原則(例:NIST SP800-207)に従っていないSSEサービスは避ける
- SSEサービスが、ユーザーだけでなく、全ての企業リソース(サーバー、ワークロード、IoTなど)に対してゼロトラストによる制御を提供することを確認する
- ゼロトラストはファイアウォールやSD-WANのようなネットワーク管理機能ではなく、ネットワークとは独立した考え方である。ネットワーク管理機能をベースとしたSSEプラットフォームは、よく注意しないとアーキテクチャー的な欠陥のあるゼロトラストになる可能性がある
- ゼロトラストによる制御は、アクセスなし(ゼロアクセス)からスタートすることが重要。企業内のあらゆるリソースへのアクセスは、検証した後に必要最小限度の権限のみを与える
- ゼロトラストによる制御は、ビジネスの一部に限定すべきではなく、企業におけるあらゆる側面を考慮に入れる