全世界28万台のCDN基盤をクラウドセキュリティに活用
アカマイは、Webでのコンテンツ配信を最適化させるCDN(Contents Delivery Network)のトップベンダーとして広く認知されているが、そこで活用しているサービス基盤を活用して様々なクラウドセキュリティサービスも提供し、調査会社から多くのリーダーの評価も得ている。根拠として金子氏は、「CDNを提供しているプラットフォームとして、全世界に28万台超のサーバーを分散配置している」と具体的な数値を紹介。その基盤を活用し、SASEを構成する多くのセキュリティ機能を提供している。
2010年に、ハイテク企業をターゲットとした「オーロラ作戦」と呼ばれる大規模サイバー攻撃が発生。そこからプライベートネットワーク内にいなくてもセキュアな環境を作っていく取り組みを開始した。同様なコンセプトとしてフォレスター・リサーチがゼロトラストを提唱したのもこの年である。
その後、買収を経て今回紹介するZTNAやSWGを2017年にリリース。同時期にグーグルやネットフリックスがゼロトラストユーザーとして注目され、2019年にガートナーがSASEを提唱。この流れを紹介しつつ金子氏は、「世の中の動きと我々の製品開発がフィットして進んでいる」と、同社のセキュリティ戦略の正当性を強調する。
その同社が目指すクラウドセキュリティの形とは、「ユーザーも分散し、アプリケーションもデータセンターの中だけでなくクラウド上に分散している中で、我々の分散しているエッジプラットフォームによって高速かつセキュアに使えるようにしつつ、セキュリティとネットワーキングの執行は集約された管理ポイントで提供するという世界」(金子氏)である。
アカマイが解釈するSASEと導入へのアプローチ
ここで金子氏は、SASEとその前段であるゼロトラストについて解説。まずゼロトラスト・セキュリティが重視されている背景には、(1)働き方改革でモバイルが普及してユーザーが動くようになり、働く人たちが分散する、(2)クラウドの普及で今まで1箇所に固まっていたアプリケーションが分散している、(3)それに伴って攻撃が高度化している――。この3つの要素があり、そしてゼロトラストと並ぶ考え方としてSASEが登場し、注目を集めるようになっているという。
従来の企業ITの世界では、データセンターにすべてのアプリケーションとデータがあり、それを閉域網を介してオフィスのLANにあるPCやモバイル端末からアクセスする形だったため、セキュリティも今まではデータセンターだけに提供すれば済んだ。
ところが現在はユーザーもアプリケーションも分散、ネットが足回りとなり、IoTエッジも増えていくため、通信方法やデータ処理の仕方も変わっていく。すると従来型のセキュリティが適用できないので、そこにフィットする要素として出てきたのがSASEであり、現在セキュリティとポリシーの一元管理を行うための機能が登場していると金子氏は解説する。
分散している環境にサービスを提供するために、新たに動的な境界として、エッジという考え方が登場。セキュリティを執行する際の対象も変わり、従来のネットワークアドレスから「IDとコンテキスト」へと移るのがSASEの世界だ。個人や物に紐づくIDと、その背後でその人がいつ、どういった種類のデバイスで繋いでいるのかというコンテキストの情報を合わせてエッジにポリシーを適用する形に移行していくのが、SASEの考え方であるという。
SASEのコンセプトでは、Network as a ServiceとNetwork Security as a Serviceのなかに、SD-WAN(Software Defined Wide Area Network)、CDN、ネットワークセキュリティ、CASB(Cloud Access Security Broker)、FWaaS(Firewall as a Service)など、従来のネットワークやセキュリティの製品のカテゴリーがあり、それらがクラウド上から提供され一元化されていくというものだが、その際にファイアウォールなどのテクノロジーが単にクラウド上で仮想化されて提供されていくだけでなく、その対象も、執行の仕方も大きく変わっていく。
そのため、いきなり全てを従来の形からSASEに置き換えるのは現実的に難しい。そこで金子氏が推奨するのが、優先度をつけて段階的にSASEへとシフトしていくというアプローチであり、その1番手としてZTNA/VPNを挙げる。「昨今、VPNにはセキュリティの強度にリスクがあるといわれ、多くの企業が課題感を持っている。そこをリプレースするタイミングでZTNAに変えていくのが良い」という。
それに続くものがSWGとCASBで、アカマイを含め様々なベンダーがサービスを提供していて、それらをクラウド上に配備するユーザーが増えているとのこと。
ID認識型プロキシでクラウドへのアクセスを一元制御
アカマイは現在、ZTNAの「Enterprise Application Access(EAA)」と、SWGの「Enterprise Threat Protector(ETP)」の両サービスをクラウドで提供している。「これらをCDNやWAF、DDoS対策などのクラウドセキュリティと併せて実装することで、ユーザーエクスペリエンスを高め、セキュリティをより強くしていけるのがアカマイ独自の強み」と金子氏はいう。
EAAは入口対策であり、データセンターやIaaS、SaaSに分散している自社のアプリケーションに対して、一元的なアクセス制御を提供する。攻撃者がユーザー企業の従業員に成りすましても、ネットワークへの侵入を許さず、自社のアプリケーションとデータを守る。ZTNAであると同時に、ID認識型プロキシともいい、クラウド上にある分散型リバースプロキシを使って、ユーザーの社内アクセスを一元制御できるソリューションである。
仕組みとしては、社内アクセスの際にアカマイプラットフォーム上で多要素の認証を受けたうえで、アクセスを認可された場所にだけ接続が行われる形だ。端末が乗っ取られても、攻撃者から見えるのはクラウド上にあるプロキシだけである。
最新機能として、デバイスポスチャ(Device Posture)というセキュリティ自動化機能も提供。クライアントOSバージョンが古いとか、攻撃の兆候があるなどの情報をEDR(Endpoint Detection and Response)やSWGで検知した際に、自動で攻撃者のアクセスを排除する。
多段のセキュリティ機能でクライアントを守るSWG
ETPは出口対策であり、SaaSや色々なサイトにアクセスするにあたり、間に入って接続の危険性について脅威インテリジェンスで分析し、ユーザーを保護するもの。フィッシングやマルウェア配布を行っているようなサイトへのアクセスを、サイト上にあるキャッシュDNSサーバーとWebプロキシサーバーの連携による多段のセキュリティ機能を提供し、クライアントを守る。
Active DirectoryとLDAP、SAML2.0によって外部のIDと連携できるので、ユーザーIDと紐づけてセキュリティを適用できる。これらによってリモートワーク時にも、ウイルス対策ソフトだけでは守れない、ネットワークセキュリティが確保される。
「昨今も新型コロナウイルスなどの時勢に応じたフィッシング攻撃が続いている。リモートワーカーが増える中で被害にあうリスクが増えてくるので、SWGで守っていくことが重要になる」(金子氏)
実際に両製品は、これまで国内でも多くの導入実績があるとのこと。その上で金子氏は、「SASEの導入を検討していく際には、全体の戦略を描きつつ最初に取り入れる要素を検討していくと思う。そこでは、ハードウェア不要のリモートアクセス環境に移行していくのが時勢とあっているので、ZTNAの部分をファーストステップにし、さらにSWGを検討することをお勧めする」とSASE導入のシナリオを提示し、セッションを締めくくった。
