VPNソリューションが実現、
マイクロセグメンテーションによるゼロトラスト
だがこのような話なら、ほかのベンダーや新興のクラウド事業者も同様に提案しており「耳にたこ」かもしれない。多くの企業にとっては「話はよく分かるが、それができるのはクラウドネイティブな、Webサービスなどを展開している新しい企業だけの話だろう」と思われがちだ。
だがソニックウォールがユニークなのは、クラウドとオンプレミスを併用していても、どちらかというとオンプレミスに軸足を置いている日本の大多数の企業にフィットする選択肢も提供していることだ。
「ゼロトラストネットワークの本質は、認証やアクセス制御を通して適切なユーザーのみにリソースへのアクセスを許可し、攻撃者によるラテラルムーブメントを防ぐことだ。SonicWall Cloud Edgeも実現方法の1つだが、実はマイクロセグメンテーションによってもゼロトラストネットワークは実現できる」(小田氏)。つまり、サーバの手前にゼロトラストネットワークコントロールプレーンの役割を果たす機器を置くことにより、アクセスのたびに、誰がどのサーバにアクセスできるかを制御するわけだ。
それを可能にするのが、ゼロトラストネットワークというキーワードの浮上によって「過去の存在」扱いされがちなSSL VPNソリューションの「SonicWall Secure Mobile Access」(SMA)だ。境界型防御の典型と思われがちなSSL VPNアプライアンスが、実はマイクロセグメンテーションによるゼロトラストネットワークを実現できるというのだ。
「これまでのVPNの課題として、ひとたび接続したら内部のどこにでもアクセスでき、ラテラルムーブメントを許すことが指摘されていた。だが『SMA 1000シリーズ』ではデフォルトではどこにも接続させない。アクセス可能なリソースを一つ一つ登録する必要があり、実はゼロトラストネットワークの考え方を踏襲している」(小田氏)
SonicWallが提供するセキュアアクセスソリューション
Cloud Edgeユーザーの操作画面
さらに、OSやパッチの適用状況など端末の状態を確認するデバイス認証も可能で、一連のコンテキストに応じてアクセス制御を行える。クラウド上のサンドボックスと連携できることもポイントだ。「多要素認証と認可によって不正アクセスを防ぎ、細かなアクセス制御によってラテラルムーブメントを防ぐ。さらに、SSL VPNトラフィックをクラウドサンドボックスで検査することで、悪いものを侵入させない事前対策も実現し、ゼロトラストネットワークを実現していく」(本富氏)
小田氏は「企業にとって大事なのは、自社に合った現実的なゼロトラストの導入方法を見極めることだ」と指摘する。すべての企業がクラウド志向というわけでもなければ、従来型のVPNを簡単に廃止できない事情もあるだろう。ソニックウォールでは、SMAとSonicWall Cloud Edgeという選択肢を用意することで、クラウドとオンプレミスの割合がどうであろうとそれぞれの状況に最適な方法を選べるようにしている。
1つのベンダーで手頃な形のゼロトラストとSASEを実現
「SonicWall Cloud EdgeとSMAを通して、ソニックウォール一社で、ミッドレンジや中堅中小規模の企業に必要最低限のゼロトラストネットワーク、SASEを手頃な形で提供していけることは大きな特徴だ。ソニックウォールはさらにセキュアSD-WAN、SD-Branchも展開しており、Security as a Service、Network as a Serviceを1ベンダーで実現できる」と本富氏は言う。
ソニックウォールは今後、SonicWall Cloud EdgeのPoP GatewayにFirewall as a Service(FWaaS)をはじめ、IDS/IPSやサンドボックス、アンチウイルスといった、これまでUTMで提供してきたセキュリティ機能を追加していく計画だ。これにより、ゼロトラストネットワークによる「侵入後のリスク低減」に加え、端末を悪意あるソフトウェアに感染させないようにする多層防御をクラウド上で実現していく。「ひいては、ネットワーク機能、セキュリティ機能がクラウド上で提供されるSASEの実現につながる」(小田氏)と話している。
ソニックウォール・ジャパン
