リモートワークが拡大する一方でセキュリティ面に不安を抱えている企業は多いでしょう。その中で、ネットワークの境界で脅威を防御していた従来型のセキュリティモデルをゼロトラスト型へと転換する必要があります。その近道となるのがSASE(サシー)です。VMware製品のディストリビューターであるネットワールドでは、SASEの基盤となるVMware SD-WAN™やVMware Workspace ONE®(以下、Workspace ONE)といったソリューションについて豊富なノウハウと実績を有しており、段階的な導入をサポートしています。
コロナ禍の影響により、リモートワークをはじめとする新たな働き方が多くの企業で定着していますが、そうした中で従来とは異なるセキュリティの課題が顕在化しています。
社外からVPN経由で社内システムにリモートアクセスしたり、Microsoft 365やSalesforceなどのSaaSを利用したりといった新しい働き方への変化に対して、従来の境界型セキュリティモデルは実態にそぐわなくなってきました。これに代わって主流になりつつあるのは、すべての場所でのすべてのユーザーやデバイスからのアクセスを「信頼できない」ものとして検証や認証を行う「ゼロトラスト」と呼ばれる新たなセキュリティモデルです。
ただしゼロトラストは、境界型セキュリティと同様にあくまでもセキュリティの考え方の1つであり、特定のサービスや製品・機能を指すものではありません。
では、どうやってゼロトラストを実現することができるのでしょうか。そこでもう1つのキーワードとして注目されているのがSASE(Secure Access Service Edge:サシー)です。元々のSASEの提唱者である米国の調査会社ガートナーは、その概念を「ネットワークサービス(Network as a Service)とセキュリティサービス(Network Security as a Service)を組み合わせたもの」と定義しています。広範囲なセキュリティを一元管理し、さらにSASE以外のソリューションとも連携することで、ゼロトラストを“最短距離”で実現するのです。
具体的なSASEの主要な構成要素として、まずネットワークサービスの分野ではSD-WAN、CDN(Content Delivery Network)、WAN optimization、Bandwidth aggregators、Network service providerなどがあります。一方のセキュリティサービスの分野で挙げられるのは、CASB(Cloud Access Security Broker)、Cloud SWG(Secure Web Gateway)、ZTNA(Zero Trust Network Access)、VPN、Remote Browser Isolation、WAAP as a Service、Firewall as a Service、Sandboxingなどです。
SASEを構成するさまざまな機能
ただし、上記のようなサービスをただ寄せ集めただけでは真のSASEとはなりえません。ガートナーはSASEの構成要素に対して、「高度に統合されたものが理想」と述べており、ネットワールドもこの点を重視しています。
そうした中、VMwareが提供するSASE Platformは以下の3つの観点から大きな優位性を持ちます。
1つめはSD-WANのインフラストラクチャーです。元々SD-WAN市場のリーディングカンパニーだったVeloCloud社を買収したものですが、それから数年が経過して現在では完全にVMwareブランドの製品として統合されました。
次世代ルーティングシステムとしてのVMware SD-WANは、簡単な初期セットアップが可能なゼロタッチプロビジョニング、VPNを簡単に設定できる1クリックVPN、クラウドによる一括管理、約3,000種類のアプリ識別のほか、App-Aware Firewall、App-Aware QoS、App-Aware リンクステアリングといった機能を提供します。
2つめは、Workspace ONEが提供する暗号化トンネル(Workspace ONE Tunnel)をベースにしたのがVMware Secure Accessで、いわゆるZTNA接続をSaaS型で実現します。統合エンドポイント管理(UEM:Unified Endpoint Management)の機能を提供するWorkspace ONE UEM自体は、元々MDM(Mobile Device Management)分野のリーディングカンパニーであったAirWatch社を買収することで獲得した技術ですが、SD-WANと同様に現在では完全にVMwareの製品群として統合されています。
Workspace ONE Tunnel自体はこれまでMDM機能の一部として提供されてきましたが、VMware Secure Access用のクライアントソフトが提供されることによりWorkspace ONE UEMなしでの利用も可能になり、Workspace ONE UEMと合わせてデバイス管理との併用も可能です。Workspace ONE Tunnelは指定したアプリケーションのトラフィックのみ暗号化トンネルを経由して接続する「アプリケーションベースVPN」と、すべてのデバイスからのトラフィックを暗号化トンネル経由で接続する「フルデバイスVPN」をサポートしています。
そして3つめが、2021年6月にローンチされた「VMware Cloud Web Security」です。SaaSをはじめとするインターネットアプリケーションにアクセスするユーザーおよびインフラを保護するクラウドホスト型サービスで、上述のVMware SD-WANおよびVMware Secure Accessの機能をさらに拡大。さまざまな場所で働くユーザーがクラウド上のアプリケーションにアクセスする際に、アプリケーションへのアクセス経路に沿ってセキュリティを強化します。
具体的には、URLフィルタリング、高度なアンチマルウェア、SSL プロキシ/クラウドサンドボックス/ファイアウォール、CASB、Data Loss Prevention(DLP)、Remote Browser Isolationといったセキュリティ機能を“as a Service”の形で提供します(一部機能は現在開発中)。
加えてVMware SASE Platformは、上記の3つのサービスにエンドポイント保護ソリューションのVMware Carbon Black Cloudを連携させることで、EDR(Endpoint Detection and Response)やNGAV(次世代アンチウイルス)を活用し、ユーザーのセキュリティをさらに強化することが可能です。
「VMware Secure Access」「VMware Cloud Web Security」「VMware SD-WAN Gateway」を1つに統合し、あらゆる脅威からデータを保護する
SASEの要件を満たす広範な製品群を包括的に提供しているベンダーは、VMwareをおいてほかにないといって過言ではありません。言葉を変えればVMwareは、SASEを導入したいと考える企業のニーズにお応えできる準備を整えています。
もっともSASEは、必ずしも一気に導入しなければならないわけではありません。まずはVMware SD-WANやWorkspace ONEを単体で導入し、段階を踏んでSASEに発展させていくことも可能です。
ネットワールドでは、これらのソリューションを単体導入する際の技術支援や検証支援、導入支援はもとより、将来的にSASEへ発展する際のスムーズなシステム拡張まで一貫して支援する次のようなサポートサービスを用意しています。
・VMware SD-WAN導入サービス/設計サービス
・Workspace ONE UEM導入サービス/設計サービス
・Carbon Black Cloud Endpoint導入サービス/設計サービス
また、現在リリース直後のVMware SASE Platformの検証の準備を進めており、従来の製品と同様のサポートサービスを提供開始する予定です。
・VMware Secure Access導入サービス/設計サービス
・VMware Cloud Web Security導入サービス/設計サービス
ネットワールドはVMware社との協業の元パートナー様、お客様のVMware SASE Platformの提案・導入をトータルでサポートしていきます。
VMware社のSASEですべてのユーザーのあらゆるアプリケーションへのアクセスにセキュリティを提供
