このページはJavaScriptを使用しています。JavaScriptを有効にして、または対応ブラウザでご覧下さい。

閉じる
閉じる
閉じる
ゼロトラストネットワーク移行が一足飛びに実現できないのはなぜ?
ゼロトラストブログ vol. 03

ゼロトラストネットワーク移行が一足飛びに実現できないのはなぜ?

2024 1/15
クラウドやテレワークの普及で、デバイスやデータが社外へ持ち出され、 従来のような境界型セキュリティでは脅威への対策が充分でないケースが増えてきました。こうした状況下では、働く場所やネットワーク境界を意識せずにセキュリティ対策を行うゼロトラストセキュリティへの移行が求められています 。今回はゼロトラストセキュリティモデルの導入過程で見られる課題とその解決策の1つであるセキュリティソリューションをゼロトラスト推進部の武居がご紹介いたします。 「働き方改革を実現するセキュアな次期ネットワークの導入や実現がなかなか進まない」という方にぜひ参考にしていただきたい記事となっております。

ゼロトラストセキュリティへの移行における課題とは?

今回ネットワーク基盤更改検討中の方に向けて、ゼロトラストセキュリティモデル導入支援を通して感じた課題とその解決策を、セキュリティ製品 (Cisco 製品など) のプロダクトSE武居からお伝えいたします。

昨今、働き方改革推進により企業ネットワーク再編不可欠となります。 ワークスタイルハイブリッド化やアプリケーションマルチクラウド化など『いつでもどこでもセキュアに働ける』インフラ環境整備が求められています。ネットワーク再編に際して、閉域網中心ネットワークからインターネット中心としたネットワークへの移行や、SaaSへの移行積極活用目指ケースがあります。

しかし以下2点の課題を主な理由として、導入がなかなか進まないというケースがございます。

ゼロトラストモデルへの移行が進まない主な理由


1. 既存業務システムがSaaS移行できない

業務系システム中心にSaaSへの移行ハードルが高く、オンプレミス業務システムが残ってしまい、閉域網中心ネットワークから完全脱却できない。

2. セキュリティ製品間競合

社外から閉域網ネットワークインターネット双方セキュアアクセスするためのVPN (注1) / SWG (注2) どちらのエージェントソフト必要となり、エージェントソフト同士競合発生してしまう。

AWS/Microsoft 365/Google Cloud/Salesforceなどにシステムを移行したいが、クラウド移行しきれないアプリケーションなどが発生したり、既存VPNエージェントとSWGエージェントの動作競合が発生する。

これらの課題解決するソリューションとして、Cisco Umbrella」「KDDI Flex Remote Access」(以下、KDDI FRE) の組み合わせをおすすめいたします。

  • 注1) VPNはVirtual Private Networkの略。インターネット上に仮想専用線設定し、特定の人のみが利用できる専用ネットワーク
  • 注2) SWGはSecure Web Gatewayの略。外部へのアクセス安全に行うためのクラウドプロキシ
  • ※ AWSは、Amazon Web Servicesの略称です。
  • ※ Google Cloud は、Google LLC の商標です。

ゼロトラストへの移行のカギは「Cisco Umbrella 」?

スマホやパソコンからDNSクエリ、DNSを通して「Cisco Umbrella」に接続。またIntelligent ProxyからNATを通してインターネットへ。パソコンの場合はトラフィックでCDFWもしくはSWGからDLP/CASBを通して接続も可能。

「Cisco Umbrella」は名前解決 (注3)仕組みを用いて、怪しいドメイン企業ポリシーに基づいてインターネットアクセスを制御できる特長を持ったSSE (Security Service Edge) 製品です。

インターネット通信はC2通信 (Command & Control 通信 (注4))含め9割9分が名前解決を行っており、この仕組みを用いたセキュリティ対策通信する上で最初アクションとなるため有効セキュリティ対策と言えます。

また、DNSレイヤーより詳細なURLベースでの保護および制御可能なSWG機能機密データモニタリング制御するDLP機能も有しております。

「KDDI FRE (AnyConnect)」 はクライアント端末とVPN-GW間でSSLトンネルを張り、弊社閉域網サービスである「KDDI Wide Area Virtual Switch/ KDDI Wide Area Virtual Switch 2」(以下、KDDI WVS/KDDI WVS 2) へセキュアアクセスするリモートアクセスソリューションです。

セキュアリモートアクセス環境実現のためには認証機能重要ですが、「KDDI FRE」では10パターン認証方式提供しております 。(注5)

セキュリティ観点ユーザー利便性ユーザー利用するデバイスといった要素から、お客さまのニーズにあった認証方式選択することが可能です。

テレワークでスマホやパソコンの「Cisco Umbrella」から「KDDI FRE」GWを経由して、WAN「KDDI WVS」「KDDI WVS 2」に接続、そこから社内へリモートアクセスが可能に。ニーズによってID/ ワンタイムパスワードや証明書、パスワードレスなどを組み合わせ最適な認証方式をご提供(組み合わせ可能)。


どちらも Cisco 製品のためシングルエージェント閉域網内業務アプリケーションとSaaSアプリケーションへの接続共存させ、閉域網インターネット双方への接続時セキュリティ担保いたします。

オフィスからインターネットブレイクアウトを活用しIP SECを通してCisco Umbrellaに接続、クラウドやインターネットへ。テレワークでは「KDDI FRE」を活用しVPNを通して「KDDI WVS」 や「KDDI WVS 2」などの社内ネットワークに接続、社内システムへ。

オフィス

ローカルブレイクアウトセンター集中するトラフィックひっ迫を回避ブレイクアウトしたインターネット通信は「Cisco Umbrella」で保護セキュアアクセス

リモート

Split tunnelを利用することでイントラ/インターネット通信分離インターネットアクセスは「Cisco Umbrella」経由としセキュアダイレクトアクセス実現

  • 注3) DNSはインターネット上の通信を支える重要技術の1つで、ドメイン名とIPアドレスを紐づけ、変換する仕組み。
  • 注4) マルウェアランサムウェア活動するために必要となる攻撃者との間で行われる通信
  • 注5) 2024年1月現在の情報です。

ゼロトラストモデルへの移行が進まない課題への対応

1. 既存業務システムがSaaS移行できない

閉域網とインターネットのハイブリッドネットワーク の実現できるソリューションの採用

2. セキュリティ製品間の競合

シングルベンダーの採用 (今回は「Cisco Umbrella+KDDI FRE」をご紹介)


働き方改革を進めるにはハイブリッドネットワーク必要とするケースが多いですが、お客さまの環境によってさまざまな解決策手段必要です。

弊社では、今回紹介したCisco製品以外にも幅広セキュリティ製品ラインアップしており、お客さまの要件にあった最適ネットワーク構成セキュリティソリューションをご提案いたします。

プロフィール画像

執筆者プロフィール

武居 美佳 (たけすえ みか)
入社後、ネットワーク分野のフロントSEとして法人のお客さまを担当。 直近1年はセキュリティ分野のプロダクトSEとして、法人のお客さま向けにゼロトラストセキュリティモデルのアーキテクチャ設計と導入を担当。

本サービスへのお問い合わせ

KDDI 法人営業担当者が、導入へのご相談やお見積もりをいたします。
何かご不明な点があればお気軽にお問い合わせください。

ホワイトペーパー

最新のイベント・セミナー情報



ピックアップ