このページはJavaScriptを使用しています。JavaScriptを有効にして、または対応ブラウザでご覧下さい。

中小規模のお客さま 個人のお客さま
閉じる
閉じる
閉じる
Cisco Secure Accessで実現する段階的なゼロトラスト移行のご紹介
ゼロトラストブログ vol. 24

Cisco Secure Accessで実現する
段階的なゼロトラスト移行のご紹介

2025 7/1
ゼロトラストの考え方が広がる中、多くの企業がVPN (Virtual Private Network) (注1) の廃止とZTNA (Zero Trust Network Access) (注2) への移行を検討しています。しかし、社内には依然としてオンプレミス環境に依存したレガシーアプリケーションが存在しており、クラウドシフトが思うように進まないという課題を抱える企業も少なくありません。こうした状況に対応する新たな選択肢として、Cisco社からリリースされたクラウド型SSE (Security Service Edge) 製品「Cisco Secure Access」が注目されています。
本記事では、自社ネットワークセキュリティの更改を検討されているインフラ/セキュリティ担当者さま向けに、「Cisco Secure Access」に搭載されているプライベートアクセス機能 (VPNaaS (注3) およびZTNA) に焦点を当て、実際の検証結果をもとに導入手順や運用のポイントをご紹介します。
本記事が、「Cisco Secure Access」をはじめとするSASE/SSE製品の導入検討の一助となれば幸いです。

注1) 仮想の専用ネットワークで、安全に通信を行う仕組み。
注2) ゼロトラスト概念に則り、アプリケーションやデータレベルでユーザーのアクセスを制御する概念。
注3) クラウドベースで提供されるVPNサービス。


「Cisco Secure Access」とは?

Cisco Secure Access」はCisco社が提供するクラウドセキュリティプラットフォームで、以下機能統合的提供します。

  • ZTNA (ゼロトラストアクセス)
  • VPNaaS (VPN as a Service)
  • SWG (Secure Web Gateway) (注4)
  • CASB/DLP (Cloud Access Security Broker/Data Loss Prevention) (注5)
  • FWaaS/IPS (Firewall as a Service/Intrusion Prevention System) (注6)

VPNaaSの機能を有するため、従来オンプレミスVPNのような煩雑運用不要としながらも、オンプレミス環境依存したレガシーアプリケーション保護まで可能セキュア環境構築可能です。

そのほかの機能に関しては、他社SSE/SASE製品でも提供はされていますが、「Cisco Secure Access」ではCisco Secure Client (専用クライアントソフト)にてVPN (VPNaaS) とZTNAの両構成統合的に扱える点や、最新プロトコル (QUICやMASQUE) に対応検査対象広域である点、既存のCisco製品群との親和性が高く、拡張性一貫性を保てる点が特長です。

  • 注4) インターネットへのアクセス安全管理監視するためのセキュリティソリューション。
  • 注5) CASB:クラウドサービス利用状況監視制御し、クラウド環境全体セキュリティ管理するための中間層セキュリティソリューション。
    DLP:機密情報検出監視制御を行うセキュリティ技術。
  • 注6) FWaaS:クラウドベース提供されるファイウォーサービス。
    IPS:サーバーネットワーク外部との通信監視し、侵入の試みなど不正アクセス検知して未然に防ぐシステム。
ユーザーとデバイスが「Cisco Secure Access」に接続され、VPNやZTNA (Direct to Internet (SWG RBI、CASB DLP、ZTNA、VPNaaS、FWaaS IPSを含む)) を利用してSaaSアプリケーション、インターネット、プライベートアプリケーション、レガシーアプリケーションにアクセスできる仕組みを示す図。

利用構成と選定ポイント

「Secure Access」は大きく分けて「VPNaaS構成」と「ZTNA構成」に分類されます。


VPNaaS Cisco Secure Client Moduleを使用し、従来型VPNのクラウド移行先として利用可能
ZTNA ゼロトラストアーキテクチャに基づく「必要なひとに、必要なリソースだけ」アクセス許可

VPNaaSはIPベースネットワーク単位アクセスに適し、ZTNAはアプリケーション単位のきめ細かなアクセス制御実現します。これにより、ユーザー接続ニーズ保護対象リソースに応じて異なるアクセス方式柔軟提供することができます。

クライアントユーザーとブラウザアクセスがVPNやQUIC、HTTPSを通じて「Cisco Secure Access」に接続され、VPNaaSやZTNAを経由し、Resource Connector GWを通じてIPsec DeviceやResource Connector (AWS/Vmware)などのリソース (データセンターなど) に安全にアクセスできる仕組みを示す図。

VPNaaS機能の設定ステップ

「Cisco Secure Access」をVPNaaS構成で導入する際の手順は、以下の5ステップで構成されます。

  • 注7) クラウドサービスアプリケーション間でのユーザーIDやアクセス情報自動管理を行うための標準規格

  • 注8) インターネット上の特定コンピューターサーバー一意識別するためのドメイン名。
  • 注9) DNSサーバーが、インターネット上のドメイン名を、対応するIPアドレス変換するプロセスのこと。

  • 注10) 異なるシステムドメイン間での認証情報属性情報安全にやり取りするための標準規格



ZTNA機能の設定ステップ

ZTNA構成は、VPNaaSと同様に5ステップで導入が可能です。ここでは、ZTNA特有の観点に着目しながら「目的」「ポイント」「補足」を整理しています。

  • 注11) 1回の認証だけで、複数アプリケーションサービスアクセスできる仕組み。





検証を終えて

今回検証では、「Cisco Secure Access」の操作性実用性確認しました。管理コンソールシンプルで、各画面に「Help」リンク用意されており、設定内容理解作業スムーズに行えます。VPNとZTNAの切り替えは接続先に応じてSecure Clientにて自動判別されるため、ユーザー接続方式意識せずに業務集中でき、また、クライアントソフトにはCisco Secure Clientを使用しているため、従来のCisco AnyConnectとの互換性が高く、移行容易です。

KDDIが提供するVPNaaSである「KDDI Flex Remote Access」(以下KDDI FRE) との動作比較では、接続先のFQDN以外に大きな差はなく、接続のためのユーザー情報取込方法認証形式などに一部違いが見られました。ユースケースネットワーク構成に応じて、「Cisco Secure Access」またはKDDI FREを選定できる点は、弊社として大きな利点であると考えております。


最後に

本記事では、Cisco社が提供するSSE製品「Cisco Secure Access」について、VPNaaSとZTNAの2つの構成注目し、それぞれの導入ステップ構成ポイント具体的にご紹介しました。

クラウド化やゼロトラスト化の推進において、従来のVPN運用限界を感じている企業は少なくありません。「Cisco Secure Access」は、既存ネットワークとの親和性を保ちながら、段階的ゼロトラスト移行可能にする柔軟性を備えたソリューションです。「Cisco Secure Access」の導入をご検討中の方、またはVPN/ZTNAの運用移行についてお悩みの方は、ぜひ弊社までご相談ください。

プロフィール画像

執筆者プロフィール

武居 美佳 (たけすえ みか)
入社後、ネットワーク分野のフロントSEとして法人のお客さまを担当。現在はセキュリティ分野のプロダクトSEとして、法人のお客さま向けにゼロトラストセキュリティモデルのアーキテクチャ設計と導入を担当。

本サービスへのお問い合わせ

KDDI 法人営業担当者が、導入へのご相談やお見積もりをいたします。
何かご不明な点があればお気軽にお問い合わせください。

ホワイトペーパー

最新のイベント・セミナー情報



ピックアップ