このページはJavaScriptを使用しています。JavaScriptを有効にして、または対応ブラウザでご覧下さい。

中小規模のお客さま 個人のお客さま
サービストップ
サービストップ
サービストップ
特集・テーマトップ
導入事例トップ
最新の導入事例

指定した検索条件の事例は、見つかりませんでした

導入事例を検索
閉じる
イベント・セミナートップ
開催間近のイベント・セミナー
アーカイブ配信をみる
閉じる
事業紹介トップ
企業・IR 採用情報
閉じる
閉じる
Select Language
日本語
English
Find Your Region
閉じる
Select Language
日本語
English
Find Your Region
記事を検索
ビジネスIT用語 資料一覧 導入事例 ビジネスメールマガジン
ビジネス
メールマガジン
Cisco Secure Accessで実現する段階的なゼロトラスト移行のご紹介
ゼロトラストブログ vol. 24

Cisco Secure Accessで実現する
段階的なゼロトラスト移行のご紹介

2025 7/1
ゼロトラストの考え方が広がる中、多くの企業がVPN (Virtual Private Network) (注1) の廃止とZTNA (Zero Trust Network Access) (注2) への移行を検討しています。しかし、社内には依然としてオンプレミス環境に依存したレガシーアプリケーションが存在しており、クラウドシフトが思うように進まないという課題を抱える企業も少なくありません。こうした状況に対応する新たな選択肢として、Cisco社からリリースされたクラウド型SSE (Security Service Edge) 製品「Cisco Secure Access」が注目されています。
本記事では、自社ネットワークセキュリティの更改を検討されているインフラ/セキュリティ担当者さま向けに、「Cisco Secure Access」に搭載されているプライベートアクセス機能 (VPNaaS (注3) およびZTNA) に焦点を当て、実際の検証結果をもとに導入手順や運用のポイントをご紹介します。
本記事が、「Cisco Secure Access」をはじめとするSASE/SSE製品の導入検討の一助となれば幸いです。

注1) 仮想の専用ネットワークで、安全に通信を行う仕組み。
注2) ゼロトラスト概念に則り、アプリケーションやデータレベルでユーザーのアクセスを制御する概念。
注3) クラウドベースで提供されるVPNサービス。

目次

「Cisco Secure Access」とは?

Cisco Secure Access」はCisco社が提供するクラウドセキュリティプラットフォームで、以下機能統合的提供します。

  • ZTNA (ゼロトラストアクセス)
  • VPNaaS (VPN as a Service)
  • SWG (Secure Web Gateway) (注4)
  • CASB/DLP (Cloud Access Security Broker/Data Loss Prevention) (注5)
  • FWaaS/IPS (Firewall as a Service/Intrusion Prevention System) (注6)

VPNaaSの機能を有するため、従来オンプレミスVPNのような煩雑運用不要としながらも、オンプレミス環境依存したレガシーアプリケーション保護まで可能セキュア環境構築可能です。

そのほかの機能に関しては、他社SSE/SASE製品でも提供はされていますが、「Cisco Secure Access」ではCisco Secure Client (専用クライアントソフト)にてVPN (VPNaaS) とZTNAの両構成統合的に扱える点や、最新プロトコル (QUICやMASQUE) に対応検査対象広域である点、既存のCisco製品群との親和性が高く、拡張性一貫性を保てる点が特長です。

  • 注4) インターネットへのアクセス安全管理監視するためのセキュリティソリューション。
  • 注5) CASB:クラウドサービス利用状況監視制御し、クラウド環境全体セキュリティ管理するための中間層セキュリティソリューション。
    DLP:機密情報検出監視制御を行うセキュリティ技術。
  • 注6) FWaaS:クラウドベース提供されるファイウォーサービス。
    IPS:サーバーネットワーク外部との通信監視し、侵入の試みなど不正アクセス検知して未然に防ぐシステム。
ユーザーとデバイスが「Cisco Secure Access」に接続され、VPNやZTNA (Direct to Internet (SWG RBI、CASB DLP、ZTNA、VPNaaS、FWaaS IPSを含む)) を利用してSaaSアプリケーション、インターネット、プライベートアプリケーション、レガシーアプリケーションにアクセスできる仕組みを示す図。

利用構成と選定ポイント

「Secure Access」は大きく分けて「VPNaaS構成」と「ZTNA構成」に分類されます。

VPNaaS Cisco Secure Client Moduleを使用し、従来型VPNのクラウド移行先として利用可能
ZTNA ゼロトラストアーキテクチャに基づく「必要なひとに、必要なリソースだけ」アクセス許可

VPNaaSはIPベースネットワーク単位アクセスに適し、ZTNAはアプリケーション単位のきめ細かなアクセス制御実現します。これにより、ユーザー接続ニーズ保護対象リソースに応じて異なるアクセス方式柔軟提供することができます。

・オンプレミス環境の業務システムにIP単位でアクセスが必要な場合 → VPNaaS構成

・クラウドアプリケーションやSaaSに業務ユーザー単位でアクセス制御したい場合 → ZTNA構成

・段階的にゼロトラストを導入したい場合 → VPNaaSとZTNAを併用するハイブリッド構成
クライアントユーザーとブラウザアクセスがVPNやQUIC、HTTPSを通じて「Cisco Secure Access」に接続され、VPNaaSやZTNAを経由し、Resource Connector GWを通じてIPsec DeviceやResource Connector (AWS/Vmware)などのリソース (データセンターなど) に安全にアクセスできる仕組みを示す図。

VPNaaS機能の設定ステップ

「Cisco Secure Access」をVPNaaS構成で導入する際の手順は、以下の5ステップで構成されます。

ユーザーとグループの登録画面。

Step1. ユーザーとグループの登録

  • 目的
利用ユーザーを「Cisco Secure Access」へ登録し、認証基盤と連携させます。
  • ポイント
SCIM連携 (注7) またはCSVインポートが可能。Azure ADなどのIDaaSと組み合わせて自動化も可能です。オンプレミスActive Directoryと連携する場合は、Secure Connectorの設置が必要になるケースもあります。
  • 注7) クラウドサービスアプリケーション間でのユーザーIDやアクセス情報自動管理を行うための標準規格
社内リソースの定義の設定画面。アクセス許可したいリソース情報を選択。

Step2. 社内リソースの定義

  • 目的
ユーザーがアクセスする社内システムやアプリケーションの接続先を登録します。
  • ポイント
FQDN (注8) またはIPアドレス単位でPrivate Resourceを設定。TCP/UDPのポート指定も可能です。なお、DNSによる名前解決 (注9) が正しくできる構成であることが前提です。
  • 注8) インターネット上の特定コンピューターサーバー一意識別するためのドメイン名。
  • 注9) DNSサーバーが、インターネット上のドメイン名を、対応するIPアドレス変換するプロセスのこと。
VPNプロファイルの作成画面。(https://docs.sse.cisco.com/sse-user-guide/docs/add-vpn-profiles)

Step3. VPNプロファイルの作成

  • 目的
クライアントソフトが参照する接続設定 (認証方式やIP割り当てなど) を定義します。
  • ポイント
SAML認証 (注10) や、IP Poolの設定などが可能。必要に応じてクライアント証明書も活用できます。利用環境に応じてSplit Tunnelの有無もこちらで設定します。
  • 注10) 異なるシステムドメイン間での認証情報属性情報安全にやり取りするための標準規格
アクセスポリシーの設定画面。

Step4. アクセスポリシーの設定

  • 目的
「誰が・どこに・どんな条件で」アクセスできるかを制御するルールを定義します。
  • ポイント
ユーザー属性や端末のセキュリティ状態など、多様な条件での絞り込みが可能です。ただし、ルールの優先順位などを誤ると意図しないブロックが発生するため注意が必要です。
動作確認画面。プロファイル画面のURLが接続先となる。

Step5. 動作確認

  • 目的
実際のユーザー環境で、接続と認証が正常に機能するかを確認します。
  • ポイント
Secure Clientをインストールし、接続先URLを入力後に認証操作。多要素認証 (MFA) を組み合わせる場合は、Duo Securityなどとの連携設定も必要です。

ZTNA機能の設定ステップ

ZTNA構成は、VPNaaSと同様に5ステップで導入が可能です。ここでは、ZTNA特有の観点に着目しながら「目的」「ポイント」「補足」を整理しています。

Step1. ユーザーとグループの登録

  • 目的
ZTNAにおけるユーザー認証の前提となる情報を登録します。
  • ポイント
SCIM連携やCSVでの一括登録に対応し、SAMLベースのSSO (注11) との統合も可能です。VPNaaSと同様の構成を流用できるため、共通管理がしやすい点も利点です。
  • 注11) 1回の認証だけで、複数アプリケーションサービスアクセスできる仕組み。
リソースの定義の設定画面。

Step2. リソースの定義

  • 目的
ユーザーがアクセスするアプリケーション単位の接続先を指定します。
  • ポイント
ZTNAではFQDNによるアプリケーション単位での指定が基本となります。WebアプリやSaaSにも柔軟に対応可能です。

Step3. ZTNAプロファイルの作成 (必要に応じて)

  • 目的
ZTNAで利用される認証・接続方式に関するプロファイル設定を行います。
  • ポイント
一部構成ではVPNプロファイルとの兼用も可能。必要に応じてZTNA専用のセッション制御ポリシーを定義します。

Step4. アクセスポリシーの設定

  • 目的
利用ユーザーや接続元条件に応じたアプリケーション単位のアクセス制御を行います。
  • ポイント
VPNとは異なり、アプリケーション単位で「表示」「利用可否」を制御可能。SSOや端末状態と組み合わせた高度な条件指定も可能です。
動作確認画面。

Step5. 動作確認

  • 目的
実際にZTNAを用いたセッションが正常に確立されているか確認します。
  • ポイント
Webブラウザ、またはSecure Client経由でアプリケーションにアクセス。認証後、ZTNAポータルが表示されれば成功です。

検証を終えて

今回検証では、「Cisco Secure Access」の操作性実用性確認しました。管理コンソールシンプルで、各画面に「Help」リンク用意されており、設定内容理解作業スムーズに行えます。VPNとZTNAの切り替えは接続先に応じてSecure Clientにて自動判別されるため、ユーザー接続方式意識せずに業務集中でき、また、クライアントソフトにはCisco Secure Clientを使用しているため、従来のCisco AnyConnectとの互換性が高く、移行容易です。

KDDIが提供するVPNaaSである「KDDI Flex Remote Access」(以下KDDI FRE) との動作比較では、接続先のFQDN以外に大きな差はなく、接続のためのユーザー情報取込方法認証形式などに一部違いが見られました。ユースケースネットワーク構成に応じて、「Cisco Secure Access」またはKDDI FREを選定できる点は、弊社として大きな利点であると考えております。

最後に

本記事では、Cisco社が提供するSSE製品「Cisco Secure Access」について、VPNaaSとZTNAの2つの構成注目し、それぞれの導入ステップ構成ポイント具体的にご紹介しました。

クラウド化やゼロトラスト化の推進において、従来のVPN運用限界を感じている企業は少なくありません。「Cisco Secure Access」は、既存ネットワークとの親和性を保ちながら、段階的ゼロトラスト移行可能にする柔軟性を備えたソリューションです。「Cisco Secure Access」の導入をご検討中の方、またはVPN/ZTNAの運用移行についてお悩みの方は、ぜひ弊社までご相談ください。

プロフィール画像

執筆者プロフィール

武居 美佳 (たけすえ みか)
入社後、ネットワーク分野のフロントSEとして法人のお客さまを担当。現在はセキュリティ分野のプロダクトSEとして、法人のお客さま向けにゼロトラストセキュリティモデルのアーキテクチャ設計と導入を担当。

本サービスへのお問い合わせ

KDDI 法人営業担当者が、導入へのご相談やお見積もりをいたします。
何かご不明な点があればお気軽にお問い合わせください。

導入検討・見積相談 KDDI 法人営業担当者よりご連絡させていただきます。

最新ゼロトラストブログ

ゼロトラストブログ一覧はこちら

ホワイトペーパー

ゼロトラスト導入による
海外拠点のセキュリティ対策のポイント

脆弱な海外拠点のセキュリティ強化に有効的なゼロトラストアプローチ。海外拠点でゼロトラストを導入する必要性、導入効果と導入のポイントについて、失敗事例を紹介しながら解説していきます。

「ゼロトラスト」導入のステップ

今、注目を集めている「ゼロトラスト」セキュリティとは何か。LACを創業したS&J株式会社の三輪信雄代表取締役社長に、境界防御型の限界に対処できるセキュリティモデルのゼロトラスト導入手順について伺いました。

ユーザー調査から見えてきた、
ゼロトラストの現在地

ポストコロナの働き方と、それを支える情報システムやサイバーセキュリティの在り方をどう考えるべきか。KDDI は、テレワークの拡大に伴い注目を集めたセキュアなシステム設計の新しい考え方「ゼロトラスト」にフォーカスし、企業の取り組み状況や課題を探るべくアンケート調査を実施しました。その結果を分析するとともに、次世代の働き方を支える IT環境について KDDI の提案を紹介します。

いま取り組むべき
ゼロトラストセキュリティ

リモートワークやハイブリッドワークが定着するなか、社内・社外という切り分けはもはや意味を成さず、どこにも安全な場所はないという考え方=ゼロトラストがセキュリティ対策の前提となっています。そんなゼロトラストセキュリティをどのように実装し運用していくか、KDDI が提唱する3 つの運用ポイントを紹介します。

最新のイベント・セミナー情報

次のネットワークをどう描く?SASEの可能性と導入のリアル
2025年7月29日(火) 15:00~15:50 -Cato編-
2025年​8月7日(木) 11:00~11:50 -Cisco編-
2025年​8月27日(水) 13:00~13:50 -Paloalto編-

いま、多くの企業が注目する次世代のネットワークセキュリティ「SASE (Secure Access Service Edge) 」。
自社の課題に合う最適なネットワークモデルは何か、悩まれている方も多いのではないでしょうか。
KDDIの実際の支援事例を基にした閉域網とのハイブリッド構成や、SASEを含めることで実現できる将来のネットワークについて、ITインフラ見直しのヒントとなる情報をお届けします。
※ 複数日程の視聴をご希望の場合は、お手数ですが、各日程ごとにお申込み手続きをお願いいたします。
※ システムの制約により、連続したお申し込みの場合、適切にお手続きが完了しないことがあります。5分間のインターバル (間隔) を設けてお申込みお手続きをお願いいたします。
  • オンライン開催
  • 申込受付中
進化する脅威への備え方:セキュリティ対策の最前線
  • 2024年12月3日 開催分 オンデマンド配信中
ランサムウェアをはじめとするセキュリティ攻撃は進化し続け、その被害も拡大しています。「私たちの対応は十分だろうか?」と不安を抱える企業様に向け、基本的な防御方法から運用のポイントまでを包括的にお伝えします。さらに、最新の事例を通じて成功への具体的なステップを専門家が詳しく解説します。
セキュリティ革新の舞台裏 ~AIがもたらす価値~
  • オンデマンド配信中
AIは企業のセキュリティに革新をもたらします。
セキュリティ態勢だけでなくその運用もAIによって効率化され、攻撃をより強固かつ適切に防ぎ、状況の可視化で判断速度を向上させます。本セミナーでは、AIの企業セキュリティへの具体的な効果と可能性に焦点を当て、その価値を探求します。
次期ITインフラを見据えたゼロトラストセキュリティの実現とその後の運用方法
  • 2023年12月22日 開催分 オンデマンド配信中
「セキュリティサービスを入れたけど、これで十分?」「中長期的な目線でのネットワークを含めたセキュリティ環境を最適化したい」ハイブリッドワークへの移行で伴うネットワーク・セキュリティの新たな課題に対して、どのように中長期的な目線で策定していくべきか、またそれを実現・維持していく方法についてお伝えします。

ピックアップ

WAKONXについて
つなぐチカラ『ビジネス5G』
マネージド ゼロトラスト
空間自在プロジェクト
KDDI Engineer Portal
ニーズにマッチするサービスがきっと見つかる Business Port
障害・メンテナンス情報 (個人のお客さま)
よくあるご質問サイト
お客さまとともに歩む、KDDIの改善活動
ビジネスメールマガジン
ページの先頭へ戻る