多くの組織は、国内または世界中に複数の支社を抱えています。各支社には、社内データやサービスへのアクセスと、新たな脅威に対する防御が必要です。支社ネットワーク セキュリティとは、支社と他の支社、データセンター、本社、またはリモート従業員との間のインターネット トラフィックを保護する手段を表します。移動しているデータを保護し、適切なアクセス制御を実行することは、組織全体を保護する上で不可欠です。

支社ネットワーク セキュリティの課題

組織は、各支社のセキュリティを確保する際に、いくつかの課題に直面します。まず、従業員がどこにいるかにかかわらず、生産性とコラボレーションの維持には、帯域幅要件がきわめて重要です。クラウド アプリケーションやネットワークに接続する無数のデバイスの必要性とその複雑性の増加に対処しながらも、ネットワーク速度を維持し、帯域幅の障害を最小限に抑えるためのコストは、急速に膨れ上がる可能性があります。

クラウド アプリケーションの急速な普及により、安定し、一貫したインターネット接続の必要性が高まっています。Office 365、Dropbox、Salesforce、G Suite、AWS、Slackといったよく使用されているSaaS(Software as a Service)アプリケーションでは、アクセス制御を維持しながら、さまざまな場所で働く従業員が簡単に協働することができます。広域ネットワーク(WAN)やマルチプロトコル ラベル スイッチング(MPLS)などの従来のテクノロジでは、進化するネットワーク状況や、より多くの帯域幅を必要とする新たなサービスやアプリケーションの追加に対応できません。フィルタリングや検査のためにインターネット トラフィックを本社に戻すような方法では、ユーザーの要求や、アクセス、送信されるデータの種類に現実的には対応できません。

ITチームに複数拠点を保護させるような方法も、組織がさらに多くのサービスやアプリケーションを追加するにつれ、さらに困難となります。従来、ファイアウォールは各ロケーションにオンプレミスで配置され、導入、セットアップ、保守、ハードウェアのトラブルシューティングのために、IT担当者が物理的にそこにいる必要がありました。拠点が増えるとハードウェア要件も増え、より多くの細かいルールやポリシーを作成しなければなりません。このように増大する支社でのニーズに対処できるITリソースを持つ組織はほとんどありません。

加えて、ネットワークに接続するデバイスやアプリケーションの増加とともに、ハッカーや脅威が脆弱性を発見するリスクも増大します。一般的に、ハッカーはネットワーク境界が組織の最大の弱点であることを知っており、それを悪用して内部ネットワークにアクセスしようとします。

支社を保護するには

支社のセキュリティを確保するは、製品を選んで電源を入れるような簡単なものではありません。多くの組織では、支社やデータセンターと社内や本社のネットワークの接続に、ソフトウェア定義型広域ネットワーク(SD-WAN)を採用してきました。SD-WANでは、クラウドベースの管理によってWANを管理するというの独自のアプローチにより、企業は、MPLSよりもコストを抑え、パフォーマンスを向上させ、ユーザー向けのSaaSおよびクラウド アプリケーションを最適化させることができます。ただし、SD-WANによってすべての問題が解決するわけではなく、解決するのは接続の問題だけなのです。SD-WANにはセキュリティ機能がないため、侵入防御、Webフィルタリング、SSL検査など、他のツールやプラットフォームを使用してネットワークを保護する必要があるのです。 

そこで登場したのが、セキュア アクセス サービス エッジ(SASE、「サシー」)と呼ばれる、セキュリティにおける新たなアプローチです。SASEは、広域ネットワーク(WAN)と、CASB、FWaaS、ゼロ トラストといったネットワーク セキュリティ サービスを、1つのクラウド提供型サービス モデルに集約したものです。SASEソリューションは、一貫した方法で支社にセキュリティを提供して管理するとともに、一律の方法でユーザーが安全にアプリケーションに接続できるようにします。

クラウド型インフラストラクチャの利用により、組織は、すべての支社にセキュリティ アプライアンスを設置して管理する必要がなく、時間とコストを節約できるのです。世界中に支社が分散している場合、ポリシーの管理やアクセス制御は容易ではありません。クラウド型インフラでは、支社はクラウド サービスにトラフィックを転送し、そこで一元的にセキュリティ ポリシーが適用されます。これにより、アプライアンスの手動での更新や、問題軽減のために、IT担当者がサイトに赴く必要はなくなります。

クラウドをベースとしたSASEの戦略には、支社に対するセキュリティ、可視性、制御に苦慮している組織にとって、多くの利点があります。

• クラウド トラフィックをセキュリティ検査のために本社に戻すといった必要がないため、シームレスなユーザー体験が実現します。
• MPLSバックホールの排除により支社のネットワーキングが簡素化され、コストが削減されます。
• 本社と支社全体に一貫したセキュリティ ポリシーが確実に適用されます。
• 支社への迅速な導入が可能で、スピードと俊敏性が確保されます。
• ネットワーク接続のIoTデバイスからのトラフィックを含め、支社におけるすべてのトラフィックが保護されます。
• すべてのポートとプロトコルに対する、トラフィックの完全な可視性と検査を実現できます。

支社でのクラウド セキュリティの詳細については、こちらをクリックしてください。