クラウドシフトやテレワークの拡大といった昨今のIT利用環境の変化に対応し、セキュリティ機能をクラウドサービスで提供するアーキテクチャとして、SWG(Secure Web Gateway)やクラウド型プロキシ、CASB(Cloud Access Security Broker)などのキーワードが注目されています。
今回は、クラウド型セキュリティサービスの仕組みや従来型のオンプレミスとの違い、求められる背景など、徹底的に解説していきます。
セキュリティ対策も所有から利用へ
クラウド型のセキュリティサービスの概要/仕組み
クラウド型のセキュリティサービスとは、セキュリティ機能をパッケージソフトやアプライアンス製品として購入、導入、利用するのではなく、クラウド上のサービスとして利用するものです。
クラウド時代を象徴する言葉に「所有から利用へ」という表現がありますが、クラウドシフトやテレワークの拡大といった昨今のIT利用環境の変化に対応するため、企業のサイバーセキュリティ対策においても所有から利用への流れが加速しています。
仕組みとしては、従来型のセキュリティ対策(オンプレミス型)であれば、ファイアウォールやIPS/IDS、あるいはこれらを統合したUTMをインターネットの出入口であるデータセンターの中や、拠点ごとに配置し、出入りするトラフィックを監視することで企業ネットワークを守っています。これらのセキュリティ機能部分をクラウド上に配置し、働く場所や端末に関わらず、社内からの通信、社内への通信のすべてを、クラウド型セキュリティサービスを経由させることでゼロトラストの考え方に基づいたセキュリティ対策を実現することができます。
クラウド型セキュリティサービスで提供される具体的な機能としては、従来データセンターなどで利用していたアンチマルウェア対策やウェブフィルタリング、ウェブプロキシ、サンドボックスに加えて、クラウドサービスの可視化や制御としてCASBなどが提供されているケースが多くみられます。
従来型セキュリティ対策とクラウド型セキュリティサービスの比較
クラウド型のセキュリティサービスの主なメリットは、アプライアンス機器などの導入後の運用の手間がクラウドに移行した分、削減されることです。また、コストは、クラウドサービスの利用料とハードウェアの購入費用との比較が議論されることが一般的ですが、近年はサービス利用料のほうが、メリットが高いと言われています。これは、ハードウェアを所有しても、メンテナンス費用、故障時のコスト、数年ごとのシステム更新を考えると、トータルではサービス利用の方が安くなる可能性が高いためです。加えて、事業所や拠点が複数あるような場合、拠点ごとに必要だった機器をクラウドに集約できるため、コストダウン効果が期待することができると同時に、全拠点を通じてセキュリティレベルの統一が可能になります。
以下に、一般的な従来型のセキュリティ対策(オンプレミス型)とクラウド型のセキュリティサービスとの代表的な違いを表にまとめました。
従来型セキュリティ対策とクラウド型セキュリティサービスの比較
項目 | 従来型(オンプレミス) | クラウド型 |
---|---|---|
導入・運用費用 |
|
|
導入前検討 |
|
|
導入後の運用 |
|
|
利用者の体感 |
|
|
防御モデル |
|
|
セキュリティ技術者 |
|
|
更新費用 |
|
|
クラウド型セキュリティ対策が求められる背景
企業におけるDX推進により、ハードウェアやシステムを固定的に所有することがビジネスリスクになってきています。セキュリティ対策においては、システム構築後にそれを5年、10年といった単位で使い続けることが前提となるケースが多いなか、法律やビジネスルール、セキュリティの脅威は変わっていきます。そして、システムに問題がなくても陳腐化のサイクルは短くなり、セキュリティ要件から数年単位でのシステムリプレースは避けられない状況です。
そういった状況の中で、多くの企業が業務アプリケーションをSaaSなどのクラウドサービスに移行しています。さらに昨今のテレワークの普及に伴い、Web会議に代表される新たなコミュニケーションツールの利用も拡大しています。
特に、外部向けのトラフィックが急増する中で、セキュリティ対策のために、従来のようにすべての通信をデータセンター経由にさせるという方法では、主に次のような3つの課題が顕在化しています。
- 増大するトラフィックに対応できずアプリケーションに遅延が起こる
- ウェブプロキシやファイアウォールを増強するための追加投資、運用コストがどんどん膨らんでしまう
- 上記を回避するためにインターネットブレイクアウトを利用も、拠点からインターネットへの出入口でセキュリティを守り切れない
クラウド型セキュリティサービスによる課題解決
これらの課題を前述のとおり、クラウド型セキュリティサービスが解決します。そして、VMwareでは、VMware SASE によってこれからの課題を解決することができます。
各拠点やユーザーの端末から直接インターネットにアクセスするインターネットブレイクアウトやWANの最適制御、ゼロトラストネットワークアクセス(ZTNA)などを提供し、場所に依存しないクラウド利用を前提としたネットワークやセキュリティを実現します。
VMware Cloud Web Securityの役割
VMware SASEの重要なコンポーネントの1つがVMware Cloud Web Securityです。クラウドへのアクセスポイントであるVMware SASE PoPを経由して外部に抜けていくトラフィックに対して、さまざまな高度なセキュリティの対策を行います。VMware Cloud Web Securityは100% クラウドベースのセキュリティサービスです。
クラウドサービスとして提供されるセキュリティ機能を利用することで、これまでWebプロキシ上で行っていたのと同等もしくはそれ以上のセキュリティレベルを確保することができます。また、SaaSやWeb会議などのパフォーマンスに影響を与えるネットワークの遅延やパケットロスの影響を受けにくくなります。