ゼロトラストモデル実現 最初の一歩　クラウドファイアウォール活用の実例紹介

解決策：従量課金で稼働可能なクラウドファイアウォール

そこで解決策として、従量課金で稼働可能なクラウドファイアウォール（FortigateVM）を提案しました。AlibabaCloud上にFortigateVMを構築し、各拠点とクラウドをIPsecVPNで接続します。中国の各拠点からのインターネットアクセスはクラウド経由となります。

これにより、以下のメリットを享受することができます。

・構築が早い（2週間程度で構築完了）
・従量課金のため不要になった時点で廃止できる
・Fortigateの全てのセキュリティライセンスが使える

本構成は、Alibaba Cloudと各拠点をIPsecで接続し、インターネット出入口をAlibaba Cloudにする構成です。インターネット境界にはVMのUTM製品を実装し、既存のファイアウォールと似たようなネットワーク構成のまま切り替えることが可能です。クラウドシステムはすぐに導入・廃止できるという利点から、ゼロトラストモデルへの移行計画への影響を最小限に抑えることができます。

グローバルネットワーク全体の見直しに注力が可能に

従来通り物理機器でリプレイスする場合は、以下のような課題がありました。

・セキュリティ製品は高額
・途中でゼロトラストモデルへ移行した場合、残りの期間の固定資産費用・ライセンス費が無駄になる
・小規模拠点のセキュリティ課題は解決されない
・機種選定～稼働開始までにおよそ6か月程度かかる
・現地物理作業が必要となる

一方で、先行してゼロトラストモデルに移行する場合は、以下の課題があります。

・サービス選定に時間がかかる（契約年数やアカウント数、サービス提供エリア）
・全体のネットワーク設計に時間がかかる
・社内承認～運用方法の準備に時間がかかる

そこで今回の解決策である、クラウドにファイアウォールを構築するケースに至りました。

・構築まで2週間程度
・小規模拠点もセキュリティ強化
・ネットワークの基本設計は変わらず運用負荷が無い
・従量課金のため契約期間の縛りもなく、不要になったら廃止できる
⇒ゼロトラストモデルへの全体移行までの繋ぎとして使える

このように運用課題を素早く解決することで、全体のグローバルネットワーク見直しに注力することができるようになります。社内ネットワークの一部をクラウド化しておくことで、ゼロトラストモデルへの移行計画・設計も容易になります。小規模拠点のインターネットトラフィックもクラウド上のファイアウォール経由にすることでセキュリティレベルも向上し、セキュリティポリシーの一元管理もできるようになります。中国拠点のオンプレサーバのクラウド移行や、Cloud Enterprise Network（CEN）というネットワークプロダクトを利用した日本ー中国間の接続も可能になりますので、この拡張性もクラウド化のメリットです。

まとめ

今回、境界型セキュリティモデルからゼロトラストモデルへ段階的に移行するための一つのアイデアとして、クラウド上のファイアウォールへのリプレイス提案事例をご紹介いたしました。新たな物理機器を購入することなく、AlibabaCloud環境の用意と既存機器の設定のみで完結でき、さらに小規模拠点のインターネットセキュリティの課題もあわせて解決することができました。

導入までの期間も短い、時間従量課金での利用ができる、Fortigateのセキュリティライセンスが使えるようになる、というのも嬉しいポイントです。もしゼロトラストモデルへの移行計画が具体的になり、ファイアウォールが不要となった場合もAlibabaCloudのコンソール上からインスタンス停止するだけでよく、現地作業や廃棄品の処理に時間を使う必要もありません。システム廃止の手間がかからないのもクラウドのメリットです。

ゼロトラストモデルやSD-WANへの段階的な切り替え方法として、このクラウドファイアウォール構成をぜひ検討いただければと思います。

関連サービス