ゼロトラストモデル実現 最初の一歩 クラウドファイアウォール活用の実例紹介

ゼロトラストモデル実現 最初の一歩 クラウドファイアウォール活用の実例紹介

(2021年8月3日掲載)

近年、ゼロトラストモデルやSD-WANなどの次世代型ネットワークへの移行を検討しているというお声を、お客さまより多くいただきます。しかし現実的には、稼働しているネットワークを一斉に新しい形に切り替えることは難しく、既存のネットワークを運用しながら徐々に移行していく必要があります。

メーカーサポート終了(EOL)対象機器のリプレイスもネットワーク運用の一環ですが、必要に迫られて都度オンプレミスのままリプレイスしていくと、次世代型ネットワークへの移行も先延ばしになってしまいます。

境界型セキュリティモデルからゼロトラストモデルへ段階的に移行するための一つのアイデアとして、クラウド上へのファイアウォールのリプレイスを実施した実例があります。今回は、その実例をもとにしたユースケースをご紹介します。

目次

拠点間通信における課題

今回のユースケースでは、グローバルに多数拠点をお持ちのお客さまが対象となります。グローバル全体での拠点数は10拠点、中国内での拠点数は中心拠点1か所、小規模10か所を想定します。

中規模拠点以上にはUTM(Unified Threat Management:統合脅威管理)を設置し、境界型のセキュリティを実装しており、日本拠点とはインターネットVPN(※日本ー中国間は国際VPN)で接続している状況です。ただし、小規模の拠点はUTMの設置はありません。

中国の中心拠点のファイアウォールがEOLを迎える一方で、全社的にゼロトラストモデルへの移行も検討しているため、「物理ファイアウォールの更新にコストをかけるよりも、次世代のゼロトラストモデルへ移行が望ましいのではないか」という悩みを抱えていました。

しかしゼロトラストモデルもまだサービス選定をはじめたばかりで、ファイアウォールのEOLまで間に合いそうにない状況です。「ファイアウォールを後継機種へリプレイスする」または「先行してゼロトラストモデルへ移行する」という2つの方法以外に「他の選択肢はないか」という視点で検討を開始しました。

あらためて課題を整理すると、以下となります。

課題①:中国拠点のファイアウォールのEOL
・EOLを過ぎるとセキュリティの維持ができなくなる(セキュリティアップデートができない)
・従来であれば後継機種へのリプレイスだがゼロトラストモデル移行した場合ファイアウォール廃止となる

課題②:小規模拠点のセキュリティ対策
・インターネット通信のセキュリティ対策がされていない
・ゼロトラストモデルへの移行で解決の見込みはあるものの、極力早めに対処をしておきたい

課題③:グローバルネットワーク全体の見直し
・ゼロトラストモデルに移行したい
・拠点の規模に限らずセキュリティレベルを統一させたい
・日本のシステム部門で一元管理させたい

ここで課題解決のポイントを整理してみましょう。

まず最優先事項は中国拠点のセキュリティ維持です。中国ファイアウォールがEOLを過ぎるとセキュリティアップデートができなくなります。物理機器にてリプレイスする場合は計画~入替まで半年はかかるため、早めに決断をする必要があります。 一方で、全体的なゼロトラストモデルへの移行の中で、リプレイスしたファイアウォールを早い段階で手放す可能性があることも考慮に入れておかなくてはいけません。

解決策:従量課金で稼働可能なクラウドファイアウォール

そこで解決策として、従量課金で稼働可能なクラウドファイアウォール(FortigateVM)を提案しました。AlibabaCloud上にFortigateVMを構築し、各拠点とクラウドをIPsecVPNで接続します。中国の各拠点からのインターネットアクセスはクラウド経由となります。

これにより、以下のメリットを享受することができます。

・構築が早い(2週間程度で構築完了)
・従量課金のため不要になった時点で廃止できる
・Fortigateの全てのセキュリティライセンスが使える

本構成は、Alibaba Cloudと各拠点をIPsecで接続し、インターネット出入口をAlibaba Cloudにする構成です。インターネット境界にはVMのUTM製品を実装し、既存のファイアウォールと似たようなネットワーク構成のまま切り替えることが可能です。クラウドシステムはすぐに導入・廃止できるという利点から、ゼロトラストモデルへの移行計画への影響を最小限に抑えることができます。

グローバルネットワーク全体の見直しに注力が可能に

従来通り物理機器でリプレイスする場合は、以下のような課題がありました。

・セキュリティ製品は高額
・途中でゼロトラストモデルへ移行した場合、残りの期間の固定資産費用・ライセンス費が無駄になる
・小規模拠点のセキュリティ課題は解決されない
・機種選定~稼働開始までにおよそ6か月程度かかる
・現地物理作業が必要となる

一方で、先行してゼロトラストモデルに移行する場合は、以下の課題があります。

・サービス選定に時間がかかる(契約年数やアカウント数、サービス提供エリア)
・全体のネットワーク設計に時間がかかる
・社内承認~運用方法の準備に時間がかかる

そこで今回の解決策である、クラウドにファイアウォールを構築するケースに至りました。

・構築まで2週間程度
・小規模拠点もセキュリティ強化
・ネットワークの基本設計は変わらず運用負荷が無い
・従量課金のため契約期間の縛りもなく、不要になったら廃止できる
⇒ゼロトラストモデルへの全体移行までの繋ぎとして使える

このように運用課題を素早く解決することで、全体のグローバルネットワーク見直しに注力することができるようになります。社内ネットワークの一部をクラウド化しておくことで、ゼロトラストモデルへの移行計画・設計も容易になります。小規模拠点のインターネットトラフィックもクラウド上のファイアウォール経由にすることでセキュリティレベルも向上し、セキュリティポリシーの一元管理もできるようになります。中国拠点のオンプレサーバのクラウド移行や、Cloud Enterprise Network(CEN)というネットワークプロダクトを利用した日本ー中国間の接続も可能になりますので、この拡張性もクラウド化のメリットです。

まとめ

今回、境界型セキュリティモデルからゼロトラストモデルへ段階的に移行するための一つのアイデアとして、クラウド上のファイアウォールへのリプレイス提案事例をご紹介いたしました。新たな物理機器を購入することなく、AlibabaCloud環境の用意と既存機器の設定のみで完結でき、さらに小規模拠点のインターネットセキュリティの課題もあわせて解決することができました。

導入までの期間も短い、時間従量課金での利用ができる、Fortigateのセキュリティライセンスが使えるようになる、というのも嬉しいポイントです。もしゼロトラストモデルへの移行計画が具体的になり、ファイアウォールが不要となった場合もAlibabaCloudのコンソール上からインスタンス停止するだけでよく、現地作業や廃棄品の処理に時間を使う必要もありません。システム廃止の手間がかからないのもクラウドのメリットです。

ゼロトラストモデルやSD-WANへの段階的な切り替え方法として、このクラウドファイアウォール構成をぜひ検討いただければと思います。

SBクラウド株式会社 クラウド技術統括部 プリセールス部 ソリューションアーキテクト課 平松 秀章
SBクラウド株式会社
技術部 ソリューションアーキテクト課
赤羽 啓
通信キャリアの伝送路構築からエンタープライズのLAN設計構築まで、ネットワークを中心としたインフラ経験を経て、2020年にSBクラウド入社。ソリューションアーキテクトとして、ネットワークプロダクトの技術検証、ソリューション開発を担当。

サイバーセキュリティ強化