「SD-WAN」運用時のセキュリティ課題と対策方法とは？

ネットワークの柔軟性を確保したり、管理負担を軽減したりできる技術として注目されているのが「SD-WAN」です。SD-WANは、利便性に優れている点が大きなメリットですが、セキュリティに関しての課題は見過ごされがちです。

そこでこの記事では、SD-WANのセキュリティ課題と、その対策方法をご紹介。導入を検討されている方は、ぜひ参考にしてみてください。

SD-WANとは、企業が構築するWANをSDN化したものです。具体的には、WANのトラフィック監視やポリシー策定、優先順位付けなどを、一つのソフトウェア上で行います。

そもそもWANとは、「Wide Area Network」の略で、企業の各拠点にあるLAN同士を接続するためのネットワークを指します。通常であれば、電気通信事業者のWANサービスと契約して構築します。

一方でSDNとは、「Software Defined Network」の略で、仮想環境を作り出し、ソフトウェアで柔軟に管理できるようにするためのネットワークのことです。各機器にある「ネットワーク制御」の機能がソフトウェア上でひとまとめになるので、管理者の運用負担を軽減することが可能です。

SD-WANでは、ソフトウェアによる仮想環境でWANを一元管理します。通常のWANと比べて、ネットワークを設定するために、各拠点へ出向いたり機器ごとに設定したりする必要がないのがメリットです。

ここでは、システムの観点から見て、SD-WANがどのような特徴を持っているのかを解説いたします。

ゼロタッチ・プロビジョニングとは、OSや機器の固有設定を自動化し、ネットワークへ接続するだけで使用を開始できるようにする仕組みのことです。ソフトウェア上に設定データがあらかじめ用意されており、機器で参照するだけでセットアップを完了させられます。

SD-WANにおいては、ネットワーク制御の一元管理が可能なことから、ゼロタッチ・プロビジョニングを実現することが可能です。インターネット回線につないだエッジ機器の電源を入れ、指定のWi-Fiネットワークへ接続し、メールなどで送られる設定用のURLをクリックするだけで準備完了です。

SD-WANを導入することで、専門の技術者が、国内や海外の拠点へいちいち出向く必要がなくなるため、コスト削減や運用負担の軽減につながります。SD-WANによるゼロタッチ・プロビジョニングを実現することで、今まで以上にビジネスのスピードを加速させられるのです。

SD-WANを活用することで、数千種類以上の接続先アプリケーションを識別できるのが魅力。SNSやIP電話、SaaSの業務システムなど、さまざまなものに対応しています。

SD-WANの管理画面上では、自社のアプリケーションがどれくらい使われているのかを一元把握することができ、必要に応じて回線を切り替えたり、後述するインターネットブレイクアウトを実現したりすることが可能です。

インターネットブレイクアウトとは、企業の各拠点から、WebやSaaSへ直接アクセスするための仕組みのこと。データセンターでトラフィックを集中的に管理する必要がなくなるため、回線にかかる負担を軽減できるのがメリットです。

本来であれば、インターネットブレイクアウトを実現するために、複雑なトラフィック制御を行わなければなりませんでした。一方でSD-WANでは、各拠点のネットワーク制御を容易に行えるため、手間やコストを削減しつつインターネットブレイクアウトを実現できます。

近年では、クラウド型アプリケーションの増加、インターネット接続拠点の増加などによって、企業のトラフィック量が増大してきています。本社のデータセンターなどへかかる負担を軽減するためにも、SD-WANによるインターネットブレイクアウトは重要です。

SD-WANのセキュリティを理解するために欠かせない、通信の仕組みを解説いたします。

SD-WANは、一元管理ができるシステムの「オーケストレータ」、トラフィックや稼働状況を一覧で表示する「ダッシュボード」、通信機器と回線をつなぐ「エッジ機器」の3種類で構成しているのが特徴。それぞれが相互に連携し合うことで、正常に動作しています。

まず、PCからのデータ通信が始まると、Wi-Fiなどを通じ、エッジ機器へ送信されます。その後、エッジ機器からデータ転送されたオーケストレータにて通信の判別を行い、事前に設定されたWAN回線もしくはインターネット回線へ接続します。管理者は、これらの通信をダッシュボードから確認し、現状を把握したり設定を変えたりできるのです。

従来は、拠点から行われたデータ通信はすべて、中央のデータセンターを一度経由する仕組みになっていました。対してSD-WANでは、オーケストレータにて一度通信を受信するため、適切な振り分け先の選択が可能になります。

SD-WANは、センター拠点を経由せずに直接通信を行う「インターネットブレイクアウト」を実現するため、従来よりもいっそう、セキュリティに気を配る必要があります。

従来のWANでは、すべてのデータ通信をデータセンターで行っているため、監視や制御などが容易でした。しかしSD-WANにおいては、それぞれの機器から直接インターネットへ接続することもあるため、セキュリティホールが生まれるリスクが高まります。

多くのSD-WAN製品は、使い勝手やシンプルな設計を重視したものが多く、セキュリティへの配慮に欠けていることもあるのが事実です。そのため、セキュリティ対策がなされたSD-WAN製品を検討したり、自社で独自にセキュリティ対策を行ったりすることが求められます。

ここでは、SD-WANのセキュリティ課題を解決する方法を3つご紹介いたします。

一つ目は、各拠点へファイアウォールを導入する方法です。ファイアウォールを設ければ、外部ネットワークとの壁が作られるため、通信を制御してセキュリティを高めることが可能になります。

ファイアウォールには、クラウド型とオンプレミス型の2種類が存在。導入する際は、SD-WANと相性のよいクラウド型を選択するのがおすすめです。

各拠点へファイアウォールを導入する方法は、拠点数が少ない会社であれば容易に導入できますが、多拠点を有する企業の場合は、コストや運用負担の面で現実的とは言えません。その場合は、以下で解説する方法を検討しましょう。

もともとセキュリティ機能を搭載しているSD-WAN製品を導入してしまうのも一つの手です。具体的には、ファイアウォールやトラフィック監視・制御、通信暗号化などを利用できます。

とくに、SD-WANにおいてファイアウォール機能を利用できれば、一つの画面でネットワークセキュリティを管理できるため、管理者の運用負担を大幅に軽減することが可能です。ほかにも、セキュリティポリシーの一貫性を保つことが容易になるというメリットもあります。

SD-WAN製品を比較検討する際は、ファイアウォールをはじめ、どのようなセキュリティ機能が搭載されているのかをチェックするのがベターです。

SWGやCASBといったクラウド型セキュリティサービスを導入することで、SD-WANがもつセキュリティの課題を補完することが可能です。

SWGとは「Secure Web Gateway」の略で、インターネットへのアクセスを安全に行うためのクラウドサービスのことです。具体的には、「アンチウイルス」「Webフィルタリング」「アプリケーション制御」「サンドボックス」といった機能を搭載しています。

一方でCASBは、「Cloud Access Security Broker」の略で、クラウドサービスのセキュリティを高めるためのサービスのことです。CASBは、エンドポイントユーザーとクラウドサービスの間に位置し、アクセス制御やアンチウイルスなどのセキュリティ対策を1つの管理画面で行えます。

SWGとCASBの相性は非常によく、両者を組み合わせることで、WebとSaaSサービス双方へのセキュリティ対策が可能になります。SD-WANへ組み込むことで、インターネットやSaaSサービスへ直接アクセスする「インターネットブレイクアウト」においても、比較的安全な通信が可能になるのです。

SASEとは、「Secure Access Service Edge」の略で、2019年にガートナー社が提唱した、新しいセキュリティの概念です。具体的には、クラウド上で提供されるネットワークサービスとセキュリティサービスを、統合管理しようという考え方になります。

現在では、クラウドネットワークとクラウドセキュリティのサービスは別々に存在しており、運用者の管理負担が大きくなってしまいがちなのが課題です。SASEにより両者をひとまとめに管理することで、自社のセキュリティポリシーを統一したり、データ通信のパフォーマンスを向上させたりできるのです。

SASEは、拠点間の通信をクラウド化するための「SD-WAN」、社外からの通信をクラウド化するための「ZTNA（Zero Trust Network Access）」、そしてSWGやCASBなどの「クラウドセキュリティサービス」などから構成されます。上記が融合することで、社内・社外の場所を問わず、クラウドを活用した安全なネットワーク通信が可能になります。

SD-WANを単体で利用するのではなく、ほかのネットワーク概念やセキュリティ概念も取り入れることで、より高い利便性・セキュリティを追及できるのです。SD-WANの導入後に、SASEの実現を目指していくのも一つの手でしょう。

この記事では、SD-WAN運用時のセキュリティ課題と、具体的な解決方法をご紹介いたしました。SD-WANを導入することで、各拠点から直接インターネットへ接続することが可能になるため、今まで以上にセキュリティへ配慮することが求められます。

SD-WANによってインターネットブレイクアウトを実現する際は、以下のセキュリティ対策が有効です。

• 各拠点へのファイアウォールの導入
• セキュリティ機能を搭載しているSD-WAN製品の導入
• SWGやCASBの導入

今後は、SD-WANのセキュリティ機能や、周辺のクラウドセキュリティサービスの機能が次々と進化していくことが予想されます。自社の通信状況やセキュリティポリシーなどと照らし合わせて、適切な対策を講じてみてください。