12月7日、F5ネットワークスジャパンは「モバイル&クラウドにおけるアクセス管理の課題」と題するメディア勉強会を実施した。登壇した勉強会に登壇したF5のセキュリティスペシャリストの近藤学氏は、アクセス管理をテーマに昨今のセキュリティ動向とF5のソリューションについて説明した。
セキュリティ問題はビジネスのリスクになっている
F5ネットワークスジャパン セキュリティビジネス統括 セキュリティスペシャリスト 近藤学氏は、IIJやマカフィーなどでセキュリティ関連のビジネスを手がけ、直近ではIDフェデレーションのPing Identityのアジア・太平洋地域を統括してきた、まさにセキュリティスペシャリスト。「グローバルでもF5と言えばやはりADC(Application Delivery Controller)だが、今後はセキュリティ製品も日本で積極的に展開していく」というコメントで始められた今回の勉強会のテーマは認証とアクセス管理だ。
F5ネットワークスジャパン セキュリティビジネス統括 セキュリティスペシャリスト 近藤学氏
近藤氏がまず指摘するのは、サイバーセキュリティがどんどん複雑化している現状だ。同氏が引き合いに出した米国の調査会社の資料では、多くの管理者はネットワークやエンドポイントのセキュリティがかなり複雑になっている一方、自動化やオーケストレーションなどに手間取っている実情がつづられている。「たとえばパスワードの有効期限1つとっても、社内では60日、クラウドでは90日間と異なっているケースも多い。これらを統合したいという声は多い」(近藤氏)とのことで、パブリック/プライベートクラウドのセキュリティポリシー統合や可視化に関しても大きな課題となっている。
サイバーセキュリティも大きな変化が現れている。昔はセキュリティはあくまでITサイドのリスクだったが、昨今はビジネス上のリスクに変わってきている。また、ポイントソリューションではなく、統合型ソリューションが求められるようになったほか、パートナーシップ、マネージドサービスなど外部サービスの利用も一般的になってきている。脅威のポイントも従来のように「境界線」のセキュリティにとどまらず、エンドポイント、ネットワーク、セッション、アプリケーションなど幅広くなっている。こうした中、F5は通信の要に位置するF5 BIG-IPを中心に、幅広いセキュリティソリューションを手がけているという。
サイバーセキュリティの変化
トラフィックが集まるBIG-IPだからこそできること
なぜF5がセキュリティやアクセス管理を語るのか? 自身もF5に対してセキュリティのイメージがなかったという近藤氏だが、もともとF5のBIG-IPは社内外を隔てるポイントですべてのトラフィックをさばいているという特徴がある。しかも、L4~L7までをカバーし、中身をチェックしたり、通信を遮断することも可能。これにより、ユーザーに近いファーストマイルからアプリケーション側のラストマイルまでを幅広くカバーできるという。BIG-IPの統合プラットフォーム上で動作する「Access Policy Manager(APM)」というモジュールをオンにすることで、認証や認可、シングルサインオンなどの機能を提供できるという。
トラフィックが集まるF5だからできるアクセス管理
近藤氏が説明したのは、社内アプリケーションへのリモートアクセスから、より包括的なアクセス管理への流れだ。4~5年前、企業システムへのアクセスは、同時接続数が少ないリモートアクセスがメインだったが、最近では働き方の変革や端末の多様化、クラウドの普及により、アカウントベースのアクセス管理が重要になっている。端末もVDI化したり、Macが増えているため、もはや単なるVPN装置の導入だけでは、ビジネス面での付加価値が低いというわけだ。
さらに従来はリテラシの高かった一部の情シスや従業員によるリモートアクセスがメインだったが、昨今ではパートナーや顧客などに対してもアクセス管理が必要になってきているという。「昔は作業部屋でホストにアクセスしていたが、最近はこうした物理境界のセキュリティ対策だけでは済まなくなっている」(近藤氏)という状況だ。人と端末にやさしいアクセス管理、端末紛失時のデータ管理、マルウェア対策、パフォーマンス、監査データベースとの連携、詳細なアクセス管理レポートなど、さまざまな挑戦が必要になってくる。
セキュリティ分野を強化すべくあえて製品名を出さない方針に
これに対してF5ではさまざまなアクセス管理ソリューションを提供している。たとえば、F5のシングルサインオンではクラウド/オンプレでのシームレスなサインオンはもちろんのこと、SSLによるセキュアなアクセス、OSのバージョンやアンチウイルスの有無などを事前に調べる端末の検疫、多要素認証などの多彩なユーザー認証などを実現する。「地理情報を組み合わせることで、たとえば中国からアクセスする際は、多要素認証を必須にするといった細かいポリシーが設定できる」という(近藤氏)。異種混在環境でもアプリケーションゲートウェイとして動作するBIG-IPが統合管理でき、柔軟で詳細なアクセスログをとることもできる。
端末検疫による認証前のデバイスコントロール
エンドポイントのチェック設定例
さらにSAMLやリバースプロキシによるWebアプリケーションへのセキュアなアクセス管理も可能になっている。「コミュニケーション基盤としてOffice 365が登場したことで、顧客の反応ががらっと変わった。認証やアクセス管理への理解が一気に進んでいる」と近藤氏は語る。そして、SAMLに関しては、アクセスさせる側だけではなく、受け入れる側にも対応するため、SAML対応したいWebサービス側で導入されることも多いという。「SAMLをサービスに実装するのは正直とても大変。そのため、サービスプロバイダー側でSAMLをさばける製品やサービスを使う事例も増えている」と近藤氏は指摘する。
おもにオンプレミスで導入されることの多いF5の製品だが、単なる認証だけではなく、ユーザーのポリシーに従った詳細なアクセス制御まで可能な点が他社に比べた大きな差別化。クラウドや外部データベース、ディレクトリサービスと連携した「認証ハブ」としての役割がとれるのもポイントで、企業が求める多彩なアクセスに対応できる。
セキュリティソリューションを訴求すべく、売り方も変えた。従来、F5ではこうしたセキュリティソリューションをAPMのような製品名ありきで訴求していたが、昨今ではユーザーが求めるソリューションや得られるメリットなどを軸に販売する形態に方針を転換。今まで「F5=ADC」だった層についてもアピールできるようになり、ハイタッチ営業で効果を上げ始めている。今後はパートナーと組んだ営業に関しても、こうしたソリューション展開を進め、セキュリティ関連の売り上げを5倍に拡大するという2019年度までの目標に近づけていくという。
