ともに“エッジ生まれ”の両者、顧客DXを支援していく方針を強調

ゼロトラスト市場でArubaとSilver Peakの統合が「ユニーク」な理由

2021年05月06日 07時00分更新

文● 高橋睦美　編集● 大塚／TECH.ASCII.jp

　日本ヒューレット・パッカード（HPE）は2021年4月23日、年次イベント「Atmosphere '21」での発表内容を踏まえ、米HPEの傘下にあるArubaと、同社が2020年に買収したSD-WANベンダー、Silver Peakの統合戦略に関する説明会を開催した。

　米ArubaのWAN事業担当SVPで、Silver Peak社の創業者兼CEOでもあるデヴィッド・ヒューズ氏は、「エッジ」という軸を中心にネットワークとセキュリティのトランスフォーメーションを実現し、顧客のデジタルトランスフォーメーション（DX）を支援していく方針を強調した。

米ArubaのWAN事業担当シニア・バイス・プレジデント・Silver Peak社の創業者兼CEOのデヴィッド・ヒューズ（David Hughes）氏、日本ヒューレット・パッカード執行役員・Aruba事業統括本部長の田中泰光氏

IoTデバイスのセキュリティは「蟻の一穴」、DX推進の妨げに

　Arubaは、無線LAN製品群に始まり、ポリシーに基づいてネットワークアクセスの制御を行う「ClearPass Policy Manager」（ClearPass）やSD-LANなどのソリューションを提供してきた。また2020年には、こうしたネットワークやセキュリティ機能を統合的に提供するだけでなく、AIなどを駆使してデータを解析し、最適化する分析機能も含めて統合的に提供する「Aruba Edge Service Platform」（Aruba ESP）を発表している。

　今回の発表ではこのAruba ESPに、Silver Peakが「自動運転型のWAN」というコンセプトで提供してきたSD-WANソリューション「Edge Connect」を統合して提供することを明らかにした。

　統合の背景には、2020年のコロナ禍以降特に加速した2つの潮流がある。1つは、それ以前から徐々に進んでいた「人々がどこからでも働ける環境」を実現すること。もう1つは、多数のIoTデバイスを駆使し、そこから得られたデータを活用しての顧客のDXを支援することだ。

　ヒューズ氏は個別インタビューの中で、「DX推進には基本的なネットワーク接続、それも、没入的な体験を可能にするより広帯域な接続が必要だ。だが何より大きな課題は、IoTやそのインフラのセキュリティだ。ほんの一部のデバイスが侵害されたとしても、それが横展開し、企業全体に深刻な影響が与える恐れがあるが、何百、何千というIoTデバイスの安全を保つのは不可能に近い」と指摘した。

　小さなIoTデバイスの侵害が企業に深刻なダメージを与える――まるでSFのような話にも聞こえるが、決して絵空事ではない。ヒューズ氏は、2014年に発生した小売業の米Targetにおける情報漏洩事件を例に挙げた。この事件では、空調機器システムのアウトソース先への侵害が足がかりとなってTarget社への侵入が発生し、数千万件ものクレジットカード情報を含む個人情報が漏洩してしまった。

　そして、DXを視野にIoTデバイスや組み込み機器の活用を検討する企業が増えている今、こうしたリスクはますます増大しているとヒューズ氏は述べる。

　「毎週のように多数の脆弱性が指摘されている汎用的なOSが、ビル制御システムや医療機器、デジタルカメラなどさまざまなデバイスで使われており、大きな脅威にさらされている。メディアなど公になった情報漏洩事件は氷山の一角に過ぎず、実態は非常に深刻だ」（同氏）

　残念ながら、こうしたIoTデバイスを保護するうえでも、また柔軟な働き方を実現していくというもう1つの命題を果たすうえでも、「これまで企業が採用してきた境界防御の力は衰える一方で、有効性は薄れつつある」（ヒューズ氏）

　代わりにArubaとSilver Peakが提示するのが、「ゼロトラスト」というアプローチだ。「ClearPassとEdge Connectを統合し、信頼されたネットワーク上にあるあらゆるデバイスにマイクロセグメンテーションを適用することによって、データセンターや企業・拠点の内側だけでなく、エッジからクラウドに至るまでをセキュアに保つことができる」（ヒューズ氏）

百花斉放のゼロトラスト市場、「エッジ」を押さえていることが差別化に

　ゼロトラストやその一部をなすSASEといったコンセプトについては、この2、3ヶ月というもの言及しないITベンダーがないほど、戦略発表が相次いでいる。

　その中において、「データセンター生まれのセキュリティソリューションや、クラウド生まれのセキュリティソリューションは多々あり、両者とも重要な役割を担っている。だが、ArubaとSilver Peakは『エッジで誕生した』という点でユニークだ」とヒューズ氏は述べた。

　さらに、「ユーザーがアプリにアクセスする時も、デバイスがクラウドにアクセスする時も、エッジはすべてのトラフィックに介入し、ポリシーに基づいてコントロールできる」と説明し、エッジはネットワークのトランスフォーメーション、セキュリティのトランスフォーメーション、どちらにおいても中心的な軸になると述べた。

　それを具現化するのが、Aruba ESPやClearPassとEdge Connectの統合だ。

　最近では“場所にとらわれない働き方”をセキュアに実現するため、これまでのようにデータセンターにすべてのトラフィックを集約するやり方から、ダイレクトにSaaSにアクセスするインターネットブレイクアウトを採用する企業が増えている。

　Arubaも同様のアプローチを支援していくが、その際、「ダイレクトにアクセスを許可するか、クラウドセキュリティサービスを間に挟むか、あるいは従来通りにいったんデータセンターに集約するか」をエッジ側できめ細かく制御できることが特徴だ。「この『アダプティブ・インターネット・ブレイクアウト』と呼ぶ手法によって、顧客それぞれの状況に合わせて、データをどう取り扱うかをコントロールし、自身のペースでクラウド移行を進めることができる」とヒューズ氏は述べた。

　また、ヒューズ氏がたびたび指摘したIoTデバイスの保護については、ClearPassとEdge Connectを組み合わせてロールベースのポリシーを適用し、きめ細かな制御を行ってセキュリティを担保する。「監視カメラはこの制御サーバとのみ通信する」「POST端末はPOS用システムのみと通信する」といった具合にルールを設定することで、仮にデバイスが攻撃を受けて侵害されても、ネットワークのほかのシステムに影響は及ばない仕組みだ。

　「従来型のVLANによるセグメンテーションには拡張性がなく、一度決めたポリシーの変更には手間がかかっていた。だがClearPassとEdge Connectの組み合わせによって、デバイスや人の目的といったコンテキストに沿ってアクセス先を制御できる。それも、デバイスの種類ごとなど、非常に細かい粒度でセグメント分けができることが特徴だ」（ヒューズ氏）。同社はこれを「ゼロトラスト・ダイナミック・セグメンテーション」と表現している。

　ここでもう一つポイントになるのが、データ分析に基づく自動化だ。

　Aruba ESPでは、「接続」「保護」「分析と対応」という3つのレイヤーを提供している。このうち「分析と対応」のレイヤーでは、さまざまなデバイスからデータを取り込み、AIを活用してリアルタイムに分析を行うことで、何千台ものデバイスが接続する環境でネットワークを最適化したり、逆にデバイスの振る舞いを分析して通常とは異なる異常な事態が起きていることを検知する。データを元にすばやく洞察やコンテキストを得て、それに応じた対応を自動的に取れることも特徴だとした。

　日本ヒューレット・パッカード執行役員でAruba事業統括本部長を務める田中泰光氏は、「誰がどこと通信しているか」「何が起きているか」を一元的に把握したうえでリアルタイムに制御できることがArubaならではの特徴だと付け加えた。しかもそれを自動化することで、IT担当者の負荷を増やすことなく、設定ミスを防ぎながら運用できるという。

　さらに同社は、Aruba EdgeConnectに、Arubaが提供するIDS/IPS機能を統合し、共通の脅威フィードを活用できるようにしたことも発表した。これにより、拠点向けの統合セキュリティがさらに強化されるという。

組織やプログラムの統合を進め、エコパートナーとの連携強化も

　一連のArubaとSilver Peakの統合戦略と同時に強調したのが、パートナー戦略だ。田中氏は「われわれは、このトランスフォーメーションは一社だけでできることではないと考えており、エコシステムを重視している」と述べた。具体的には、ZScalerやNetskope、Check Point、Palo AltoといったパートナーのソリューションとAPI経由で連携することで、顧客それぞれの環境に適したソリューションを提供していくとした。