フォーティネットのエキスパートに聞く今SASEが求められる理由

リモートワークもオフィス回帰も いろいろな働き方、SASEなら受け止められる

文●大谷イビサ 編集●ASCII 写真●曽根田元

提供: フォーティネットジャパン

  • この記事をはてなブックマークに追加
  • 本文印刷

 フォーティネットのエキスパートたちに、セキュリティ動向や製品についてディープに語ってもらう本連載。初回はコンサルティングSEの菊池唯人氏にインタビュー。なぜ今FortiSASEが必要なのか? なぜベンダー統合が必要なのか? ユーザーの課題や製品の機能を踏まえて解説してもらった。

フォーティネットジャパン コンサルティングSE本部 コンサルティングSE 菊池唯人氏

入社のきっかけは「製品の使いやすさ」 今も自社製品を使い倒す

 今回話を聞いた菊池唯人氏は、フォーティネットジャパンの社内の「マルチプレイヤー」という立場だ。技術や市場についてわかりやすく解説するエバンジェリストに加え、テクニカルな解説や課題解決を必要とするプリセールス、本社との技術的なブリッジ、需要喚起するような提案まで幅広く手がけている。カバー領域としては、15年近いネットワーク畑の経験を元に、SD-WANとSASEなどインフラセキュリティに強みを持つ。

 菊池氏は、国内主要ISPコアネットワーク開発に関わったインターネット基盤技術のスペシャリスト。また、イギリスで企業のSD-WAN技術導入やセキュリティ強化に従事した経験、国際的な環境・動向への理解もある。フォーティネットに入社したきっかけは、製品の使いやすさに感銘を覚えたからだという。

 社内でも特に製品を使い倒しているため、「担当製品については社内で一番詳しいかも」(菊池氏)とのこと。一方で、「ユーザー側だった経験を活かし、自社製品に詳しいだけではなく、お客さまにどう使ってもらえばよいかの目線をつねに持っていようと心がけています」とのことで、ユーザーからの声もつねにヒアリングしている。

コロナ禍で入れたリモートアクセスソリューション、そのままでいいのか?

 そんな菊池氏から見ると、コロナ禍以降のワークスタイルとネットワークはちょうど大きな区切りを迎えているという。「2019年末にコロナ禍が起こって、どの会社も慌ててリモートアクセスソリューションを導入しましたが。そこから4~5年が経ち、減価償却の関係もあって、入れ替えを検討されるお客さまも多い。そこで出てくるのが、『とりあえず入れたリモートアクセスソリューション、そのままでよいのか』という疑問です」(菊池氏)と指摘する。

 たとえば、コロナ渦のリモートアクセスに関しては、とりあえず誰でも利用できるよう社員全員用のアカウントを用意していたが、今もそのままでよいのか? リモートワーク用と社内ネットワークで異なる運用になっているが、これは統合すべきなのか? セキュリティ面で穴があるのではないか? デバイスの利用ルールやID管理はこのままでよいのか。

 コロナ禍が明けて、オフィス回帰の動きは出ているが、リモートワーク自体は日本企業でもかなり根付いている。「ハイブリッドワークスタイル」と言えばかっこいいが、どんな働き方にもITとして対応しなければならない意味では、情報システム部として重い命題に見える。「オフィス回帰にともなって、お客さまも棚卸しているイメージ。全体を俯瞰して、ネットワークやセキュリティはどうあるべきかを議論しているように見えます」(菊池氏)。

 一方で、サイバー攻撃は相変わらず、激しく、企業のシステムを襲い続けている。フォーティネットの調査では、日本への攻撃件数はアジアで5番目に多く、社会インフラへの攻撃やAIを駆使した攻撃自体の高度化も顕著になっている。「守る側と攻撃する側のいたちごっこはずっと続いています。だから、昔からセキュリティに取り組んでいるベンダーじゃないと、もはや対処は難しいように思えます」と菊池氏は語る。

 「2025年の崖」で謳われている情報システム部の人手不足も大きな課題だ。単に人手が足りない以外にも、担当が40~50代と高齢化してしまい、新しい技術や製品にチャレンジする積極性がなくなり、外部のマネージドセキュリティサービスに丸投げしてしまうという情報システム部も多いという。

SD-WANもSSEも統合管理できるFortiSASE 管理者にとってなにがうれしい?

 コロナ禍以降に必要になっている柔軟な働き方、クラウド化するシステム、ますます脅威が高まるサイバー攻撃など、これら多くの課題を解消するセキュリティサービスがFortiSASE(Secure Access Service Edge、サッシー)だ。

 SASEが登場する以前、オンプレミスを前提としていた多くのセキュリティ製品は、クラウドへの対応を迫られた。これはユーザーシステムのクラウド化に加え、製品の提供形態としてのクラウド化も意味する。従来のオンプレミス型プロキシで提供されていたSecure Web Gatewayは、インターネット上のWebサイトを安全に利用するための技術であるが、2015年頃に登場したSecure Service Edgeはクラウドネイティブに進化させたものであり、Webだけでなく、クラウドやリモートアクセスなど、より幅広い利用シナリオに対応するよう拡張された。

 その後、コロナ渦におけるリモートアクセスの拡大に伴い、オフィスネットワークを最適化するSD-WANとSecure Service Edgeが組み合わさり、生まれたのがSASE(Secure Access Service Edge)になる。SD-WANでは、アプリケーションの利用状況をモニターし、最適なインターネット回線を選択できる。フォーティネットが提供しているFortiSASEでは、SD-WANとSSEを統合し、インターネット、オフィスネットワーク、SaaSへのセキュアなアクセスを実現する。

FortiSASEのアーキテクチャ

 クラウドデリバリー型のFortiSASEの場合、まずはクラウド側でアカウントやポリシーをセットアップし、そこに管理対象の端末を登録するという流れになる。端末にはクライアントエージェントを導入することで、SSEとSD-WANで提供されるセキュリティ保護、アクセス管理、アプリケーションの最適化がオンになる。

 FortiSASEでは、すべてのセキュア通信がクラウド側のファイアウォールで保護されるだけでなく、端末側のポリシーの適用状況も一括で管理できる。情シスから見たメリットは、管理性。「リモートワーカー向けのSSEと企業のSD-WAN。今までは別物だったのですが、SASEでは両者を1つのプラットフォームに統合して管理できます」と菊池氏は語る。

 また、セキュリティポリシーに関しても、今まではオフィスとテレワークでの別々のポリシーだったが、SASEではすべてのユーザーのポリシーを統合できる。「海外のCISOがSASEに注目しているのは、全従業員が働く場所がどこでも同じポリシーでアクセスできるからというメリットが大きいです。生産性の向上にもつながるため、ITを戦略的に利用したいCIOにも受けがいいんです」と菊池氏は語る。

SASEは従業員に「使いやすさ」を提供する

 SASEは情シスではなく、システムを利用する従業員に大きなメリットをもたらす。

 ハイブリッド環境の悩みは、今まではアクセスするサーバーやクラウドにあわせて接続方法を変えなければならないこと。VPNを張らないとアクセスできないサーバー、オフィスネットワークからしかアクセスできないサーバーもあり、この場合はわざわざ会社に出社する必要があった。テレカンはVPNを張らないでインターネットブレイクアウトするとか、端末の種類によってアクセス方法が違っていたり、接続元と接続先が多彩となったことで、アクセス方法がかなり複雑になってしまったわけだ。

 では、SASEを導入したら、どうなるのか? 菊池氏は、「オフィスでも、家でも、モバイルでも、つねに同じ使い勝手になります」と説明する。SASEは、どこからでのアクセスでも、どのリソースに対するアクセスでも、同じような働き方、同じようなセキュリティを保証することを主眼に置いたプロダクト。「外でも、家でも、アクセス認証を必ず行なうゼロトラストネットワークに基づいているので、ユーザー視点だと、アプリケーションの使い方がどこでも同じというのがメリットです」(菊池氏)。

 アプリケーションの利用が快適になるのが大きなポイントだ。通常のVPNのセキュリティ処理はむしろパフォーマンスを劣化させるものだが、SD-WANではエンドツーエンドで通信が最適化される。「従業員の方がアプリケーションを使って遅いと感じることが少なくなります」(菊池氏)。

フォーティネット製品でユーザーのコントロールを取り戻す

 フォーティネット製品の大きな特徴は、エンドユーザーでも操作できるという点だ。日本では人手不足や技術への自信のなさから、外部のマネージドサービスを利用するケースが多いが、海外ではIT部門のエンジニアが自ら製品について勉強し、利用するのが一般的だ。

 その点、フォーティネット製品は、エンドユーザーが自ら利用するのを前提に使いやすいGUIも用意されており、一部は日本語化もされている。菊池氏は、「フォーティネット製品って、お客さまに実際に触れてもらうと、簡単で使いやすいと言ってもらえることが多い。私もその感動が大きくて、フォーティネットに入りました。今ではハイエンドで広く使われるFortiGateも、かつてはその使いやすさからスモールビジネスに爆発的にヒットした製品ですので、ITが苦手な人でも使いやすいGUIを意識しています」とアピールする。

 エンドユーザーの担当者が自ら製品を運用していくのは、セキュリティポリシーを最新に保っていくためにも重要になる。「セキュリティポリシーは、業務内容や利用条件にあわせて日々変わっていくもの。エンドユーザー自らがポリシーを更新できた方がよいはずです」(菊池氏)。

 こうしたエンドユーザーの操作をさらに支援するのが、ご存じ生成AIだ。フォーティネットの「FortiAI」では、セキュリティ初期設定からSQL文を用いたログの検出までを自然言語で操作できる。「一番通信量の多い端末を探したいとか、グラフ化したいと自然言語で指示すれば、それに応えてくれます。オペレーションでも生成AIが利用できるというわけです」(菊池氏)。

ポイントソリューションからの脱却 ベンダー統合の必要性

 そして、FortiSASEをはじめとするフォーティネット製品の最大のメリットは、複数のサービスがプラットフォームとして統合されており、包括的に管理できる点だ。

 ご存じの通り、セキュリティ製品は次々と現れる脅威に対して、それぞれの対処法が充てられてきた歴史を持つ。ファイアウォール、アンチウイルスからスタートし、IDS・IPS、アンチスパム、Webフィルタリング、Web Application Firewall、DDoS対策、DLPなど数多くのサービスが提供されてきた。そして、フォーティネットは、これらのサービスを統合し、高いパフォーマンスで利用できるようにしたNGFW(Next-Generation Firewall)という製品ジャンルのパイオニアである。

 FortiSASEも脅威ごとのポイントソリューションではなく、複数のサービスを一元管理できるプラットフォームとして構築されており、ベンダーの統合に拍車がかかりそうだ。「そのベンダーの製品がいくら優れていても、ベンダーごとに管理すると、どうしても負荷は大きくなります。『2025年の崖』で今後IT技術者やセキュリティエンジニアが不足することもあり、ベンダーコンソリデーション(ベンダーの統合)は重要になってくると思います」(菊池氏)と語る。