ゼロトラストネットワークへの移行ステップ

従来の閉域網や境界型のセキュリティモデルからゼロトラストネットワークへの移行が、多くのIT部門において重要課題となっている。一方、クラウドシフトの加速に伴い、WAN回線の見直しやリモートアクセスでのVPNからの脱却が進んでいる。本稿では、SD-WANを活用したネットワークの再編、およびVPN廃止に向けた段階的アプローチについて述べる。

SD-WANの導入状況とゼロトラスト

これまで中堅から大企業の多くは、MPLS（Multi-Protocol Label Switching）や専用線／ダイレクトアクセス、ブロードバンド回線などの多種多様なネットワークを境界型セキュリティで守ってきた（ITR Review『SD-WANの重要性（前編）』R-218021）。しかし、業務アプリケーションのクラウドサービスへの移行が進み、コロナ禍を契機にリモートワークが浸透した現在、このような従来型モデルは限界との認識が広がっている。例えば、MPLSは、導入コストが高額で、構築に時間を要する。さらに、クラウドサービスとの親和性が低いため、多様なクラウドサービスを活用する現代のビジネス環境においては最適な選択とはならない。実際、多くの企業がMPLSの利用を縮小・廃止する方向で、柔軟で拡張性とコスト効率に優れたSD-WANへの移行を進めている。大企業ほどSD-WANの導入率は高く、「5,000人以上」の企業では29％が導入済みであり、導入予定の企業も26％に上り、今後導入企業は半数を超えると予想される（図1）。

図1．SD-WANの導入状況：従業員規模別

社内に閉じた境界型セキュリティモデルは、テレワークやクラウド活用が当たり前になった環境では十分なパフォーマンスと保護を提供できない。そこで注目されているのが、ゼロトラストモデルとSASE（Secure Access Service Edge）である（ITR Review『SASEの効率的な導入検討に向けて』R-224022）。ゼロトラストとは、社内・社外を区別なく全ての通信を信頼せず、常に検証する考え方である。一方のSASEは、このゼロトラストモデルに基づいてクラウド上でネットワークとセキュリティサービスを提供するアーキテクチャ、またはその一体型ソリューションである。SASEは、SWG（Secure Web Gateway）やCASB（Cloud Access Security Broker）など複数の製品を組み合わせて実現するベンダーと、SD-WANを含む単一のソリューションとして提供するベンダーが存在し、その提供形態は一様ではない。単一のソリューションか複数製品の組み合わせのどちらであっても、多様なネットワークを介した柔軟かつ安全なアプリケーションへのアクセスをコスト効率良く実現することは、クラウド時代のネットワークセキュリティの重要テーマとなっている。