SPECIAL TOPIC「A10 Connect 2022レポート」ゼロトラストの「現実問題」を解く　富士通、SCSK、A10が出した答えとは？

2023.01.17

ページタイトルとURLがコピーされました

ゼロトラストへの移行を、あらゆる企業が強く迫られている。だが、いざ実際にゼロトラストを導入しようとなると、様々な「現実問題」が立ちはだかる。コストや移行の容易さも含めて、本当に現実的なゼロトラストの「選択肢」は何か？　オンラインイベント「A10 Connect 2022」で、富士通、SCSK、A10ネットワークスの3社が答えを出した。

主要なSASE/ZTNAを比較しての結論は？

「テレワークやDXに、クラウドサービスの導入は必須」。こう指摘したうえで、「そのため、SASEやゼロトラストの原則に基づいたネットワークアクセスであるZTNAの需要が高まっている」とクラウドサービスをめぐる現状について語ったのはSCSKの佐々木凪氏だ。

講演「A10 Cloud Access Controllerと他社クラウドサービスとの比較」に登壇する SCSK ITプロダクト＆サービス事業本部ネットワークプロダクト第二部の佐々木凪氏

講演「A10 Cloud Access Controllerと他社クラウドサービスとの比較」に登壇する
SCSK ITプロダクト＆サービス事業本部ネットワークプロダクト第二部の佐々木凪氏

クラウド化の進展やテレワークの普及などに伴い、これまでの境界型防御では、企業の情報資産を守り切れなくなった。そこで代わりに登場したのが、社内からのアクセスも含めて何も信用しない「ゼロトラスト」の考え方であり、このゼロトラストの実現手段のひとつとしてSASEがある。

Secure Access Service Edgeの略であるSASEは、ネットワークおよびセキュリティの機能をクラウド上で一元的に提供するもの。社内外にあるデータと、社内外にいるユーザーを包括的に守ることを可能にする。

また、SASEの構成要素の1つであるZTNAはZero Trust Network Accessの略で、佐々木氏が解説した通り、ゼロトラストの原則に則ってネットワークアクセスを制御するものだ。従来型のVPNでは、一度認証を通るとすべてのリソースにアクセスできた。これに対し、ZTNAでは、一度認証したユーザーも信用せず、アプリケーションやデータへのアクセス毎に制御を行う。

1日も早いゼロトラストへの移行が迫られるなか、SASEやZTNAをうたうソリューションが数多く登場し、あとは着手するだけの状況と言えなくもない。しかし、いざ検討を開始すると、まず抱くのが「どう選んでいいのか分からない」という悩みである。

SCSKでは5つの主要SASEソリューションを取り扱っている。同社の岩丸泰明氏は、その経験をもとに、各社のSASEの比較を行った。

主要なSASEソリューションを比較する
SCSK ITプロダクト＆サービス事業本部ネットワークプロダクト第二部の岩丸泰明氏

岩丸氏が最初に注目を促したのは、その「生い立ち」である。SD-WANから発展したSASEもあれば、ファイアウォールから発展したSASEもあり、その生い立ちによって得意とする機能も異なっている。

例えば、ロードバランサーから発展した「A10 Cloud Access Controller」の場合、セキュアWebゲートウェイ（SWG）とZTNAの機能を得意としている。

選定にあたっては、機能だけではなく、導入の容易さも重要だ。多くのSASEは、端末へのソフトウェアインストールや拠点へのVPNルーターの設置が必要となっている。このため、入念に計画を立てたうえで、段階的に移行していく必要がある。

一方、A10 Cloud Access Controllerは「プロキシの接続先を変更するだけで利用可能」なのが特徴だ。この導入の容易さに関しては、佐々木氏が「オンプレミスのプロキシ機能を短期間で手軽にクラウドへ移行したいというニーズをお持ちの方にもA10 Cloud Access Controllerをお勧めしたい」とも付け加えた。

さらにコスト面についても、「低～中の価格で提供できる。また、クライアント数に応じた価格体系なので、トラフィックが増えてもコストは上がらない」と岩丸氏は評価。

「1000ユーザーほどの国内拠点中心の中小企業には、他のSASEはオーバースペック。A10 Cloud Access Controllerが最適だ」と結論付けた。

主要SASEソリューションのコストと移行難易度を比較

A10 Cloud Access Controllerとは？

A10 Cloud Access Controllerは、多くの企業・官公庁に採用されているA10ネットワークスのクラウドアクセスプロキシのクラウドサービス版である。

2022年10月に国内提供が始まったばかりの新サービスで、「快適で安全なクラウドサービス活用のためのサービス」とA10ネットワークスの石塚健太郎氏は説明した。

A10 Cloud Access Controllerについて解説する
A10ネットワークスビジネス開発本部ソリューションアーキテクトの石塚健太郎氏

A10 Cloud Access Controllerは、フォワードプロキシとリバースプロキシの2つの機能を備えている。フォワードプロキシがWebブラウザ（クライアント）の「代理人」であるのに対し、リバースプロキシはWebアプリケーションの「代理人」である。

まずフォワードプロキシとしては、セキュアWebゲートウェイとトラフィック制御のハブの2つのユースケースで主に活躍するという。

セキュアWebゲートウェイ機能に関しては、ユーザーがインターネットやクラウドにアクセスする際、Azure ADなどの認証基盤と連携して認証・認可を行ったうえで、URLフィルタリング等を適用できる。

また、企業アカウント以外の個人アカウント等からのMicrosoft 365などへのアクセスを制限する、いわゆるテナント制御（契約単位に対するアクセス制御）も可能だ。

2つめのトラフィック制御のハブとは、宛先に応じてトラフィックを振り分けるハブの役割を果たすことだ。例えば、Microsoft 365やZoomといった信頼が置けるSaaS宛てのトラフィックについては直接SaaSへ振り分け、その他のインターネット通信については上位のSASEやプロキシをさらに通すなどの制御が行える。つまり、「セキュリティ機能のバイパス」（石塚氏）である。

インターネットトラフィックが激増し、プロキシやファイアウォールの処理能力を大きく超え、クラウド利用のボトルネックとなってしまっている企業は少なくない。その解決策として、A10ネットワークスの「A10 Thunderシリーズ」を導入し、オンプレミスでトラフィック制御による負荷軽減を行っている企業が増えているが、クラウド上で同様の処理が可能になったわけだ。

「通常のSASEでは、こうした細かなトラフィック制御は実現できない」

続いて、リバースプロキシとしてのA10 Cloud Access Controllerの機能を見ていこう。リバースプロキシについても、石塚氏は2つのユースケースを紹介した。

1つめは、ZTNAとしての活用だ。Azure ADなどの認証基盤と連携したSAML認証、ソース（送信元）IPアドレスによるアクセス制御やログ取得、そしてゼロトラストに基づくアクセスなどを実現できる。通信経路の暗号化もA10 Cloud Access Controllerで行う。

2つめは、先ほども出てきたトラフィック制御のハブとしてのユースケースだ。ただし今度は、Webアプリケーション側のトラフィック制御。マルチクラウド展開するアプリケーションの負荷分散だったり、ディザスタリカバリ（DR）などの目的に利用できる。「通常のSASEでは、こうした細かなトラフィック制御は実現できない」（石塚氏）

SASEのコストを「30～40％削減」

A10 Cloud Access Controllerは前述の通り、オンプレミスで多くの実績があるクラウドアクセスプロキシのクラウドサービス版だ。

オンプレミス版とクラウド版の併用など、様々な組み合わせに対応できるのもA10ネットワークスのソリューションの特色だが、富士通の許昌平氏が提案したのは、パロアルトネットワークスのSASEソリューション「Prisma Access」との連携である。

許氏は、これによりPrisma Accessのコストを「30～40％削減できる場合もある」と説明した。

講演「A10によるコスト最適化　～Prisma Access連携ソリューション～」で、
A10 ThunderとPrisma Accessの連携によるコスト削減効果を説明する
富士通アライアンスビジネス事業部の許昌平氏。
A10 Thunderの導入コストを含めても、コストを30～40％削減できる場合もあるという

SCSKによる比較にも登場したPrisma Accessは、次世代ファイアウォールから発展した生い立ちを持ち、SASE機能の多くをカバーしているなどの特徴がある。「ゼロトラストへの関心が高まるなか、Prisma Accessへの注目は急上昇している。特筆すべきは、拠点間通信にも対応したSASEであることだ」と許氏は語った。

ただ、「案件化まではすぐに行くが、導入決定にはなかなか至らない」という。その理由は導入コストにある。

そもそも安くないうえ、Prisma Accessの月額コストは処理するトラフィック総量によって変わる。このため、増加し続けるトラフィックを前に、多くの企業が躊躇してしまうのだという。

そこで富士通が今後力を入れていくのが、A10ネットワークスのクラウドアクセスプロキシとの組み合わせだ。先に紹介したトラフィック制御のハブとしての機能を用いて、Microsoft 365などの信頼できるSaaSのトラフィックは、そのままインターネットへオフロード。高いセキュリティ機能を通す必要があるトラフィックのみを、A10 ThunderでPrisma Accessへ振り分ける。

「ゼロトラストは導入したいが、コストが高いと二の足を踏んでいる方の解決策となる」と許氏は訴えた。