HPE（ヒューレット・パッカード エンタープライズ）がSilver Peak Systemsの買収を完了し、LANスイッチやWi-Fi、セキュリティ等を手掛けるArubaとの統合を2020年9月に発表してから半年余り。両社の技術を組み合わせた統合ソリューションがこの4月に発表された。

フォーカスするのは、旧来型のネットワーク／セキュリティから、ゼロトラストモデルへの移行だ。Silver PeakのSD-WANを活用し、その達成手段として注目が集まる「SASE（Secure Access Service Edge）」を実現する。エッジにすべてが集まる

様々なネットワークとセキュリティ機能をクラウドから包括的にエッジに提供するのが、SASEのコンセプトだ。

エッジとは、拠点に設置されるCPE（宅内通信装置）や、本社で各拠点の通信を束ねるゲートウェイ装置を指す。Arubaはもともとこのエッジの多機能化・高付加価値化を軸にソリューション開発を進めてきており、アクセス制御やUTM、LANとWANの統合管理、AIによって通信品質の安定化や運用省力化を実現する機能等をエッジに実装し、2020年上期にはこれをサービス型で提供する「Arubaエッジ・サービス・プラットフォーム（ESP）」を発表。今回、これにSilver PeakのSD-WANを統合した。同社の創業者でAruba WANビジネス担当副社長を務めるデビッド・ヒューズ氏はエッジの重要性について、「すべてのトラフィックに介入するところであり、IoTデバイスのトラフィックもここで捕まえられる。クラウドへ向かう通信にポリシーを適用したり、トラフィックを制御することも可能だ」と話す。

Silver Peak創業者 Aruba WANビジネス担当副社長のデビッド・ヒューズ氏

統合の効果大きく2つある。1つめは、IoTデバイスの安全かつ安定的な運用にフォーカスした「ゼロトラスト・ダイナミック・セグメンテーション」だ（図表1）。

図表1　ネットワークセグメンテーションの粒度

IoTデバイスの通信には人の操作が介在せず、リソースが貧弱なため高度なセキュリティ機能も実装できない。エージェントをインストールしてマルウェア感染を防ぐことも、感染源の端末からの拡大や機密情報へのアクセスを妨げるセグメンテーションの仕組みを組み込むことも、PCやスマホ等と比べて難しい。

これを解決するため、Aruba ESPのロール（役割）ベース・アクセス制御機能「ClearPass」を活用する。デバイス／アプリの種別ごとにトラフィックを識別・制御する機能だ。「誰がどこから何をしようとしているか」というコンテキストに基づいた動的なアクセス制御が可能で、この制御を「ArubaはこれまでLANでやっていたが、Silver Peakとの統合によってWANに拡張できる」とAruba事業統括本部長の田中泰光氏は説明する。

デバイスからクラウドまでエンドツーエンドのセグメンテーションが実現できるのに加えて、「非常に細かい粒度のセグメンテーションが可能だ」（ヒューズ氏）。例えば、監視カメラやPOS端末の接続先をその処理システムに限定すれば、万一マルウェアに感染しても拡散を防げる。

この仕組みはIoTデバイスのみならず人にも有用だ。人事部や経理、IT管理といった役割ごとに接続先を限定できる。また、QoS制御等にも活かせる。エッジからクラウドまで一貫して重要なアプリの通信品質を高めるといった運用が可能になる。