ジュニパーネットワークス セキュリティ・ビジネス&ストラテジー担当副社長 サマンサ・マドリード
これまでも、分散化する労働力を迅速かつ費用対効果の高い方法でサポートしたいという強いニーズがありました。しかし、今日ほどそれが重要になったことはないでしょう。リモートワーカーが急増し、ニューノーマルという新しい働き方が浸透してきたことは疑いようもなく、大規模で人々が集まるオフィスから、離れた場所に従業員を移行させることで、企業は安全に仕事ができる環境を整備しています。
リモートで働くすべての従業員は、信頼性の高いネットワーク接続が使えること、強固な情報セキュリティでデバイスやデータが保護されることを要望しています。また、リモートワーカーの増加に伴い、社外から従来のオンプレミスや組織的に保護されたリソースにアクセスできない、トラブル解決や管理を担うITスタッフが物理的に近くにいないなど、従業員にとってネットワーク環境はより複雑になっています。
同時に、企業はクラウドに配備されたアプリケーションに高速かつ安全にアクセスできる最適の方法を探しています。集中型のデータセンターからクラウド上のSaaSへの移行は急速に進んでいますが、それにあわせてトラフィックのルーティングや解析、セキュリティ対策も変える必要があります。
2019年、ガートナーはこうした動きに対処するフレームワークとして「セキュアアクセスサービスエッジ(SASE)」という新たなコンセプトを発表しました。以下は、その主要な原則です。
- クラウドにホスティングされたアーキテクチャ:これにより、サービスをオンデマンドかつ大規模に容易に展開可能
- アイデンティティ主導型のポリシー:ネットワークアクセスとセキュリティは個々のユーザーの要件に基づいてカスタマイズ可能
- ローカライズされたポリシーの検査/実装:アプリケーションとサービスは限りなくユーザーの近くで配信し、レイテンシを最小化
SASEは「ハイプ(誇張)」の段階から実現に移行する途中にあり、ジュニパーをはじめとする多くのベンダーがこの重要なアーキテクチャの移行に向けた基盤を整備しています。どのようにSASEを実現し、なぜジュニパーが台頭するSASE分野をリードできる独自の地位にあるのかについて、以下に述べます。
クラウドファーストのメンタリティ
ジュニパーは、次世代クラウドに、容易にプログラム可能なオープンAPIだけでなく、拡張性に優れ強固で俊敏なソリューションを取り込むべく長年にわたり推進してきました。実際、ジュニパーはその分野で高い評価を得ています。受賞実績のある「ジュニパー SRXシリーズファイアウォール」などのCPEデバイスのゼロタッチプロビジョニング(ZTP)やセキュリティ、ネットワーキング、アプリケーションポリシーのリモートコンフィギュレーションおよびモニタリングなど、時間と場所を選ばずSASEソリューションの運用を可能にしています。これは、業界がこれまでのSD-WAN環境から、リアルタイムに自動化されたインサイトを活用するAIドリブンソリューションの新時代に移行するなか、クライアントからクラウドまで一貫したユーザーエクスペリエンスを最適化する上で、特に重要になっています。LAN、WAN、セキュリティ要素をカバーするジュニパーの強力な機能と統合されたAIエンジンを組み合わせることで、ジュニパーはSASEへの移行を促進する役割を担います。
クラウドではワークロードは頻繁に追加、移動、変更され、非常にダイナミックかつ弾力的です。そのため、SASEポリシーにおいては、ワークロードの移動とともにそのインスタンス化やトラックポリシーを追跡する必要があり、最適なネットワークパフォーマンスの提供と継続的なセキュリティコンプライアンスの確保が難しくなる可能性があります。ジュニパーは仮想化とコンテナ化された「SRX」(vSRX/cSRX)によって、この問題に対処します。SRXは必要に応じて容易に導入でき、変化するワークロードのニーズに適応したダイナミックなネットワークアクセスとセキュリティポリシーを構成できます。
ユーザーエクスペリエンスへのフォーカス
SASE環境におけるネットワークアクセスにおいて、ユーザーエクスペリエンスに影響を与える3つの要素が挙げられます。
- 可用性:WANリンクは作動しているか、ダウンしているか
- 品質:パケットロス、混雑、あるいはその他のネットワークとアプリケーションのパラメータがトラフィック送信に悪影響を与えていないか
- 容量:トラフィックの要件をサポートできる十分な帯域幅(単一のリンクまたは複数のリンクを介して)があるか
従来型のSD-WANソリューションは、ユーザーエクスペリエンスを最適化するためネットワークとアプリケーションの状態をチェックしているものの、ユーザーエクスペリエンスを可視化するという要素が欠けています。残念なことに「up(通信している)」は「good(ユーザーが使いやすい)」と同じではありません。言い換えれば、トラフィックが正常にWANリンクを流れていても、ユーザーが良好にZoomを使用できているとは限らないのです。また、IT管理者はWANを変更した(つまり、あるアクティブな接続から別の接続への切り替えた)ことで、ユーザーエクスペリエンスが向上したか、あるいは低下したか判断できるません。これは従来からあるネットワーク上の問題です。フィードバックループが存在しないので、IT管理者はカスタマイズ可能なWANのSLE(Service Level Experience)を設定・モニターし、自動化された調整を実施することで、ユーザーエクスペリエンスを向上させることしかできません。
ジュニパーは、LAN、WLAN、WANにわたってAIドリブンによる自動化、インサイト、アクションを実施、エンド・ツー・エンドなユーザーエクスペリエンスを最適化します。これには、カスタマイズされたSLE(Service Level Expectation)や迅速な障害の分離と解決を可能にするLANとWANにおけるイベントの相関分析、障害予測可能なAIによるサポート、仮想ネットワークアシスタント「Marvis」に推奨されるアクションが含まれ、それにより自律的なネットワークの運用が実現します。
その名が示す通り、SASEのユーザーエクスペリエンスにはセキュリティが必要不可欠です。ネットワークとセキュリティの要素を単一のプラットフォームに統合し、お客様は幅広い可視化とコントロールを可能にするよう、「アプリケーションセキュリティ」、「高度な脅威対策」、「侵入不正検知と防御」、「データ損失防止」などの高度なセキュリティサービスを、シームレスかつ費用対効果の高い方法で活用できます。これらすべてに、追加のハードウェアやソフトウェアは不要です。例えば「Juniper Advanced Threat Prevention(ATP)は、高度なマルウェア防御を可能にするクラウドベースのサービスです。Juniper ATPを活用することで、SASEのお客様は、未知のマルウェアによるゼロデイ攻撃や標的型攻撃を検知、防御できます。また、既知および未知の脅威に対しては、既存のセキュリティコントロールをアップデートすることでそのリスクを軽減し、インシデントレスポンスの時間と費用を削減、全体として高度な脅威の侵入を阻止できます。
ジュニパーコネクテッドセキュリティ
ジュニパーは、セキュリティとネットワークを統合ソリューションとして集約することで、SASEにおける接続のあらゆるポイントをチェック、自動化、保護できる強力な機能を提供します。「ジュニパー コネクテッドセキュリティのコンセプトは、ネットワーク上で脅威を認識し、クライアントからクラウドまでネットワーク全体の接続ポイントでポリシーを検知、実装できます。同時に、アナリティクスと脅威インテリジェンスによって脅威の把握とそれに対応する機能を提供し、ユーザーやデバイスからもたらされる危険な振る舞いを防ぎます。またファイアウォールと連携させることで、IT部門はリスクへの対応を自動化することができます。対応アクションは、ファイアウォールポリシー、スイッチポート、AP登録MAC、エンドポイントエージェント(制御コマンドまたは感染ホストフィードを介して)から実行できます。
Juniper ATPでは、サポートされているデバイスであれば様々に組み合わせ、そこからルールを変更したり、ネットワーク上のあらゆる接続ポイントにおけるリアルタイムの脅威に自動的に対応できます。この機能は「SecIntel (Security Intelligence)」と呼ばれ、ジュニパーのコネクテッドセキュリティ戦略の中心となる要素です。「SecIntel」は各所から収集されかつ統合された脅威インテリジェンスを「ジュニパー SRXシリーズファイアウォール」、「MX シリーズルーター」、「EXシリーズ」、「QFXシリーズスイッチ」、「Mist AP」に提供します。また、ユーザーへの脅威リスクを最小限に抑えるために、サードパーティのネットワークデバイスにも提供します。
「中心がしっかりしていれば、後は重要でない(“When the bones are good, the rest doesn’t matter.”)」
SASEに関していえば、上記の引用(出典は歌手、マレン・モリスの作品)は、とりわけジュニパーによく当てはまると思います。当社は、強固なクラウドサービス、よく考えられたユーザーエクスペリエンスへのフォーカス、エンド・ツー・エンドのトラフィック検査とリアルタイムのポリシー実装のためのツールセットなど、SASEソリューションの提供に必要な要素を備えています。SASE分野が進化を続ける中、ジュニパーは他社の追随を許さない新たな機能、パートナーシップ、ユースケースを備えた要素を足掛かりとし、お客様にネットワークアクセスとセキュリティの真の価値を提供します。
