目次
こんにちは。社内SEのサトウです。
この度、弊社では SASE(Secure Access Service Edge)製品を新たに導入しました。
今回は、SASEの概要、導入にあたり重視したポイント、検証から導入までの流れをご紹介します。
SASEとは
SASE(Secure Access Service Edge)とは、ネットワークとセキュリティをクラウド上で統合したものです。
従来のように「VPNで社内ネットワークへ接続してから利用する」方式ではなく、
ユーザーがどこにいても安全にクラウド・社内リソースへアクセスできる点が大きな特徴です。
SASEが提供する代表的な機能には以下があります:
- SD-WAN
- 拠点間ルーティング
- SWG(Secure Web Gateway)
- FWaaS(Firewall as a Service)
- ZTNA(Zero Trust Network Access)
- DLP(Data Loss Prevention)
ただし、現在提供されているSASE製品すべてがこれら全機能を搭載しているわけではなく、
製品ごとに機能構成や強みが異なるのが実状です。
そのため、SASE導入の成否は「自社に必要な機能を備えた製品を見極められるか」が大きなポイントとなります。
導入にあたり定めた「3つの必須要件」
当社では、次の3つを“絶対条件”として掲げました。
- VPNの代替となるもの
VPNの継続には費用面で課題があり、SASEをその代替として期待しました。
そのうえで 導入前と比べて体感速度が大幅に低下しないことを最重視しました。
ユーザーが使用する際、いつでもどこでも導入前とかわらない環境を提供することは重要なポイントです。
- 精度の高いウェブフィルタリング
- URL単位でブロック・許可できるか
- カテゴリベースの制御の精度はどうか
セキュリティ運用の負荷を左右するため、細かく検証しました。
- 固定IPアドレスの取得
IP制限を利用している環境もあるため、固定IPの提供可否は必須でした。
追加コストはどれくらいなのかも重要な判断材料となりました。
検証で分かったこと
複数のSASE製品を比較した結果、特に以下が大きな分岐ポイントになりました。
・速度の違いは製品によって大きい
製品ごとに速度の差が非常に大きく、
検証中実際の業務に支障が出るレベルで遅くなる製品も存在しました。
複数の候補を実際に検証したのは正解だったと感じています。
・固定IPの提供方式とコストの確認
固定IPが標準なのか、オプションなのか、追加費用がどれくらい必要なのか
製品ごとにまったく異なるため、コストを含めた評価が必要でした。
・ウェブフィルタリングの精度
URL、ドメイン、カテゴリ判定の精度が製品によって偏りがあるように感じました。
・その他の確認ポイント
- ユーザーがエージェントをON/OFFできる仕様か
- エージェントのアンインストールを禁止できるか
- SSOの利用の可否
このあたりも実際の運用を考えると重要なポイントでした。
導入
最終的に要件を満たす製品を選定し、以下の流れで導入を行いました。
- SSO(シングルサインオン)連携
- セキュアにログイン可能にするため必須の項目でした。
- Webフィルタリング設定
- 社内ネットワーク利用の設定
- MDMによるエージェント一斉配布
- 全社への展開をスムーズに実施できました。
- エージェントへのサインイン
- ユーザー向けの手順書を作成しスムーズなサインインを実現しました。
- 証明書エラーを回避するバイパス設定
- 実際に利用し業務で必要なサービスを問題なく利用できるよう調整しました。
まとめ
今回、複数の製品を実際に比較、検証したことで、grasysにとって最適なSASEを選ぶことができました。
検証を通して学びも多く、社員が安心して使えるセキュアな環境を提供できました。
今後も、安心できる社内環境を整えていきたいと考えています。
