テクログ(テクニカル・ブログ)では、弊社エンジニアのIT技術おけるさまざまな情報やノウハウなどをお届けします。
こんにちは。A10ネットワークス菊川、高橋です。
企業活動の生産性向上と活性化や、働きやすい環境を実現するための経営戦略、また昨今のグローバル化した経済活動と、加速するIT技術の成長に伴うデジタルトランスフォーメーションの取り組みとしてSaaSアプリケーションやクラウドサービスを活用した業務利用が加速しています。
弊社A10ネットワークスもSaaSを用いた業務を促進し、リモートワーク(テレワーク、在宅勤務)制度を実現しています。
新たな取り組みで起こることや変化について、企業で起きていること、弊社がおすすめすること、弊社ソリューションであるクラウドプロキシを導入されたお客さまの改善されたポイント、などをテクログでご紹介します。
企業の現状
企業の取り組みとして、社内と社外の2つの場所でのワークスタイルにあわせた、リモートワークやテレワーク、在宅勤務への情報通信技術の活用が急速に推進されています。
- ワークスタイルの変化により増加する3種類のアクセスとは?
- 「社内」からSaaSを利用する際のインターネットアクセスの増加
- 「社外」からSaaSを利用する際のインターネットアクセスの増加
- 社外から社内サーバへのVPNなどを利用したアクセスの増加
- それらのアクセスは何に利用されているか?
- 社内や社外からSaaSアプリケーションやサービスを利用した業務システムの活用(例:グループウェア、CRM、HRシステムなど)
- 社内と社外、または他社とのコミュニケーションに利用(オンライン会議システム、ビジネスチャットなど)
- 社外から社内サーバ上の業務システムを利用
これらの実施にあたり、企業は従来の社内ネットワークに加え、社内や社外から利用するSaaS環境を含めた「快適で安全な」通信を考慮する必要があります。これらを考慮する前にSaaS導入前後によって変わる通信経路についてご説明します。
SaaS導入における新たな通信経路
従来はメールや業務アプリケーションのサーバは「社内」で運用されることが一般的だったため、クライアントとサーバ間とのアクセスは全てLAN内で完結していました。一方SaaSはインターネット経由で提供され、そのサービスやアプリケーションはクラウド上で提供されます。SaaSで提供されるOffice 365、G suiteなどのグループウェアだけではなく、IoT、AI、RPAなどでデータを収集・整理・分析する際にも「アプリケーションやサービスをクラウド側に置く」ことが増えています。
既存の通信インフラを利用した場合の、SaaS通信の経路を下の図で示します。
※緑色と水色の矢印でアプリケーション向けの通信を示しています。
上の図の赤い点線で囲った箇所が、従来にはない新しい通信経路となります。この経路は社内ネットワークの外に当たるインターネットを経由してクラウドへ接続されるため、以下を検討する必要があります。
- この新しい区間で遅延のない快適な通信処理ができるか?
- この新しい区間でのセキュリティ対策が十分か?
この2点を検討する際により理解を深めていただくために、SaaSを含む最近のインターネットトラフィックのトレンドをご紹介します。
インターネットトラフィックの傾向
傾向①:SaaS向けの通信は膨大なセッション、トラフィックを使用する
SaaS型アプリケーションやサービスを利用すると、1ユーザーあたりで使用するセッション数が増大する傾向があります。またSaaSはクラウド上にあるため大量のトラフィックが社内からインターネットへ流れます。
例えば、利用者であるユーザーのそれぞれの業務範囲は異なりますが、一般的なOffice 365の1ユーザー(パソコン1台)のセッション数は20以上といわれています。また、多くのアプリケーションを利用すると1ユーザーあたりのセッション数は最大で50以上になることもあります。企業は保有する端末台数分のセッション数を考慮した環境整備が必要となります。
企業によっては社外からのリモートワークのためにVPNを経由して社内ネットワークやインターネットへ接続する環境があります。その場合、企業のセキュリティポリシーに従って社内プロキシ経由でSaaSアプリケーションやサービスへ接続することにより、メール送受信やオンライン会議システムの利用を開始します。
リモート環境でSaaSを活用した業務へ切り替わることで、一見した限りでは社内から接続するインターネット通信が減るように見えますが、通常のSaaS利用に加えてオンライン会議などをより活用するようになることでプロキシの負荷が増えることも想定されます。
SaaS利用にあたり、「セッション数やトラフィック量が現行のプロキシで十分処理可能」であることを確認し、プロキシを見直すことが必要となります。リモートワーク制度の取り組みをする際もSaaS利用や、VPN利用に合わせたプロキシの見直しも重要となります。
傾向②:暗号化されたインターネットトラフィック(HTTPS)と暗号化を悪用した標的型攻撃の増加
Google社の調査レポートによると、2020年2月の時点で90%以上のトラフィックが暗号化されていると発表されています。
また「暗号化を悪用した標的型攻撃」は増えておりますます巧妙化しています。 A10ネットワークスの独自調査では、企業が被害にあった攻撃の41%がSSL/TLS暗号化を利用していました。
※参照:A10ネットワークス
Uncovering Hidden Threats within Encrypted Traffic
企業内にはさまざまなセキュリティ機器が導入されています。ですが、必ずしも「全てのセキュリティ機器が、暗号化されたトラフィックを復号して、セキュリティチェックできる」とはいえません。SSL/TLSトラフィックを復号できないセキュリティ機器は、暗号化された攻撃を検知することはできません。これからのインターネット利用では、暗号化された通信に潜む脅威から守るため、トラフィック保護のためにHTTPSなどで暗号化された通信トラフィックを復号して漏れなく検査することが必要です。
また、SSL/TLS復号処理は特性上、平文の処理よりもネットワーク機器に対して高い負荷がかかります。インターネット宛の通信速度を維持し、SSL/TLSトラフィックを漏れなく検査するためにはネットワーク 機器におけるSSL/TLS復号処理の最適化が必須です。
解決とメリット
これらの企業内の業務で利用するツールの変化と、それに伴うネットワークの課題に、A10ネットワークスの製品やソリューションが効果的です。 プロキシの見直しをお勧めするとともに、解決方法として詳しくA10 クラウドプロキシのメリットをご紹介します。
●快適なトラフィック振り分け
A10 クラウドプロキシソリューションは、利用者である発信元(クライアント端末とユーザー、ソースIPなど)の認証と、発信先(SaaS、社内サービス、URL、IPアドレスなど)を確認した上で、トラフィックを柔軟に振り分けます。それにより快適なSaaS活用を実現します。
例えば以下のような振り分けが可能です。
- SaaSアプリケーションやサービスは、プロキシを経由せず直接 SaaS 専用回線へ振り分け
- SaaSアプリケーションやサービス以外は、既存プロキシサーバへ振り分け、その後既存のインターネット接続回線で通信を行う
- ソフトウェアアップデート(Windows Update通信やiOSのUpdateなど)のトラフィックを識別し、専用回線へ振り分け
●セキュアな環境
A10 クラウドプロキシソリューションは、プロキシに搭載されているWebアクセス制御、セキュアWebゲートウェイ機能も含まれています。設定した制御基準で端末からのアクセスをコントロールし、SSL/TLSインサイトやテナント制御機能を用いてセキュリティを向上させることができます。またA10ネットワークスの脅威インテリジェンスに基づき、出口対策が可能です。
- SSL/TLSのトラフィックを復号: ファイアウォール、IPS、DLPなどのセキュリティ機器に代わり、クラウドプロキシがSSL/TLSのトラフィックを高速に復号し、セキュリティ機器へ受け渡し
- 入口・出口対策:動的に更新されるURL・IPアドレスなどの脅威インテリジェンスによる悪意のあるサイトへのアクセス遮断、業務に関連しないサイトへのアクセス制御
- シャドーIT対策:アプリケーション可視化の機能を利用し、利用されているSaaSアプリケーションの把握が可能
- 監査対応:アクセスログによる監査
- SaaSのテナント制御: 指定した法人アカウントのみのログインを許可し、個人用アカウントなどの他のアカウントによるログインを制限
- アクセス制御:URLリストやIPアドレス・ユーザーIDによるアクセス制御。グループ単位による設定が可能
もし、現在ご利用のセキュリティ機器でSSL/TLS復号ができない場合、クラウドプロキシを導入していただくだけで、そのセキュリティ機器の利用を継続しながら、漏れなくSSL/TLSトラフィックの検査が可能です。A10ネットワークスのSSL/TLS可視化ソリューションは、透過型、明示型、L2/L3構成など、お客様のネットワーク環境に応じた柔軟な導入が可能です。
A10ネットワークスの製品・ソリューションは、多くのセキュリティベンダー様と連携しており、現在ご利用中のセキュリティ機器に合わせた最適な導入ができます。
●運用費用削減
運用費用は他社比較で20分の1へ抑えることができます。
あらゆる機能をワンボックスに集約
クラウドプロキシはファイアウォール、プロキシ、SSL/TLS可視化機能、ロードバランサー、PAC配信サーバなどの機能をワンボックスで集約でき、それにより管理運用性を向上できます。
運用管理の自動化
SaaSアプリケーションのトラフィックをA10 クラウドプロキシで振り分ける場合は、SaaSで利用するアプリケーションドメインを登録することで可能になります。しかし、ドメインが更新されたり新規のドメインが増加したりする場合、その都度ドメインリストの更新が必要になります。特にOffice 365は不定期かつ頻繁にドメインが更新されており、毎回クラウドプロキシに対して手動で反映すると運用管理の負荷が増大し、非常に煩雑になります。
A10 クラウドプロキシはこの更新作業を自動化することができるため、運用・管理効率が向上します。また、以下の自動化をご紹介します。① 外部サーバよりドメインリストを自動更新(外部サーバを使用する手法)
外部サーバ上でスクリプトを動作させ、Office 365のURL、ドメインを更新しているサイトへ定期的にアクセスし、ドメインの更新を確認します。もしドメインが更新されている場合は、APIを経由してクラウドプロキシに変更点を反映できます。定期的にクラウドプロキシから外部サーバにリストを取りに行くこともできます。
② A10クラウドプロキシ上でドメインリストを自動更新
外部サーバを置かず、A10クラウドプロキシの中でスクリプトを動作させ、Office 365のサイトをチェックし、差分があった場合は、A10クラウドプロキシ内で自動更新する手法です。
③ パートナー様の自動更新サービス
A10ネットワークスの連携パートナー様による、Office 365のアプリケーションドメインの自動更新サービスもご利用いただけます。
お客さまの事例
SaaSを導入した際にプロキシに負荷がかかり、A10ネットワークスのソリューションにより解決した事例を紹介します。
背景
カシオ計算機株式会社様は、オンプレミス型のグループウェアからクラウド型グループウェアGoogle Apps for Work (現G Suite)へ移行した際、既存のオープンソースのプロキシサーバのCPUが高騰してしまう事象が発生しました。その後ユーザー数の増加に伴いセッション数がさらに増加したためプロキシサーバを4台にまで増設したそうですが、プロキシのパフォーマンスはいよいよ限界を迎えしまったそうです。特に朝の時間帯は多くの従業員がアクセスするため、負荷が100%近くまで上がり、オンライン会議システムが開始できないなど現場での声が寄せられることもあったそうです。
解決
A10ネットワークスへご相談いただき、クラウドプロキシを導入していただきました。A10 クラウドプロキシの導入後、プロキシサーバのCPU利用率が4分の1まで減った効果を得られました。他社の同様のソリューションと比較すると、コスト面でも3分の1程度の費用で導入ができたとのことでした。
SaaSを導入したことによる通信経路の変化は、多くの通信量がプロキシにかかることにより業務が遂行できずビジネスが継続できないという影響があり、クラウドプロキシの見直しにより効果が得られたとのことです。
※参照:事例 こちら
まとめ
働き方改革にもあげられる、SaaSアプリケーションやサービスの導入やリモートワーク制度の取り組みという環境変化に合わせ、より働き手が生産性を高めるためには、まずはインフラであるネットワーク環境が、柔軟・快適・さらには安全であることが必要となります。
A10 クラウドプロキシは、セキュリティ機能も含めたオールインワンライセンスで高いコストパフォーマンスを持ち、さらに既存のセキュリティ機器と併せた投資保護も含め、それぞれの企業さまにあった最適なソリューションとしてご利用いただけます。
まずは現状のプロキシの見直しをお勧めすると同時に、ご質問、ご不明点がございましたらお気軽にA10ネットワークスへお問い合わせください。
マーケティング部 菊川 高橋
まめちしき
A10ネットワークスのクラウドプロキシソリューションがなぜ高いパフォーマンスで処理できるか?
土台となるA10ネットワークス独自のOSであるACOSは、ロードバランサーの土台となったOSです。アプリケーション処理の最適化を主として、社会インフラや数々のコンテンツサービス、企業さまのサービスなどのアプリケーション配信を支えております。このようなミッションクリティカルなサービスで培われてきたACOS(OS)をA10クラウドプロキシでも使用しています。
ACOSは、共有メモリアーキテクチャーを採用しており、特に高いレイヤーの処理を高速に通信できるように最適化していますので、セッションを多く使用するSaaSでも高速処理できるようになっています。
また、独自OSの「ならでは」ですが、オープンソースのOSベースと比較すると脆弱性の影響を受けにくいOSになっています。
またSSL/TLS処理については専用のハードウェアを搭載し、処理が重い楕円曲線暗号でも高速処理することができます。ゼロトラストモデル(ゼロトラストネットワーク)
境界防御モデルはネットワーク境界でユーザーや端末を「検証し、信用する」ことが前提となるモデルです。
それに対して、ゼロトラストモデルは「全てを信用しない(=侵害があるものと考える)、検証しつづける」を前提としています。
SaaS活用やリモートワークの拡大に伴い曖昧となりつつある「境界」の概念から、守るべき情報資産へアクセスするものを全て信用せずに検証することで、情報資産への脅威を防ぐという考え方です。
資料ダウンロード
関連製品・ソリューション
過去のテクログ
『Office 365などのSaaS利用を快適にするネットワークの高速化・可視化』 石塚 健太郎
『A10ネットワークスのスケールアウト技術』 甲野 謙一
『誰でも使える サーバーサイド Open NAT64実証実験のご紹介』 眞野 桐郎
また、A10ネットワークス WEBサイトのブログからもご覧いただけます。
A10ネットワークスとつながりませんか?
公式ソーシャルメディアでは最新情報をリアルタイムで発信しています。