「全部お任せ」は本当？網屋Verona SASEのフルマネージド、担当者が語るメリットと限界

Veronaが開発された2010年当時、ネットワークやセキュリティにはどのような課題があったのでしょうか？また、その課題に対して、ゼロトラストやSD-WANといった思想を取り入れた理由を教えていただけますか？

はい。当時からVPNの脆弱性や、認証の強度、社内ネットワークへのアクセス制御といったセキュリティ面の要求は強くありました。
そこでVeronaは、既存の物理的なネットワークの上に「仮想的なネットワーク」を構築し、ネットワークのルールを再定義するというものでした。当時は「オーバーレイネットワーク」や「仮想ネットワーク」と呼んでいましたね。また、ネットワーク機器の設定変更は、現地に行って直接機器に繋いで行うのが一般的でしたが、遠隔地の監視センターから自動で設定変更できる仕組みも用意しました。これがSD-WAN的な発想につながります。

なるほど。今でこそテレワークの普及でVPNの脆弱性管理や認証強化が叫ばれていますが、2010年当時もそういった課題は存在していたんですね。

では次に、2010年のVeronaから、2023年のVerona SASEへの進化について伺います。Verona SASEの開発において、特に気をつけた点や苦労した点は何でしょうか？

SASE向けの新機能としては、全ての通信（トラフィック）を一度SASEのクラウド基盤に集約し、そこでセキュリティフィルターをかけたり、アクセス制御を行ったり、ログを保存したりする機能拡張がメインになります。
これまでのVeronaはVPNサービスとしての側面が強く、拠点同士が直接通信する「フルメッシュ」構成が多かったのですが、SASEでは、全ての通信をセキュリティ機能が集約された「ハブ」であるクラウドを経由させる「ハブスポーク」構成への対応が重要になります。SASEの機能拡張に合わせて、この構成をより活用できるようにすることが、重点的に行った開発ポイントです。

従来のアーキテクチャから、クラウド上のセキュリティ機能を必ず経由させるために、ハブスポーク構成が必須になった、と。それが開発で気をつけたポイントということですが、ネットワーク構成としてはハブスポークは一般的ですよね？各拠点（スポーク）がデータセンターや本社（ハブ）に接続する、という。これを開発するのは、そこまで大変だったのでしょうか？

一見シンプルに見えますが、実際には、一つのスポーク（拠点）が複数のハブに接続したり、スポーク側で冗長構成（※障害対策の予備構成）を組んだりすると、設定はかなり複雑になりがちです。
さらにVeronaは、これらの設定を自動で行う機能を持っています。そのため、複雑な構成でも矛盾なく、かつ漏れなく、ルーティング（※通信経路の制御）やセグメンテーション（※ネットワーク分割）の設定を自動生成するのが、非常に大変な部分でした。

ということは、運用する側からすると、非常にありがたい機能になっているわけですね。

めちゃくちゃありがたいです！管理者は複雑な経路設定を意識することなく、クラウドの管理画面から必要な情報を入力するだけで、全ての通信がSASE基盤を経由する設定が簡単に実現できます。これは本当にすごい機能だと思います。

ありがとうございます。では今後のVerona SASEの開発計画について教えていただけますか？

まず、VeronaEdge（拠点機器）についてですが、有線イーサネットだけでなくSIM単体でも対応できるデバイスをリリース予定です。例えば、新規店舗などで固定回線の工事が遅れている場合や、そもそも回線が引けないような環境でも、このSIM対応版VeronaEdgeを使えば、すぐにネットワーク環境を構築し、業務を開始できるようになります。

それは便利ですね！先にSIMで運用を開始し、後から光回線を引いて冗長化することもできる、と。

次に、中国の閉域網との接続を計画しています。これは、中国国内のネットワークと、日本国内のVerona SASE基盤を接続する仕組みです。

中国との通信というと、VPN接続などが不安定になったり、切断されたりするイメージがありますが、その点は大丈夫なのでしょうか？

ご心配の点は、インターネット経由で中国のグレートファイアウォール（※中国のネット検閲システム）を越えようとする場合に起こりがちです。今回の計画では、中国の閉域網と日本のデータセンターを専用線で直接接続する形になるため、そういった問題は発生しません。

なるほど、専用線ですか。それなら安心ですね。日本の製造業など、中国に拠点を持つ企業にとっては非常に有効な機能になりそうです。

そして、Veronaクライアント（PCソフト）には、「デバイスポスチャー」、つまりデバイスの健全性をチェックする機能（ヘルスチェック機能）を実装予定です。

デバイスのチェックですか！

これまでのVeronaクライアントはVPN接続が主な機能でしたが、Verona SASEの展開に伴い、SASEクライアントとしての機能強化を進めています。その一環として、PCが社内ネットワークやクラウドサービスに接続する際に、そのPCが安全な状態かをチェックします。具体的には、ウイルス対策ソフトが正常に動作しているか、定義ファイルは最新か、OSのアップデートは適用されているか、などを確認し、要件を満たすデバイスのみ接続を許可する、といった機能を提供する予定です。

まさにゼロトラストの考え方ですね。接続してくるデバイスの状態も信用せず、常にチェックすると。Windows Defenderのような標準のアンチウイルスソフトやファイアウォールの状態、OSのアップデート状況などがチェック対象になるイメージでしょうか？

そうですね。将来的には、異常なプロセスが動作していないか、といったより高度なチェックも検討したいと考えています。

なるほど。Verona SASEが、より本格的なSASEサービスへと進化していくわけですね。

ここまでゼロトラストやSASEの機能面について伺ってきましたが、Veronaのもう一つの大きな特徴として「フルマネージド」があると思います。どのようなサービスなのか教えていただけますか？

はい。雑に表現すると「セキュリティに関する運用を基本的に全て網屋で担当しますよ」というサービスです。
元々のVeronaサービスでは、インターネットが繋がらない、通信できないといったネットワーク部分のサポートが中心でした。Verona SASEではそれに加えて、お客様ごとのセキュリティポリシーの設計・構築支援、設定変更、そして日々の監視やインシデント対応まで、幅広く弊社が担当します。

特にセキュリティは専門知識が必要で、設定項目も多岐にわたります。最新の脅威に対応し続けるには、専任の担当者や高いスキルが求められますが、多くのお客様にとって、その体制を維持するのは大きな負担です。
そもそも セキュリティ対策は導入して終わりではなく、継続的な運用が非常に重要ですよね。そこを専門家である我々に委託できる、というのは、お客様にとって大きなメリットになるサービスだと考えています。

なるほど。「セキュリティの運用を委託できる」と。具体的には、初期設定や設定変更だけでなく、セキュリティアラートの監視や、何かあった際の調査も含まれるのですか？

はい、それらも含まれます。アラート監視からインシデント発生時の調査まで行います。

サービス開始からまだ2年弱ですが、これまでにお客様環境で何か重大なセキュリティインシデントが発生したことはありますか？

幸いなことに、現時点では実際に重大なインシデントに至ってしまったという事例はありません。

もう一つ、設計・設定の部分について伺います。ゼロトラスト環境を構築するには、お客様の環境に合わせた設計が必要になると思いますが、そのあたりもフルマネージドで対応いただけるのでしょうか？

基本的には、弊社が推奨する標準のセキュリティ設計・設定をお客様に提供する形で進めています。もちろん、お客様ごとに完全に最適化されたカスタム設計ができれば理想的ですが、それには多くの工数がかかってしまいます。
そこで、これまでの知見に基づき、「最低限ここだけは守るべき」というポイントを押さえた標準ポリシーを定義し、それをベースに提供しています。

「最低限ここだけはやろう」というのは、具体的にどのような内容ですか？

例えば、インターネットへのアクセス（ローカルからインターネット）についてです。全ての通信ポートを許可するのではなく、通常の業務で必要不可欠なWebアクセス（HTTPS）やメール送受信に関連するプロトコル（通信ルール）など、本当に必要な通信だけに絞って許可するようにしています。DNS（※名前解決の通信）なども含みますね。

なるほど。ポートを全部開放してしまうのではなく、必要最低限に絞ることで、攻撃のリスクを減らすわけですね。

はい。全部許可してしまうのは、やはりセキュリティ上、好ましくありませんから。

もう一つ重要なのが、拠点間の通信（ローカルトゥローカル）のアクセス制御だと思います。先ほど岡田さんから、ハブスポーク構成で全ての通信がSASE基盤を経由するという話がありましたが、これにより、例えば拠点からデータセンターの重要サーバーへのアクセスなどもSASE側で制御できるはずです。このあたりの設定は、標準でどこまでやっていただけるのでしょうか？

はい、岡田が開発してくれたハブスポークの仕組みを活用し、拠点間の通信（LAN-to-LAN）も全てSASE基盤を経由させ、そこでアクセス制御と監視を行う設計になっています。

その拠点間通信は、デフォルトではどのようなポリシーになっているのですか？ホワイトリスト運用（許可したものだけ通す）ですか？

お客様にヒアリングを行い、業務上必要な通信だけを特定して許可します。例えば、サーバーへのリモートデスクトップ接続（RDP）などは、本当に許可された管理者のPCからのみ接続できるように制限する、といった最低限の許可設定にしています。

なるほど！それは重要ですね。攻撃者がネットワーク内部に侵入した後、サーバーを乗っ取るためにRDPが悪用されるケースは多いですからね。それを特定の管理者PCからしか許可しないことで、横展開のリスクを大幅に減らせる、と。それを標準で実施されているわけですね。

はい、攻撃が成功する確率を減らすために、そのような設定を標準としています。

とはいえ、「標準設定だけじゃなく、もう少し自社の環境に合わせてカスタマイズしてほしい」といった要望もあるかと思います。そういった個別対応は可能なのでしょうか？

はい、事前のヒアリングはもちろんですが、特に他のSASE製品から移行されるお客様の場合、「前の製品ではこの機能があったのに」といったご要望をいただくこともあります。そういった場合は、事前検証や検討を行い、必要であれば個別に対応させていただくこともあります。

なるほど。確か、より高度な個別要件に対応するための「プロフェッショナルサービス」のような有償オプションもありますよね？

はい。より詳細なヒアリングに基づいた設計・構築などをご希望の場合は、そちらのサービスで対応させていただいております。

セキュリティ製品は、初期の設計・設定と同じくらい、その後の「運用」が重要だと感じています。例えば、先ほどのアクセス制御で「業務で必要なのに通信できないから、このポートを開けてほしい」とか、Webフィルタリングで「必要なサイトなのにブロックされてしまうから解除してほしい」といった依頼は日常的に発生すると思います。
一般的な企業だと、こうした運用が手間になって、結局「もういいや」と全ポートを開けてしまったり、フィルタリングを緩めてしまったりして、せっかくのセキュリティ対策が形骸化してしまうケースも少なくないと思うのですが、Verona SASEのフルマネージドであれば、そのあたりは問題なくなりますよね？

はい、そこがフルマネージドの強みだと考えています。基本的に通信は必要最低限に閉じている、という前提がありますので、お客様が業務で必要な通信ができない場合は、必ず弊社に問い合わせていただく形になります。お客様側で勝手に設定を変更することはできません。
お問い合わせを受けたら、まずその通信やWebサイトの「安全性」を我々の方で確認します。問題がないと判断できれば、速やかに設定変更等の対応を行います。

安全性の確認までやっていただけるんですか！それは素晴らしいですね。

ありがとうございます。

確かに、「このWebページを開けたい」と言われても、それが本当に安全なサイトなのかどうか、判断が難しい場合もありますからね。そこを専門家がチェックしてくれるのは心強いです。

はい、安全性を担保しながら利便性を損なわないよう、バランスを取りながら運用サポートを行っています。

では、最後に、本日ご覧いただいている皆様へ、お二人からメッセージをお願いします。まずは岡田さんから。

はい。これをご覧になっているのは、おそらくVerona SASEの導入を検討されているお客様が多いかと思います。私たち開発チームは、ネットワーク、セキュリティ、クラウド、組み込み開発など、非常に多岐にわたる技術分野に取り組んでいます。
もし、我々と一緒に新しい価値を創造していけるような協業パートナー様がいらっしゃれば、ぜひお声がけいただけると嬉しいです。また、純粋に、こうした分野の技術開発に興味があるエンジニアの方も絶賛募集中ですので、ご興味があればぜひご連絡ください。…あれ、サービスの宣伝じゃなくなっちゃいました。

まさかの採用と協業のお願いでしたね（笑）。Verona SASEを一緒に作ってくれる仲間を募集中、とのことです。皆さん、ぜひご検討ください！ では、浅倉さんお願いします。

はい。やはりセキュリティ対策というのは、専門的で難しい分野だと思います。Verona SASEのフルマネージドサービスは、その複雑で手間のかかる運用を専門家である私たちに「委託できる」という点が、大きな価値だと考えています。もし、自社のセキュリティ対策や運用に課題を感じていらっしゃるようでしたら、ぜひ一度、Verona SASEの話を聞いてみてください。よろしくお願いします。

ありがとうございます。今日お話しいただいたようなメンバーが、日々Verona SASEの開発とサポートを行っておりますので、安心してご相談いただければと思います。