はじめに
こちらはバイセルテクノロジーズ Advent Calendar 2024の17日目の記事です。 昨日は大石さんによる25卒インターン生のペーペーが積極的にレビューに参加したら成長を感じられた話でした。
情報システム部の前原と申します。 私は情報システム部(以下情シス)内で、社内全般のネットワーク設計、構築、運用監視や新規拠点開設に伴うネットワーク作業などの社内インフラを担当しております。 他の方が紹介している開発業務とは異なるのですが、この記事では情シスひいてはインフラチームのネットワーク担当目線でのバイセルの取り組みについて紹介いたします。
今回は情報システム部内で抱えていた課題をもとに、新しい製品を導入するためのPoC(Proof of Concept:概念実証)を実施したことについて書いていきます。
対象読者
本記事は以下のような方々に読んでいただければ幸いです。
- SASE製品、ゼロトラストネットワークの検討をしているがなにから始めていいかわからない人
- 漠然と社内のネットワーク環境について課題を持っている人
背景
当社では、社内のネットワークについて大きく2つの課題を抱えています。 1つは従業員が会社として許可されていないSaaS製品をこっそり使っていても情シス側で検知できないという課題です。この状況は、セキュリティリスクの増大やライセンス管理の非効率性、コストの増加など、様々な問題を引き起こす可能性があります。
もう1つは当社では閉域網構成を採用しており、従業員の増加に伴いネットワークが圧迫されているという課題です。パフォーマンスの低下や接続の不安定化などが懸念され、実際に一時的な負荷によりネットワークが重くなるという事象も発生しています。
これらの課題を解決するために、当社ではゼロトラストネットワークの導入を進めています。ゼロトラストネットワークとは、従来の境界防御型のセキュリティモデルとは異なり、「すべてのアクセスを信頼しない」という考え方のもと、ユーザーやデバイス、アプリケーションのアクセスを常に検証するセキュリティモデルです。
このゼロトラストネットワークを実現する上で重要な役割を担うのが、SASE(Secure Access Service Edge)です。SASEは、クラウドベースのセキュリティサービス群とWANのエッジ機能を統合した包括的なネットワークセキュリティソリューションです。
出典:図:「SASE(Secure Access Service Edge)」概要説明図
SASEを導入することで、
- 従業員のSaaS利用状況を可視化し、適切なアクセス制御を行う
- ネットワークのセキュリティを強化し、サイバー攻撃から保護する
- ネットワークパフォーマンスを向上させ、安定した接続を提供する
といった効果が期待できます。
上記を踏まえて、SASE製品の検討を始めました。
検証を始めるにあたって
事前準備
SASE製品の選定にあたり、まずは情報収集を行いました。 自分でインターネットから情報を収集するのはもちろん、知り合いのベンダーに連絡を取り、SASE製品についてヒアリングしたり、既存の取引先ベンダーに相談するなど多岐にわたって情報を集めていきました。
幸いなことに、複数のベンダーからSASE製品を紹介していただき、会議を重ねながらそれぞれの製品のメリット・デメリットを比較検討することができました。
限られた時間の中で効率的に製品を選定するために、いくつかのポイントを設けました。
- 機能面: こちらが期待する機能を備えているか
- 性能面: 当社の課題を解決できるパフォーマンスを備えているか
- サポート体制: 導入後のサポート体制が充実しているか
- PoC費用: PoCにかかる費用が妥当か
これらのポイントを考慮し、PoCを実施する製品を絞り込みました。
部内への取り組み
PoCをスムーズに進めるためには、一人では検証できる範囲に限りがありますので他部内担当者との連携が不可欠です。そこで、まずは部内で課題感の認識共有を図るためのワークショップを実施しました。 ワークショップでは、
- 現在の情シスの課題をブレストで洗い出す
- 課題をまとめてグループ分けする
- SASEについての説明を行う
- SASEで解決できる課題を提示する
といった内容を行いました。
このワークショップを通じて、SASE導入の必要性を部内で共有することができ、導入に向けた機運を高めることができました。
また、PoCの実施にあたり、他のプロダクト担当者にも協力を依頼しました。ワークショップを踏まえたことでそれぞれの担当者から快諾を得ることができ、PoCをスムーズに進めるための体制を整えることができました。
検証する上で意識したこと
検証項目の明確化
PoCを効果的に進めるために、事前に検証項目を明確化しました。
漠然とPoCを実施するのではなく、
- 何を検証したいのか
- どこまで突き詰めるのか
- 優先度はどれが高いのか
を具体的に検討し、検証項目表をベンダーと一緒になって作成しました。
実際に検証を進めていく中では、検証項目を優先度に応じて一つずつ確認していくようなイメージを持ちながら進めました。
優先度を高くしていた項目としては大きく以下となります。
- 自社利用中サードパーティ製品との連携
利用しているMDMやIDaaSと連携ができるか、想定している運用がどこまでできるか
- クラウドの可視化
シャドーITの検出や、ユーザのアクセスログがどこまで詳細であるか
- プロダクトの制御
個人アカウントの検出、制御や証明書を利用したデバイス認証、ユーザ側からどのように見えるか
特に当社の環境とどこまでマッチするか、CASB機能を用いてどれだけ可視化、制御できるかを優先して検証を進めていきました。
部内、社外連携による検証
事前のワークショップでSASE導入の必要性を共有していたため、PoCにおいても、SASEクライアントソフトのMDM製品での配布、ユーザ認証する際の認証基盤との連携など、それぞれの作業項目において各プロダクトの担当者から協力を得ることができました。部内全体で連携して検証を進めることができたのは、大きな成果でした。
また、ベンダーとも定例会、課題管理表、Slackなどを活用することで、密にコミュニケーションを取ることができ、スケジュールの進捗に応じた設定方法の伝達や、早期の課題解決につなげることができました。
結果共有とデモンストレーション
PoCの結果を共有するために、部内で報告会を実施しました。報告会では、検証結果をまとめた資料を用いて説明を行うとともに、シナリオを用意したデモンストレーションを実施しました。参加者にSASE製品を実際に体験してもらうことで、理解を深め、導入への意識を高めることができました。
今回の検証を踏まえて、本格的に導入を進めているのですが、今現在はもう1製品の検証を進めており2製品の比較検討をしている段階です。また製品の検討と並行して社内ネットワークの整備とSASE環境に移行する計画の作成にも着手を進めています。
実際に検証をしてみて
事前に検証項目を明確化し、関係各所との連携体制を構築していたため、PoC は計画通りに進めることができました。事前に作成していた検証項目についてもほとんど消化することができ、事前の共有のおかげで部内の他のメンバーもスムーズに参加することができました。
しかし、一部の検証項目については、PoCの期間内では解決できない課題も残りました。これらの課題については、実際に検証したSASE製品を導入する際には、導入前に再度時間を取って対応してもらうことをベンダーに確約してもらっている状態となっています。
現在、もう1つの SASE 製品についても PoC を実施し、前回の経験を踏まえて順調に検証を進めています。 当社でPoCを実施した2製品を比較すると、
CASBでの豊富なプロダクトの可視化と制御に加え、多くの通信複合化、DLPなどのセキュリティを強みとしている
SWG、SD-WANを手軽にかつ柔軟に構築することができ、ネットワークの負荷軽減や既存のFW製品との親和性を強みとしている
など、製品によって強みとしている部分が違うことがわかりました。
SASE製品を比較検討するにあたり、事前に確認しておいた要件と今回の検証結果を踏まえて、当社の環境とマッチするような製品を選定することができました。
まとめ
今回のPoCでは、事前に準備をしっかりと行い、検証項目を明確化することで、限られたスケジュールの中でも見たいポイントを検証することができました。 また、事前のワークショップを通じて部内で課題感の意識を共有し、協力体制を構築できたことも大きな成果でした。
SASEは、従来のネットワークセキュリティ対策と比較して、コストや導入ハードルが高い傾向があります。そのため、いくつかの製品のPoCを実施し、自社の要件に適した製品を見定めることが重要となります。
当社でもSASE製品の導入によって、従業員のSaaS利用状況の可視化、ネットワークセキュリティ強化を進めることができ、より安全で快適なネットワーク環境を構築できると期待しています。
最後に、まだまだゼロトラストネットワークに向けて手が回っていない状態です。一緒に楽しみながら環境改善を進めていける方を随時募集しております。興味のある方は以下をご確認ください。
明日の バイセルテクノロジーズ Advent Calendar 2024 は 本田さんによる 運用工数を抑えながら安定稼働を実現するための工夫です。 お楽しみに。
