ブログ セキュリティ変革 オンプレミスのプロキシからクラウドへの移行
Sep 01 2020

オンプレミスのプロキシからクラウドへの移行

最近、フォーチュン500社のお客様から、500万行のURLポリシーを当社のクラウドソリューションに移行したいとのご依頼をいただきました。この構成には、Office.com、Linkedin.com、Box.comなどの頻繁に使用されるWebサイトのほか、数百ものURLやドメインが含まれていましたが、その内数百ものURLやドメインは、もはやアクセスできなくなってました。 

私たちがお客様に最初に質問するのは、こうした構成全体を移行する際に「お客様がなぜそうしたいのかを理解するために、協力をさせてもらえないでしょうか」ということです。現実には、特にクラウドのようなペースの速い環境では、企業は常に最新のテクノロジーを把握しているわけではありません。企業はビジネスを運営しているのであって、コンピュータ·セキュリティ·システムを構築しているわけではありません。 

本社、データセンター、支店には、いまだに、膨大な量のセキュリティ機器が積み上げられている可能性があります。その理由を自問自答したことはあるでしょうか。当社の社内調査によると、大企業はGlobal 2000の平均35社の異なるベンダーのセキュリティ機器を使用していることがわかっています。従業員の大半がリモートにいることを考慮すると(今後もしばらくはリモートにいることが予想されます)、インターネットへのトラフィックをオフィスにバックホールし、不必要に帯域幅を消費してしまう従来のVPN技術をいまだに維持している理由を疑問に思ったことはないでしょうか。セキュリティスタックの中には、1台または多数のプロキシサーバーがある可能性が高く、場合によっては、これが従業員のインターネットへの唯一の方法となっていることもあります。このアーキテクチャは、今日のビジネスにとってまだ意味があるのでしょうか。それとも、従来の技術をどうにかしてクラウドの世界に適合させようとしているのでしょうか。 

今日の組織では、大企業では2000以上のアプリケーションがあり、そのうち85%がクラウド上にあります。クラウド·コンピューティングへの移行は、グローバルなアクセス性、可用性の向上、予測しやすいコスト、パフォーマンスの向上によって推進されてきました。メール(O365/G Suite)、営業(SFDC)、人事(Workday)、ヘルプデスク(ServiceNow/Zendesk/Jira)、コラボレーション(Slack、Teams、Confluence)などのアプリケーションは、現在すべてクラウドでホストされています。ユーザーはこれらのアプリケーションに「ダイレクト·ツー·ネット」(社内を通らず、インターネットに直接接続)の方法でアクセスしています。プロキシサーバーのような従来のオンプレミスのソリューションでは、これらのアプリケーションを可視化することはできません。次世代ファイアウォールもまた、このようなトラフィックを完全には可視化することができず、セキュリティも提供していません。つまり、皮肉にも、「次世代」という名称にもかかわらず、次世代ファイアウォールも今となっては「従来の」ソリューションと化しています。

これは、さらにいくつかの質問につながります。 

  • 自宅、コーヒーショップ、空港、共有のオフィス·スペースなどで、お客様のセキュリティ·コントロール機能は従業員の行動を追えていますか 
  • クラウドの時代に、ビジネスや従業員のセキュリティを確保するために使用するテクノロジーをしっかりと劇的に変えましたか

世界的なパンデミックはいずれ沈静化するでしょうが、クラウドはすでに普及しています。パンデミックは、かなり保守的な企業においてもクラウドの採用を加速させました。

今こそ、今後の方向性に焦点を当てるべき時です。

オンプレミスのプロキシサーバーから真のクラウドソリューションへの移行

今日の議論では、プロキシサーバーに焦点を当ててみましょう。大企業が持っているセキュリティスタック全体について話すこともできますが、これは非常に幅広いトピックであるため、理解しやすいように分けた方が良いでしょう。 

なぜプロキシに焦点を当てるのでしょうか?それは、ユーザーのウェブへの通信を可視化し、レポートを作成し、制御するために、企業は何年も前からプロキシサーバーに頼ってきたからです。しかし、クラウドアプリケーションの時代には、プロキシは組織が必要とするものを簡単には提供することができないのです。プロキシは、クラウド以前の時代に設計·構築されたものです。プロキシはリモートから、クラウドでホストされているアプリケーションに直接アクセスするユーザーのために構築されたものではありません。また、プロキシはクラウドアプリケーションの言語(API/JSON/テナント/インスタンス)を理解するように設計されていませんでした。アプリケーションは新しい方法で書かれ、新しいプログラミング言語を使用しており、これらの変化を悪用しようとする新しい脅威や脆弱性はあちらこちらにあります。簡単に言えば、オンプレミスにあるプロキシサーバーは、クラウド時代の現代の従業員向けに設計されたものではなく、このハードウェアのメンテナンス、アップグレード、サポート費用の支払いには、信じられないほどの費用と時間がかかります。

経営陣は、機能を犠牲にしたり、ビジネスを危険にさらしたりすることなく、常にコストを削減しようとしています。ハードウェアを購入し、ハードウェアをアップグレードし、そのハードウェアをサポートするために従業員の手間をとらせることがこの時代に必要ではないことは、今日の世界のビジネスと技術のリーダーにとって明らかになっています。人的資本は非常に高価であり、従業員は常に新しい挑戦、昇進、昇給を求めています。そのことすべてに加え、規模や可用性の問題の多くは、ほとんどの組織の能力や焦点の外にあります。このことを知っていても、まだプロキシサーバーを導入しているのであれば、改めて自問自答すべきは「なぜか」ということです。

その理由は、プロキシサーバーは過去10~20年の間に進化してきたからです。プロキシサーバーは、「悪い」ウェブサイトをブロックし、「良い」ウェブサイトを許可するための単純なウェブフィルタリングとして始まりました。時間が経つにつれて、プロキシは進化しました。あるプロキシは脅威防御を追加し、あるプロキシはファイアウォールを追加するなどしました。プロキシベースのファイアウォール対ステートフルベースのファイアウォールの戦いを覚えていますか?誰も覚えていません。結局、プロキシが負けてしまったのです。しかし、今日でも、ほとんどの組織では、ユーザーストア/ディレクトリにしっかりと統合されたシンプルなURL/Webサイトフィルタとしてプロキシを使っています。これはなぜでしょうか?

その答えは、何年もの努力が必要なプロキシからの移行が困難だと思えるからです。また、従来のテクノロジーを維持しているチームにとっては、仕事の安心感にもつながります。これは、人々が変化をためらっているのと同じくらい単純なことかもしれません。理由が何であれ、プロキシサーバーはクラウドに1対1で移行するわけではなく、その「許可/拒否」ロジックは、ユーザー、デバイス、アプリ、アプリの評価、インスタンス、アクティビティ、脅威、アクションなどの豊富なコンテキストこそが非常に重要であるクラウド環境には適していません。

エンタープライズの進化

当社はこれまでに何百ものお客様がプロキシサーバーからクラウドに移行するのを支援してきました。企業からは、構成全体を当社のクラウドソリューションに移行できないかとの問い合わせが絶えません。それは可能なのでしょうか? -はい、可能です。お客様がやるべきですか? -絶対にやってはいけません。

なぜでしょうか。上述したように、「許可/拒否」のロジックに基づいたレガシー構成を移行することは、クラウドの時代にはあまり意味がありません。最新のクラウドセキュリティシステムは、クラウドの言語を理解しています。テナント、インスタンス、JSON、APIなどの概念を理解しています。これがクラウドの構築と実行の基盤となっています。従来のプロキシソリューションは、Active Directoryのようなオンプレミスの認証のために構築されていました。今日の世界では、お客様はOkta、AzureAD、G Suiteなどのような新しいクラウドベースのアイデンティティソリューションに移行しています。 

そのため、お客様が当社に来られ、移行を希望される場合は、お客様の元となる背景やアーキテクチャを理解した上で、お客様とお客様のチームの負担を軽減するために何がするべきかをお話しします。お客様のセキュリティポリシーから認証システム、使用中のアプリケーションに至るまで、すべてを検討します。お客様の従業員が何をしているのかを把握し、現在のセキュリティポリシーをクラウドの世界にアップデートするお手伝いをします。これは私たちが日々行っていることであり、私たちはお客様をクラウドに移行し、クラウドアプリケーションを安全に利用できるようにします。 

私たちは、お客様がNetskopeに移行する際の複数の展開と構成のオプションを詳細に説明するために時間を割いています。これには、軽量なNetskopeクライアントの導入からIPsec、プロキシチェイニングまですべてのものが含まれます。お客様のネットワークにほとんど影響を与えず、再構成を必要としない複数のオプションをご紹介します。 

また、お客様の構成がどのようにNetskopeにマップされるか、URLリスト(数千から数百万行のコード)がNetskopeでどのように動作するか、何が検査され、何が検査されないか(例:SSL/TLSを利用した信頼できるパーソナルバンキングなどのサイトへの通信は一般的にバイパスされます)を表示するための特別なツールも用意しています。さらに、もう存在していない「許可」しているサイトやドメインも示します。これらのドメインやURLへのトラフィックを許可することによるセキュリティ上の影響は非常に大きいものです。私たちはこの問題の解決を支援し、なぜこれが非常に危険なのかを説明することができます。

これらのツール、当社が提示するデータ、そしてお客様との会話により、お客様を従来のオンプレミス型のテクノロジーから、リスクを軽減し、広範な可視性を提供しながら、ビジネスに必要なセキュリティを大幅に強化したフル機能のクラウドソリューションに効果的に移行させることができます。お客様とお客様のチームの煩雑な作業を軽減し、クラウドへのスムーズな移行を実現します。 

Netskopeがどのようにお客様のお役に立てるか、ぜひお話しさせてください。