エッジセキュリティとは?

エッジセキュリティとは、中央のデータセンターの保護境界内にはもはや存在しない企業リソースを保護するためのエンタープライズセキュリティの一種です。これは、企業のネットワークの中心から最も離れた場所(すなわち「エッジ(端)」)に置かれているユーザーやアプリケーションを保護するために使用されます。エッジでは、機密データがセキュリティ上の脅威に対して非常に脆弱になります。

エッジコンピューティングとは?

エッジコンピューティングとは、企業リソースの提供方法の1つです。エッジコンピューティングは、中央のデータセンターを利用してアプリケーションやデータの保存、処理、配布を行うのではなく、データソースの近くで実行されます。データセンターはエンドユーザーから数百ないし数千Kmも離れた場所に位置していることもありますが、エッジコンピューティングでは、情報にアクセスしている実際のデバイスの近くで、これらのプロセスを実行します。データはローカルサーバーか、またはデバイスで処理されるため、企業は顧客や従業員にアプリケーションをより迅速に提供できます。

具体的には、エッジコンピューティングを利用することで、企業や組織は、エンドポイントがどこに置かれているかにかかわらず、クラウドやSaaSアプリケーションへの最適なアクセスを提供できます。

エッジコンピューティングは、エッジで処理を行い、関連するデータのみを送信することで、ほぼ瞬時の情報送信が必要となるユースケースにおける遅延を一掃します。エッジコンピューティングは、分散型のオープンなITアーキテクチャを提供することで、グローバルなモバイルワーカーのためのリアルタイムコンピューティングを可能にするほか、ますます重要となっているIoTテクノロジーを進化させます。これによりスマートアプリケーションやIoTデバイスがデータに対して瞬時に応答するようになるため、企業や組織は、アプリケーションやデータへの高速で信頼できるアクセスを提供するという約束を実現できます。

エッジコンピューティングのセキュリティ上の課題は何ですか、そしてエッジセキュリティはどんなメリットをもたらしますか?

エッジコンピューティングは、企業に多くのメリットをもたらす一方で、サイバーセキュリティ上の脅威が企業ネットワークに侵入するリスクを高めます。数百台のエッジコンピューティングデバイスを導入すると、DDoS攻撃やその他のセキュリティ侵害を引き起こす可能性のあるエントリーポイントが数百件も生成されます。多くのエンドポイントにはインターネット接続機能が組み込まれているため、これは特に大きな問題となります。これは、IT部門がもはや中央での一元的な制御権や包括的な可視性を確保できないことを意味します。また、アタックサーフェイスが拡大する中、エッジデバイス上に存在するデータや、エッジデバイスを通じて移動するデータを保護することは、CISOやCTOにとって重要なセキュリティ課題となっています。

エッジセキュリティは、この問題を解決するために、ゼロデイ脅威、マルウェア、およびその他の脆弱性に対する防御をアクセスポイントで行えるようにする、内蔵型のセキュリティスタックを提供しています。これにより、企業や組織は、インターネット接続をリスクから守るためにWANネットワーク経由でインターネットトラフィックをバックホールするのではなく、最も近くにあるアクセスポイントへとトラフィックをセキュアに誘導できるようになります。

エッジセキュリティを構成するコンポーネントには何がありますか?

効果的なエッジセキュリティは、次に示すような複数のクリティカルなコンポーネントから構成されます。

エンドポイントを保護するエッジデバイスセキュリティ

エッジコンピューティングデバイスは、遠隔地にあるマイクロデータセンターから、膨大な数のIoTデバイスに搭載されている高速なローカル処理を必要とするセンサー、防犯カメラ、キャッシュレジスター、ルーターに至るまで、事実上ありとあらゆる形態を取ります。そして、これらのエンドポイントは、いたるところに存在しています。世界的なパンデミックに対応するために在宅勤務への急速な移行が実施されたことで、数百万もの分散型リモートオフィスが導入されました。その結果、さまざまなBYODデバイス(ラップトップ、スマートフォン、タブレットなど)を、IT部門が管理しなければならなくなりました。

多くの場合、このようなエッジデバイスの設計では、セキュリティよりも機能性や接続性が優先されます。多くのエッジデバイスにはユーザーインターフェイス(UI)が欠けていることがITの可視性にさらなる課題をもたらします。また、エッジデバイスは小型でありかつ物理的に露出していることが多いため、盗まれるリスクもあります。

脆弱なVPN接続のような、エッジを保護するために設計された一部の戦略は、かえってゼロデイ脅威にさらされるリスクを増大させる場合があります。これとは対照的に、効果的なエッジデバイスセキュリティでは、IT部門が1つの画面を通じてすべてのデバイスを容易に管理および監視できるようにします。また、継続的なユーザー認証が自動化されており、しかも適切なアクセス制御ポリシーが設定されているため、企業データへのアクセスが許可される前に、ユーザーが本人であることを確認できます。

エッジに置かれているデータを守るクラウドセキュリティ

エッジデバイスのセキュリティは重要ですが、クラウドエッジのセキュリティは不可欠です。クラウドはデータの集計や分析を行うのに適した場所として今後も利用され続けるでしょうが、インターネットに接続された機器から生み出される膨大な量のデータは、それよりもはるかに多くの処理を必要とします。エッジコンピューティングは、負荷を軽減するために、処理やストレージ用のリソースをデータソースにより近い場所に移動するように設計されていますが、データをエッジからクラウドへと移動すること、そして特にクラウドからエッジへとデータを移動することが原因で、攻撃に対する脆弱性が高まることになります。

企業や組織がクラウド機能をWAN経由でエッジに置かれているユーザーに提供するようになると、ヘルスケアや金融などの業界では、厳しいコンプライアンス要件を伴う機密データを保護するための負担が大きくなります。クラウドエッジセキュリティでは、ローカルに保存されているデータと、ネットワークコアとエッジコンピューティングデバイスの間で転送されるデータの両方に関して、暗号化などの重要なセキュリティ基盤が優先されます。

インターネットアクセスを守るネットワークエッジセキュリティ

ネットワークエッジへの移行は、ユーザーがクラウドやSaaSアプリケーションへのダイレクトなインターネットアクセスを必要とすることを意味します。しかし、このような接続はユーザーのアクセスを向上させる一方で、悪意のあるアクティビティがインターネットから企業ネットワークへと移動するリスクを高めます。

ネットワークエッジセキュリティにより、インターネットが企業リソースに接続するための信頼できる方法となります。この重要なコンポーネントは、企業がパフォーマンスを損なうことなくアクセスを保護するために必要となるセキュリティ機能を提供します。ネットワークエッジセキュリティソリューションの例としては、Webフィルタリング、マルウェア対策、侵入防止システム(IPS)、IPアドレスに基づいてトラフィックを許可または拒否する次世代ファイアウォールなどが挙げられます。多くの場合、これらの機能は、企業や組織のソフトウェア定義型ワイドエリアネットワーク(SD-WAN)に組み込まれています。

エッジコンピューティングセキュリティは、現在どのような状況でしょうか?

このような新しいセキュリティ要件を反映したサイバーセキュリティモデルのニーズに応えるために、Gartner社は2019年に、SD-WAN機能とネットワークセキュリティ機能をクラウド提供サービスとして融合させたセキュアアクセスサービスエッジ(SASE)という新たなコンセプトを提案しました。

SASEのフレームワークには、CASB(Cloud Access Security Broker)、FWaaS(Firewall as a Service)、ゼロトラストセキュリティソリューションなどの機能が含まれており、これらの機能はすべて、ITを簡素化する1つのクラウドベースのサービスモデルを通じて提供されます。

また、SASEアーキテクチャは、ネットワーキングとセキュリティ機能をアプリケーションやデータが置かれているクラウドへと戻すことで、デバイスの場所に関係なくセキュアアクセスを保証します。これにより、どこでも仕事が出来るようになり、ユーザーが新たなネットワーク境界となる時代において、アプリケーションとデータを保護するための一連のベストプラクティスを提供できます。

シトリックスのエッジセキュリティソリューションは企業が脅威の一歩先を行くことをいかに支援するか

シトリックスは、複数のエッジセキュリティ機能を1つの統合セキュリティスタックにまとめて提供しています。これには次の機能が含まれています。

  • 次世代WANエッジソリューション:ネットワークとセキュリティに関する包括的な可視性とクラウドベースの管理を1つの画面を通じて実現します。
  • Secure Internet Access:クリティカルな情報を受け取る能力を制限することなく、あらゆるユーザーとアプリケーションを場所を問わず保護します。

関連資料