2019 年 6 月 27 日 編集部記事

多くの中堅企業や分散型企業が、コストを削減し、ネットワークの俊敏性を向上させることを目指して SD-WAN の導入を進めています。ところが、IT チームが導入時にセキュリティを考慮しないと、多数のリモートオフィスが存在するネットワークにおいては、SD-WAN への移行によって、セキュリティリスクが拡大することになる可能性があります。ウォッチガードのシニアテクニカルプロダクトマネージャである Ben Brobak が先日、SD-WAN Resources.com に寄稿した記事で、これら 4 つのセキュリティの課題とそれを回避する方法を解説しました。記事の中から、SD-WAN への移行によって新たな攻撃対象がどのように生まれるのかを説明した部分を抜粋し、以下に紹介します。

いくつものリモートオフィスが存在する企業で、MPLS（Multi-Protocol Label Switching）接続を使ってすべてのトラフィックを本社にルーティングし、会社のファイアウォールを通過するように設定されている環境を想像してみてください。どのリモートオフィスもインターネットに公開されておらず、接続は本社で保護されているため、全体としてはかなり安全な環境です。ところが、その会社が SD-WAN モデルに移行すると、それぞれのリモートオフィスがインターネットに物理的に接続されることになるため、驚くほど多くの攻撃にさらされることになります。たとえば、ある調査での実験では、偽の AWS サーバをオンラインにしてから 1 分以内に自動ハッキングでそのサーバを標的にした攻撃を始めることができました。…これは、すべてのトラフィックが VPN トンネル経由で本社にルーティングされ、ファイアウォールを通過する場合であっても、新たなリスクが生まれることを示しています。

SD-WAN の導入には、これ以外にも、セキュリティをロケーションごとではなく一元的に適用することによるリスクを伴い（ネットワークへの侵入後に脅威が自由に水平移動できるようになります）、トラフィックを保護するファイアウォールを追加するのを忘れたり、SD-WAN アプライアンスのインストールやトラブルシューティングの際に誤ってファイアウォールを迂回してしまったりすると、トラフィックがインターネットを自由に移動するようになります。

SD-WAN のセキュリティに関する詳細は、Ben の記事全文を参照してください。ウォッチガードは、SD-WAN に関連する複数のサービスを提供しており、セキュリティと SD-WAN を 1 つのアプライアンスで組み合わせて設定できる方法を採用することが、Ben の記事で解説されている多くを解決する 1 つ有効な手段となります。ウォッチガードが提供するサービスの詳細については こちらをご覧ください。