コーヒーショップネットワーキングへの対応

セキュアなリモートアクセスとネットワークの簡素化を同時に実現

10年近くもの間、企業のITリーダーは2つの異なる現実を管理してきました。一つはオフィス向けに構築した「要塞」で、ファイアウォール、厳格な仮想LAN（VLAN）、高価なMPLS回線で保護されたネットワーク環境。もう一つはリモートワーカー向けに構築した「トンネル」で、VPN、そしてより最近ではゼロトラストネットワークアクセス（ZTNA）ソリューションによって保護されたネットワーク環境です。

この二つのネットワーク環境を併用した運用は一定の価値をもたらしましたが、結果としてその環境は完全に2分化されたものになり、リモート勤務者とオフィス勤務者のネットワーク体験は根本的に異なるものになってしまいました。それにより、業務上の運用負担を増やすだけでなく、組織のセキュリティ体制にも一貫性のない状況を生んでいました。

そろそろ、この 2 つの流れを統合すべき時です。管理担当者がデータセンターのようにさまざまな拠点を管理するのではなく、コーヒーショップのような管理に切り替えるべきです。

この「コーヒーショップネットワーキング」は、この変化に合わせてGartnerが作った造語であり、「従業員が自宅でも支社オフィスでも近所のカフェからでも、必要なすべてのアプリケーションに高速かつ簡単・安全にアクセスできる」ネットワーク環境を意味します。

このアプローチでは、もはや信頼できる「LAN」という古い概念を捨て、代わりに、公衆インターネットを主要な企業WANとして利用することで、インフラにかかるコストを大幅に削減しながら、むしろセキュリティも向上させることができます。

とはいえ、この「コーヒーショップネットワーキング」を実装するには、ある程度の計画が必要になります。戦略的なロードマップに従うことで、ネットワークアーキテクチャを簡素化し、一貫性のある「インターネットファースト」な従業員体験を提供できます。

「信頼できる」オフィスのパラドックス

これまでの、支社のセキュリティは、認証にはネットワークアクセス制御（NAC）ソリューション、セグメンテーションにはVLAN、認可にはネットワークファイアウォールなど、社内に置かれた複数の専用機器に依存していました。この機器に依存した管理方式は拠点増加に対応できないため、すぐに行き詰ります。現地での専門知識が必要になり、機器の更新には作業員を派遣する手間も発生します。さらに、接続元によってセキュリティポリシーが変わる脆弱な環境を作り出します。

コーヒーショップモデルは、「ネットワーク自体のセキュリティに依存せずに、すべてのユーザーの接続をどのように保護できるか？」という根本的な疑問の上に成り立ちます。

ここで登場するのがセキュアアクセスサービスエッジ（SASE）です。SASEは、ソフトウェア定義のネットワーキングとセキュリティサービスを統合するクラウドベースのアーキテクチャです。その中核となる要素のひとつがZTNAで、すべてのユーザー、デバイス、ロケーションからの接続を信用せず、疑わしいものとして扱います。ZTNAがリモートユーザーに対して、きめ細かく、ユーザーの身元に基づいた強力なアクセス管理を提供できるのであれば、なぜオフィスに入った瞬間にそれを無効にしてしまうのでしょうか？ZTNA を「常にオン」にしておけば、オフィスのネットワークはただの通信経路になり、スターバックスや空港ラウンジのWi-Fiと変わらない、単なる「通り道」になるのです。

ZTNAを用いたSASEと他のサービスとしてのネットワーク（NaaS）機能やメッシュネットワーキングを組み合わせたネットワークアクセスのモダナイゼーションを行うことで、次のような大きなメリットをすぐに得ることができます：

• シンプル：従業員はVPNを切り替える必要がなくなり、どこにいても同じ体験が得られます。

• 迅速：新規拠点増設時も数か月かけて専用回線を引く必要はなく、基本的なブロードバンドですぐに開設できます。

• コスト削減：各拠点に常設のハードウェアに対する設備投資やMPLSへの運用コストを削減できます。

「意識させない」セキュリティ体験

これまで、「セキュリティ強化」と聞くと、利用者側にとってはより煩雑になることを意味していました。コーヒーショップモデルは、この構造を覆します。オフィスネットワークを疑わしい通信もそのまま通す「ただの通り道」として扱うことで、逆説的ですが、従業員にとってその使用方法をよりスムーズで一貫性のあるものにすることができます。

従来の環境では、どちらを使うかでユーザーの体験は大きく変動します。オフィスでは、直接アクセスが可能な信頼性の高いLANを使用できますが、自宅ではVPNに切り替えたりトラフィックが迂回することによる遅延に悩まされます。コーヒーショップモデルでは、ゼロトラストエージェントが常に接続レイヤーを統一して管理します。エージェントは常時オンで、認証やルーティングをバックグラウンドで処理します。

これにより、2つの方法を切り替えて利用していたユーザーは大きなメリットを得られます：

• パフォーマンスの均一化：利用者は本社からでもホテルからでも、トラフィックは無理やり中央データセンターを経由することなく、世界中に張り巡らされたネットワーク環境を介してアプリケーションに直接転送されます。

• 先回りのサポート：セキュリティとネットワーキングがデバイス上で一緒になっているため、IT担当者は、利用者側のデジタル体験を可視化して捉えることができます。不具合の原因がデバイス側の問題なのか、利用者側のWi-Fi接続が不安定なのか、アプリケーション側が停止しているのかを切り分けることができ、多くの場合、ユーザーから問い合わせを受ける前に問題を解決できます。

始め方として、3段階のアプローチを用いることで、実装を合理化することができます。

1段階目：アイデンティティを新たな境界にする

まず最初にやるべきことは、安全な通信を、信頼できない可能性のある公衆ネットワークから切り離すことです。どこにいても従業員が社内のアプリやシステムに安全にアクセスできるよう、クラウド経由で提供されるZTNAを使う必要があります。従来のように端末（VPNやファイアウォールなど）をネットワークに「接続する」のではなく、ZTNAは従業員が仕事をするために必要なアクセスだけを正確に提供し、それ以上の権限は与えません。

外部業者や自分の端末を持ち込む（BYOD）非管理デバイスのようにエージェントを使用することが実用的でない場合は、エージェントレスZTNAを活用するといった手段もあります。リバースプロキシとブラウザ分離を使用することで、デバイスに触れることなく、場所や時間帯などの状況に応じたアクセス制御を適用できます。

2段階目：インターネットを企業ネットワークの基盤として使用する

エージェントを使用したユーザー保護を実現できたら、拠点ネットワーク自体を大幅に簡素化できます。目標は、各拠点に常設のハードウェアを使用したWANから、SD-WAN接続の進化形とも言える「light-branch, heavy-cloud（拠点志向からクラウド志向へ）」に考えを移すことです。

このインターネットファーストのアーキテクチャでは、各拠点に据え置きされた機器は最小限の役割しか与えられません。

1. 基本的な経路選択：2本のインターネット回線（光回線、5G、ブロードバンドなど）を使い、トラフィックの経路を柔軟に切り替えて冗長性を確保

2. トンネリング：プリンターやIoT端末、サーバーなどのユーザー以外の通信をIPsecで暗号化し、最寄りのセキュリティクラウドノードに送信

こうすることで、すべての接続の基盤として公衆インターネットを活用できます。すべての拠点間トラフィックをSD-WANアプライアンスやMPLS回線の代わりにSASEプラットフォーム経由でルーティングすることで、ローカルインターネット接続を使用してWANを拡張できます。パフォーマンスの最適化やルーティング、セキュリティはクラウド側で処理され、ルーティング、セキュリティを処理し、ローカルハードウェアは単純な処理だけをこなす置物になります。

3段階目：ヘッドレス端末の対応

カフェモデル（インターネット中心モデル）の主な課題は、プリンターやWiFiアクセスポイント、その他のIoT/OT機器など、ZTNAエージェントを実行できない「ヘッドレス」（ユーザー端末ではない）機器の存在です。ここで、軽量のエッジアプライアンスが役立ちます。複雑なローカルVLANを実装する代わりに、WANエッジを使用してこれらのデバイスを非ZTNAセグメントに分離し、そのトラフィックをクラウドにトンネリングしてフィルタリングできます。

これにより、LAN設計をフラット化できます。基本的にセグメント化は、ZTNAデバイス用（信頼できるユーザー）と非ZTNAデバイス用（IoTデバイスおよびゲスト用）の2つに留めることをお勧めします。ローカルのアクセス制御リスト（ACL）の管理をやめ、トラフィックのフィルタリングをクラウドポリシーエンジンで処理するようにします。

コーヒーショップネットワーキングを効率化する

コーヒーショップのコンセプトは特定のベンダーに依存しませんが、実行には、ネットワーク接続とゼロトラストセキュリティを単一のコントロールプレーンに統合したSASEプラットフォームが必要です。ここが、Cloudflareが強みを発揮するポイントです。

Cloudflare Oneは、コーヒーショップネットワーキングに必要なすべての要素である、ZTNA、NaaS、セキュアWebゲートウェイ（SWG）、サービスとしてのファイアウォール（FWaaS）機能、デジタルエクスペリエンス監視（DEM）などの機能を、すべて単一の統合プラットフォームで提供します。さらに、Cloudflare Oneはグローバルに分散されたクラウドネイティブアーキテクチャ上に構築され、すべてのサーバーですべてのサービスを実行することで、高い耐障害性と一貫したポリシー適用を保証します。従来の「社内オフィスは安全・リモートは不安定」という分断されたモデルは、境界型セキュリティ時代の遺物です。「コーヒーショップネットワーキング」アーキテクチャを採用することで、インフラストラクチャをハイブリッドワークの実体に合わせた形に調整することができます。働く場所を問わず、従業員に一貫性のある安全な環境を提供しながら、従来のハードウェアにかかるコストを削減できます。

企業ネットワークの目指す将来の形は「要塞」ではなく、インターネットを使用することを前提とした安全なグローバルメッシュです。

この記事は、技術関連の意思決定者に影響を及ぼす最新のトレンドとトピックについてお伝えするシリーズの一環です。

著者

Daniel Creed
Cloudflare フィールドCISO

記事の要点

この記事では、以下のことがわかるようになります。

• 組織がリモート勤務者用とオフィス勤務者用に別々のネットワークを用意するべきでない理由

• 「コーヒーショップネットワーキング」が、ユーザー体験を統一し、運用を簡素化する理由

• コーヒーショップネットワーキングの実装を効率化する3段階のアプローチ

関連リソース

• コーヒーショップネットワーキングの設計図

• ネットワーキングの未来

• 企業ネットワークは今やインターネット