Global Reachグローバル展開する企業を支援

MENU

コラム|Column

前回のコラムではゼロトラストネットワーク(以降、ZTNA)の概念や仕組みをイメージでお話しました。

今回は、それを実現するためのIIJの新しいサービス「Safous(セーファス)」について、すこし掘り下げてお話します。

IIJは、2021年8月にZTNAのサービスSafousを提供開始しました。当初はインドネシアをはじめ、シンガポール、タイ、ベトナム、中国などアジア数カ国のユーザーを対象にしていましたが、欧州および米国に拡大し、現在は日本でもサービス展開をはじめています。

Safousサービスの主な特徴

前回お話したVPN経由でのインターネット通信に代表される、境界型のセキュリティ防御(VPNで認証されれば、社内ネットワークやお客様ネットワーに参加でき、ネットワーク内で様々な活動を許容する、性善説に基づいたセキュリティ防御)に対し、Safousは、その性善説とは一切相容れない、外部・内部でシステムを使用するユーザーを一切信じないという概念に基づいたサービスです。ここからはSafousの様々な特徴をお話します。

1. 強固な認証・認可のシステム

Safousは、認証・認可を受けたユーザー以外には外部からのネットワークアクセスを一切許可しません。ユーザーに特定のシステムやアプリケーションにアクセスさせたい場合、Safousは一連の認証システムを提供します。例として、レイヤー認証システム(メールアドレスと電話番号、または特別なコードなどによる)があります。これを通過したユーザーは、初めてシステムアクセスへの入口に立つことができます。

イメージで言えば、お客様のビルの前のエントランスロビーにまでやってきたという感じです。

2. Point to Pointのシステムアクセス

「入口に立つ」という表現をしましたが、Safousは、認証されたユーザーに対しても、社内・社外のネットワークへの参加を無条件に許可しません。Safousでは認証されたユーザーに対し、どのシステムやアプリケーションのアクセスが可能かという事前のアサインが必要です。

もし、ユーザーが、ID/パスワードと二要素認証を通過し、Safousのポータルに到着してもそのユーザーにアクセス可能なシステムやアプリケーションが登録されていない限り、ポータル画面は何も表示されず、何もできません。つまり例えるならばお客様ビルの入口のロビーの前までしか行けないイメージです。

一方、そのユーザーにアクセス可能なシステムやアプリケーションがアサインされれば、ユーザーははじめてSafousのポータル上にそのシステムのアクセス先が表示され、ロビーから行先が見つかった状態になります。

イメージ図

また、ユーザーがアサインされたシステムにアクセスする際にも、ユーザーのアクセス先は、Safousが提供するPOP(Point of Presence)経路に限定されます。

ユーザーは、App Gatewayと呼ばれるアクセスコントールサーバにより、POP経由で、認証・認可の確認がなされ、その時初めて、POPから対象のシステムやアプリケーションにむけてダイレクトにTLSトンネル経由が張られ、アクセス可能になります。

繰り返しになりますが、ユーザーはお客様ネットワーク内に参加するのではなくPOP経由でのダイレクトな通路だけが提供され、ログアウトすると、POPとシステム間のダイレクトなバイパスは閉ざされてしまうのです。

これがPoint to Pointのシステムアクセスというものです。他社のZTNAなどのサービスがネットワーク内でセキュリティチェック(ネットワーク内での様々なセキュリティチェック)を受けるのに対し、Safousはアプリケーションレイヤーレベル(行先レベルの制限)でのセキュリティと考えると分かりやすいかと思います。

イメージ図

3. アタックサーフェースの最少化(攻撃されやすいポイントの削減)

SafousのZTNAアクセスのもう一つの特徴は、ユーザーのアクセスコントロールをつかさどる、お客様システムの中にあるApp Gatewayというサーバの存在です。

App Gatewayサーバは、お客様NWのファイアウォールの配下にあり、ファイアウォールは、App Gatewayへの通信が侵入しない様にポートを塞いだ状態に設定されています。

これにより、お客様のシステムアクセスのコントロールポイントである、App Gatewayが外部インターネットに晒されない(外部インターネットから見えない/スキャンされない)状態になるので、外部インターネットからの脆弱性攻撃やDDoS攻撃の対象にならないための配慮がされています。

これは、従来企業内に複数のVPNアクセスポイントがある場合、そのどこかのポイントの脆弱性を狙った攻撃を想定しており、App Gatewayは、いわば洞窟の中に入って、姿を見せずにユーザーのアクセスをコントロールする手法をとっています。

4. 世界中どこからでも、どこへでもアクセス可能

Safousは、POPが設置されている経路を経由して、どこからでもアクセスすることが可能です。ユーザーはパソコンやIoTデバイスからアクセスすることができます。現在、Safousの世界中の10拠点に設置されたPOPは現在、アジア太平洋諸国、北米、EU、中国、日本をカバーしており、今後その数は更に拡張していきます。

また、POPは全て冗長化されており、万が一POPへの障害が発生した場合でも、最短のルーティングにより迅速にお客様への通信を遅延なく提供することが可能ですし、POPの運用監視状況は、24/365運用で常に監視されています。

5. 記録と監査システム

ZTNAの考え方では、ユーザーの認証・認可を強化するだけでなく、ユーザーの行動についても管理・監視します(認証・認可されたユーザーに対しても“信じない”コンセプト)。

特に機微なシステムやアプリケーションへのアクセスは、信頼できるユーザー(社員、契約に基づいたサードパーティユーザー)であっても、故意による行動やミスオペレーションなどのリスクを、ゼロと考えることはできません。

Safous は、スーパーバイザー機能やレコーディング機能により、誰が、いつ、どの様な作業をおこなったのかの証跡を取得します。

例えば、スーパーバイザー機能では、そのシステムやアプリケーションにアクセスが許可されたユーザーにおいても、管理者への都度利用確認と終了確認の認可を行います。

またレコーディングセッション機能では、そのユーザーの作業履歴を、すべてビデオ録画を行い、即再生可能です。これは不正や悪意ある行動への抑止機能と併せて、問題発生時の明確なエビデンスとなり、その後の追跡にも効果を発揮します。

イメージ図

6. 簡単なインストールと10ユーザーから利用可能

Safousは、大企業に限定したサービスではなく、中小企業(SMB)やスタートアップ企業まで幅広くご利用いただけるサービスとして設計されています。エージェントレスで、Webアプリケーションであればどの様なシステムでもお使いいただけます。TCP/UDPなどについては、そのサーバ側にエージェントを導入すれば利用可能です。お客様の既存のレガシーシステムにも対応が可能な設計です。

既存の様々なネットワークやクラウド技術で利用できるため、企業のネットワークシステムに接続する際、複雑な設定やエージェント/サードパーティを必要とせず、短時間で導入する事がポイントです。

また10ユーザーからのミニマムスタートが可能で、まずは一部の部署でご利用いただき、その上で段階的な全社展開をおこなう等、お客様の実用判断への障壁を下げるサービス仕様となっています。

7. 様々なIdPとの連携

(LocalAD/LDAP/SAML認証/Azure AD/その他の様々なIdP連携と統合機能)

上記記載の通り、Safousは外部の様々なIdP連携の上、二要素認証(TOTP/SMS)サポートしています。そのため現在、MFA VPNを利用したID/パスワードでの認証認可に対しても速やかな二要素認証の導入が可能です。

最後に、広がる用途

これらのSafousの特徴を理解いただくと、既存のVPNベースでの国際WAN(Global WANリース)の撤廃を視野にいれたコストダウンや、リモートワークアクセス増加に伴うVPN線の帯域容量増加の抑制、また社内だけでなくサードパーティユーザーとの安全な協業環境の実現、ランサムウェア拡散の抑制など、様々な用途が考えられます。

Safousの活用方法はお客様の数だけあると思っています。このテクノロジーをつかって、皆様のビジネスに貢献したいと考えています。

イメージ図

IIJではゼロトラストネットワークアクセス(ZTNA)ソリューションである「Safous」を新たにリリースしました。詳しくは下記Safousのウェブサイトをご覧いただくか、お問い合わせボタンからお問い合わせください。

Safous公式ウェブサイト

執筆者:近藤 知憲

株式会社インターネットイニシアティブ
グローバル事業本部 エキスパートプログラムマネジャー

入社以来一貫してセキュリティサービスの企画・開発に携わり、セキュリティ本部ビジネス開発部、先行戦略室を経て、グローバル事業本部にて現職。

現在はIIJのセキュリティサービスの海外展開にむけて、海外向けサービスの企画・開発・販売推進を担当する。ASEANを中心にセキュリティビジネスの更なる拡大にむけて活動中。

あわせて読みたい