目次
グローバルIP制限とは?
グローバルIP制限とは、クラウドサービスへのアクセスを特定のIPアドレスからのみに制限する仕組みです。特定のIPアドレスからのみアクセスを許可することで、攻撃表面を縮小し、社外からの不正アクセスを効果的に防止できます。また、クラウド上にある重要な情報へ、許可されていない場所からアクセスされるリスクを減らす効果もあり、情報漏えい対策としても有効です。
しかしながら、セキュリティ向上が期待される一方で、デメリットもあります。
ひとつは運用負荷の問題です。許可すべきグローバルIPアドレスは、新規オフィスの追加などで変更が必要になることがあります。また、廃止されたオフィスのIPアドレスを許可リストに残したままにすることはセキュリティリスクとなります。このため、継続的な監視と更新作業が必須となり、管理者の運用負荷が増大します。
もうひとつは、コロナ禍以降、働く場所が多様化している現代において、特定のIPアドレスからの接続に制限すると、アクセス可能な場所が限定されてしまうという問題です。これにより、社員の業務の継続性が損なわれ、生産性の低下につながる可能性があります。
グローバルIP制限の代替案
メリットもデメリットもあるグローバルIP制限ですが、代替案として考えられるのはどういったものでしょうか?
第1の選択肢としてVPNが挙げられます。
VPNは、働く場所を問わず社外からでも社内ネットワークにアクセスできる仕組みを提供してくれます。しかし、ネットワーク帯域がひっ迫することによる通信速度の低下や、リモートワーク時のインターネット回線品質に依存するため安定性に課題を抱えるお客様が多いです。また、VPN機器は社内と社外のネットワークの境界に位置するため、脆弱性を狙った攻撃の標的となりやすい特徴があります。そのため、定期的なメンテナンスやセキュリティアップデートが必須となり、運用負荷が増大します。
もうひとつの有効な選択肢がIDaaSです。
どんなクラウドサービスでも、ID/パスワードによる基本的な認証機能が備わっていますが、IDaaSによる多要素認証を追加することで、グローバルIPの制限に依存せず、パスワードや生体認証など複数の要素でユーザの正当性を確認できます。また、シングルサインオン(SSO)機能により、複数のサービスを一元管理できることも大きな強みです。
ただし、IDaaSの導入には、安全な認証システムの設計・構築に多大な時間と労力が必要となるため、導入のハードルが高くなります。
NetskopeとグローバルIP制限
ここまでで述べたように、VPNやIdaaSの活用など、代替手段があるものの、それぞれ一長一短です。そのため、各企業の環境によってはグローバルIP制限が最適なソリューションとなる可能性があり、一概に”ダメな対策”とは言い切れません。
では、SASE/SSE製品導入後、グローバルIP制限のクラウドサービスにはどのように対応すべきなのでしょうか?Netskopeを例に考えてみます。
Netskopeを利用する場合、各クラウドサービスへのアクセスにはNetskopeのデータセンターを経由する必要があります。つまり、グローバルIP制限を行っているクラウドサービス側に、Netskopeのデータセンターの出口IPを設定する必要があります。
しかし、Netskopeのデータセンターの出口IPはNetskope利用者で共通のグローバルIPとなるため、他社のNetskopeユーザからのアクセスを防ぐことはできません。
このような問題に対処するにはいくつか方法があります。
Netskopeの標準オプションでの対応
Netskopeでは、グローバルIP制限を行っているクラウドサービスに対応するため、以下の3つのオプションライセンスを提供しています。
・ZTNA Next L7:拠点内に設置した中継サーバのグローバルIPに固定する
・Regional Dedicated Egress IP:Netskope社から専用のグローバルIPアドレスを払い出してもらう(地域限定型の固定IPオプション)
・Dedicated Egress IP;Netskope社から専用のグローバルIPアドレスを払い出してもらう(地域制限なしの固定IPオプション)
ただし、ZTNA Next L7ではCASBが利用できないため、通信の可視化・制御を目的としたお客様にはミスマッチです。また、固定IPオプションは大規模顧客向けの価格設定のため、特に中小規模のお客様の多くで、導入を検討しても手が出せない状況となっています。
Netskope標準オプション以外での対応
グローバルIP制限への対応として、自前のプロキシサーバを用意するという選択肢もありますが、これは本末転倒です。せっかくクラウドサービスを導入して運用負荷を減らそうとしているのに、新たにサーバを立てて管理しなければならないというのは、まさに時代に逆行する対応と言えます。
このアプローチでは、プロキシサーバの管理運用という新たな負担が発生してしまい、コスト面だけでなく、運用面でも大きな課題となってしまいます。
標準オプションの落とし穴
一般に、Netskopeをご利用のお客様は、Netskope社の標準オプションを利用してグローバルIP制限を実現しますが、ここにもうひとつ落とし穴があります。それは、払い出されるグローバルIPの数です。
Netskope社の標準オプションでは、冗長性の観点から複数のグローバルIPアドレスが払い出されます。しかしながら、グローバルIP制限をかけるクラウドアプリ側では、「1つのIPアドレスしか許可できない」といった制限に引っかかる場合があります。この場合、Netskopeの標準オプションでは出口IPを1つに絞ることができないため、せっかくオプションを購入したのにグローバルIP制限に対応できない、といったことが起こり得ます。
Light Static GIPとは?
そこで、丸紅ITソリューションズでは、Netskopeの標準オプションより価格も運用も“ライト”にご利用いただけるサービス「Light Static GIP」の提供を開始しました。
Light Static GIPは、当社がお客様専用のプロキシサーバを用意し、運用を含めたマネージドサービスとして提供します。導入方法は簡単で、以下の2ステップのみです。
- Netskopeテナントで当社が用意したプロキシを定義
- ポリシーで固定IP要件のある通信をプロキシ経由に設定
これだけで、グローバルIP制限のあるクラウドサービスへのアクセスを、お客様専用のたった1つのIPアドレスからのみに制限できます。
Light Static GIP とNetskope標準ライセンスとの違いを表にまとめてみました。
Light Static GIPではNetskopeを経由した上で当社のプロキシサーバへトラフィックを転送する仕組みのため、Netskopeの固定IPオプション同様、CASB機能を用いたアクティビティの可視化が可能です。
また、Netskopeの固定IPオプションと比較して少数ユーザかつ低価格で導入することができるのも魅力のひとつです。
IPアドレスが1つに限定されるということで、不安に思われる方もいらっしゃるかもしれませんが、Light Static GIPはパブリッククラウド上に構築されており、内部的に可用性は担保されておりますのでご安心ください。
おわりに
SASE/SSEの導入は企業のセキュリティ対策において重要な選択肢となっていますが、いざ導入するとなるとグローバルIP制限への対応は多くの企業が直面する課題です。コスト面、運用面でお悩みの場合は、当社のLight Static GIPサービスをぜひご活用ください。
丸紅ITソリューションズでは、お客様からの具体的なフィードバックと自社での実践的な運用経験を活かし、お客様のセキュリティニーズに柔軟に対応します。
より安全で効率的なセキュリティ環境の構築でお悩みの際は、ぜひ丸紅ITソリューションズにご相談ください。
本記事に関連するソリューション
クラウド時代のセキュリティを革新するSSEリーダー。クラウドアプリ、Web、プライベートアプリへのアクセスを安全に実現。データ保護、脅威対策、ゼロトラストを統合。ビジネスの俊敏性と安全性を両立。
