ホーム > PC-Webzineアーカイブ > シスコシステムズのCisco SD-WANセキュリティ戦略

シスコシステムズのCisco SD-WANセキュリティ戦略

シスコシステムズのCisco SD-WANセキュリティ戦略

2019年01月11日更新

セキュリティ機能も統合

2017年8月にViptelaを買収したシスコシステムズ。インテントベースのネットワークアーキテクチャ「Cisco DNA」への、SD-WANソリューションの統合を急ぐ。

Cisco DNAの実現に向けて

「投資のサイクルが迫っているお客さまの中で、ここ1年、SD-WANの引き合いが非常に強くなってきています」と話すのは、シスコシステムズ エンタープライズネットワーキング事業 プロダクト・セールス・スペシャリストの北 かおり氏だ。「仮想化のテクノロジーが実装されたSD-WANの技術的な成熟度と、ビジネス的なニーズがちょうど合わさってきたのが2017年から2018年のタイミングでした」と振り返る。

 なぜSD-WANのニーズが高まってきているのか。「やはり従来のWANの設計思想では無理が出てきているのですね。それを象徴するのが企業へのクラウドサービスの普及です」と北氏は説明する。閉じていたWANシステムの中にインターネット経由で利用するクラウドサービスが組み込まれるようになったことで、コストやセキュリティ面でほころびが生じつつあるのだ。それを解決するために、SD-WANの導入によるインターネットブレイクアウトが拡大している。

 こうした中で、シスコシステムズはSD-WAN市場をけん引していたViptelaを2017年8月に買収して、ViptelaのSD-WANソリューションを自社のラインアップに加えた。Viptelaは2012年に設立されたスタートアップ企業だが、創業メンバーはシスコシステムズなどの出身者だ。SDNが注目され始めた時期にWANの企業課題に着目して製品を開発した。

 同時期にシスコシステムズも、「Cisco Intelligent WAN(IWAN)」というコンセプトでSD-WANソリューションを提供していた。WANのインテリジェント化で、WAN回線をより効率的に活用できるようにするソリューションだ。「IWAN 3.0を開発しているときにViptelaを買収しました。ちょうどIWAN 3.0とViptelaの技術がほぼ同じアーキテクチャだったのです。時間を買ったようなものですね」とシスコシステムズ エンタープライズネットワーキング事業 テクニカルソリューションズアーキテクト 吉野恵一氏はその意図を説明する。「シスコシステムズの中にViptelaのソリューションが組み込まれることで、より安定した信頼感のある土壌の中でViptelaのテクノロジーを提供できるようになりました」と続ける。

 シスコシステムズは現在、インテントベースのネットワークアーキテクチャである「Cisco DNA(Digital Network Architecture)」構想を進めている。基本原則は、「全ての仮想化」「自動化設計」「広範なアナリティクス」「クラウドによるサービスマネジメント」「ネットワークのあらゆる層でオープンかつ拡張可能なプログラマビリティの実現」だ。それは、「エンドツーエンドのポリシー管理と可視化を実現し、セキュリティ、自動化、アナリティクスのイノベーションで複数のドメインをつなぐ」ことになる。それによって、企業のネットワーク運用における複雑化したオペレーションやセキュリティ課題を解決する。

「企業のコミュニケーションを支えるインフラとしてネットワークを捉えた場合、実はWANやLANの区別は本質的には関係ないはずです。そこで、仮想化の技術でWANやLAN、データセンターまでを統合し、統合的なコミュニケーション環境を企業に対して提供していきます。SD-WANはその実現のために不可欠な要素なのです」(北氏)

シスコシステムズ
吉野恵一 氏(左)
北 かおり 氏(右)

Cisco DNAの実現に向けて

 シスコシステムズが提供するSD-WANソリューションには、現在以下のラインアップが存在する。一つがSD-WAN専用機として利用できるViptelaのvEdgeシリーズで、「vEdge-100b」「vEdge-100m」「vEdge-1000」「vEdge-2000」の四つのモデルがある。vEdge-100bとvEdge-100mは100Mbps、vEdge-1000は1Gbps、vEdge-2000は10GBpsのAES-256暗号化スループットに対応する。vEdge-100mは、vEdge-100bと同等の性能・インターフェース構成に加えて、LTEモデムも内蔵している。

 もう一つが、シスコシステムズが提供してきたルーター製品である「ISRシリーズ」や「ASRシリーズ」だ。これらはソフトウェアのアップデートで対応可能になる。ライセンスは、SD-WAN用のサブスクリプションが用意されている。「現在販売しているISR1000シリーズ、ISR4000シリーズ、ASR1000シリーズはOSの入れ替えでSD-WANルーターとして機能するようになります」(北氏)

 シスコシステムズが公開しているViptelaの統合ロードマップでは、2018年時点(フェーズ2)でプラットフォームの統合が行われた。これはISRシリーズやASRシリーズのルーターでのViptelaのvEdge機能の実現を意味する。管理は、オーバーレイネットワークの運用を実現するViptelaの「vManage」で行い、コントローラーにはViptelaの「vSmart」が利用される。2019年7月以降に予定されているフェーズ3では、Cisco DNAの制御と管理が行えるダッシュボード「Cisco DNA Center」にコントローラー機能を統合し、管理の一元化が実現される予定だ。

「すぐにSD-WANの機能を試したいというお客さまは、これまでの実績なども考慮してvEdgeを選ばれるケースが多いですね。それに対して、これからゆっくりと検討しようというお客さまにはISRシリーズやASRシリーズがお薦めです。追加されていく新たな機能は、どちらかと言えばISRシリーズなどで利用できるようになっていくからです。いずれにしても、WANの更改時期が大きなトリガーになりますね」

 これらに加えてクラウド管理型のネットワークソリューションである「Cisco Meraki」もSD-WANソリューションのカテゴリーに入る。

 それでは、これらは具体的にどのような要件で導入されているのだろうか。「Cisco Merakiは、トポロジーの作り方がシンプルなので、多店舗展開する企業に適していますね。一方、拠点数はそれほど多くないけど、業務が多岐にわたり拠点間通信が生じて、ルーティングが重要視される場合には、ルーティング性能に優れたISRシリーズなどが適切です」(吉野氏)

「SD-WANソリューションは、海外に拠点を持つ製造業や流通業などにとって海外との通信にかかるコストの削減に貢献します。例えば日本と東南アジア間では、2MBの帯域でも月に数十万円の費用がかかるケースがあります。そうした状況では、SD-WAN化によって通信費用を大幅に削減できるメリットが大きいですね。また、SD-WANはコスト面だけでなく、アプリケーションの可視化にも有効です。従来まで専用機で行っていた企業が、システムの更改に合わせてSD-WAN化し、それらを実現させたことで、専用機が不要になったケースもあります。少ない人数でネットワークの管理が可能になる点も魅力です」(北氏)

左から、Cisco ISR 1100、4331、Cisco ASR 1002-X。

Cisco SD-WANセキュリティ

 こうしたラインアップをそろえるシスコシステムズは、Cisco SD-WAN セキュリティとして、セキュリティ機能も統合的に利用できるようにしていく。単一のユーザーインターフェースで、SD-WANとセキュリティの管理を可能にする取り組みだ。「SD-WANの導入の一つのハードルとなっているのはセキュリティだと捉えています。従来までの閉域網と比較してどのようにセキュリティを確保すればよいか迷われるケースがあるからです。そこで当社ではSD-WANにセキュリティ機能を統合させる取り組みを進めています」と北氏は説明する。

 実際に2018年11月には、以下のような機能が同年12月から実装される予定だと発表された。

Cisco SD-WANのセキュリティ機能


 App Aware ファイアウォール
 ・カテゴリー別や個別アプリケーションごとに可視化と詳細なコントロールを可能にする
 ・1,400以上のアプリを分類
 ・二次的な脅威を防御(プリントサービスは従業員ネットワークに接続しないなど)
 ・PCIコンプライアンス

 IPS
 ・Snort IPS 世界的に最も広く使われているIPSエンジン
 ・グローバルなセキュリティインテリジェンス(TALOS)に基づくシグニチャを自動アップデート
 ・シグニチャホワイトリストをサポート
 ・リアルタイムトラフィック分析
 ・PCIコンプライアンス
 
 URLフィルタリング
 ・許可済みのユースコントロールをエンフォース
 ・Webレピュテーションスコアに基づいてブロック
 ・ブラック/ホワイトリストをカスタム作成
 ・エンドユーザー通知をカスタマイズ
 ・82以上のWebカテゴリー、ダイナミックアップデート

 DNS/Webレイヤーセキュリティ
 ・DNSリクエストに基づいてブロッキング
 ・マルウェア、フィッシング、許可しないリクエストに対する効果的なセキュリティ
 ・DNSCryptサポート
 ・Local domain-bypassオプション


「エンタープライズファイアウォール、IPS、URLフィルタリング、そしてCisco アンブレラのクラウドセキュリティ機能をvManageのダッシュボードで管理できるようにしました。設定もインテントベースを意識して画面に沿って行えるようにしています。機能ベースの設定から進化しており、分かりやすくなっているのです」と吉野氏は説明する。これらの管理も将来的には、Cisco DNA Centerに統合されていく。

セキュリティを含めた運用管理面を訴求

 実際の商談状況はどうなのだろうか。「SD-WANの提案初期は、アプリケーションを回線ごとに振り分けるような効率的なWAN活用の目的で導入が進むと想定していたのですが、現在は、Office 365の利用時にはインターネットに直接接続させたいというインターネットブレイクアウトだけの目的でも検討されるようになってきています。日本ではWANの管理面を評価しての導入検討も顕著ですね。WANの運用において盲点になっていたり、人手で補っていたりする点に、SD-WANの提案チャンスが潜んでいるようです」(北氏)

 WAN回線が比較的安価で信頼性も高い国内においては回線コスト面だけではSD-WAN導入のメリットが見出しにくい。そのため、シスコシステムズのように、WAN回線の効率利用だけでなく、セキュリティ機能などもまとめて管理できる点などに大きな訴求力がありそうだ。「WANとセキュリティの運用が単一の管理ツールで行えるのは、当社ソリューションのアピールポイントです」(吉野氏)

 特に国内企業ではネットワークやセキュリティの運用管理を人的リソースの投入による力技で補っているケースは少なくない。そこにSD-WAN提案のチャンスがあると北氏、吉野氏は声を合わせる。これは、販社やSIerによるマネージドサービスの提供にもつながる視点だ。

「当社のSD-WANソリューションを、マネージドセキュリティサービスの商機として捉えられている販売パートナーも多いですね。海外との接続においては通信キャリアに任せたいというお客さまは少なくありませんが、国内接続の場合は、従来からエンドユーザーと付き合いがある販社やSIerに商機があるでしょう。顧客のSD-WANニーズの内容をひも解いて明確化し、そのニーズに応じた具体的な提案ができると、多くのビジネスチャンスを生み出していけるのではないでしょうか」(北氏)

vManageのダッシュボード。ファイアウォールなどのセキュリティ機能の管理も行えるようになった(下部)。

キーワードから記事を探す