見出し画像

SASE導入前に確認してほしいこと|SHIFTネットワークコンサルタントのブログ


はじめに

こんにちは! 株式会社SHIFT ITソリューション部 インフラサービス2グループで、ネットワーク機器導入のコンサルティングなどを行っております、梅ケ迫と申します。

はじめてのブログとなりますがよろしくお願いいたします。

最近、SASE関連のプロジェクトにかかわることが多くなり、そのたびに思うことがあります。 今回はSASEの導入推進をされる方が、導入決定までに押さえてほしいいポイントについて自分の感じたままに綴ってみたいと思います。

SASE導入時の検討事項 / SASE導入時に陥りやすい罠

SASE製品のコンサルにおいて、製品の特長や導入のメリットなどを吟味して導入を決定するということはどの企業でも実施していると思います。 (投資額もばかにならないので経営層としては十分吟味して判断されていると思います) でも、現状のオンプレ環境から移行するにあたって、ただシステムを入れ替えるだけではなく、移行に関連する既存環境の確認についてどの範囲まで検討されているでしょうか。

オンプレからクラウドへシフトするということは、機器だけではなく、既存システムとの関連、導入にあたっての各種環境も含めて検討していかなければいけないのですが、 事前に確認しておくべき内容が後回しになり、導入後に手当てせざるを得ないプロジェクトが少なくないように思います。

せっかくSASEを導入するにもかかわらず、既存環境がクラウドシフト対応出来ないために既存拠点間VPNはそのまま残さざるをえず、ちょっと残念な構成でSASEに移行せざるを得ない といった話も耳にします。

当然、ローカルのサーバーアクセスが可能なSASE製品も存在するので、一概には言えないのですが選定したSASE製品のメリットを生かせる構成に出来なかったという結果にならないように、 自社の業務システムの特性、接続対象機器、接続ロケーション、サーバ構成、ネットワーク構成、トラフィックルート、プロトコルなど製品選定の前に確認しておくべきポイントを これから説明していきたいと思います。

業務システムの特性

現在利用している業務システムの運用上の制約が無いか確認する必要があります。特に古い業務システムをSASE移行後も利用(移行期含めて)する場合、 業務システムの制約条件など事前に整理してSASE製品を選定する必要があります。

接続対象機器

SASEへの接続対象となる機器にどのような機器があるのか、将来的に導入する予定があればその機器も含めて対象を絞り込む必要があります。 工場など、サポート終了した古いOSの機器などが実働している場合も多く、そのような機器がインターネットやインフラの機器と通信するのかなどについても整理いておく必要があります。 また、BYODを許可する場合など、会社支給機器と個人所有機器でアクセス制限する場合もあるため、MDMの導入も併せて検討する必要があります。

接続ロケーション

SASEを導入する利点として接続ロケーションに関わらず、セキュアな接続環境を提供する目的があります。 国内のみか、国外も含むか、グレート・ファイアウォール経由のアクセス有無によっても対応が変わります。ZTN(Zero Trust NetWork)を実現しセキュリティを担保するためには、社外から社内リソースへアクセスポリシーに加えて、社内ネットワークからのアクセスに対してもアクセスポリシーで制御することが推奨されます。

サーバ構成

ネットワークに続き、社内にあるサーバについても把握する必要があります。 基幹業務サーバ、部門サーバなど多岐にわたりますので、これらのサーバをSASE環境に変更した際にアクセスに影響が出ないか確認する必要があります。 情報システム部門が管理しているサーバであれば、アクセス関連の情報も把握できるのでしょうが、部門で設置したサーバなど情シス部門で管理していないサーバがある場合は移行に向けてサーバ移設や、ファイルサーバのクラウドサービスへの移行など検討する必要も出てきます。また、ロケーション変更できないサーバなども特定する必要があります。 SASE導入検討前には、全社レベルででサーバのあり方、構成など方向性を決定する必要があります。

ネットワーク構成

自社のネットワーク構成を把握しておくことは重要です。 DC、拠点の数、拠点間通信の有無、VPNの接続状況、クライアントのVPN接続、アドレス設計など、これらをSASEに移行する場合にbefor afterでどのようなネットワークに変更されるのかという点をイメージしメンバーで共有する必要があります。

トラフィックルート

通信するのは、クライアント端末だけではなく、サーバも含まれます。 そのため、社内のトラフィックの流れを確認し、どの端末が起点となりどのようなトラフィックが流れているかを確認する必要があります。

プロトコル

機器によって、どのプロトコル通信がどこに向かって発生しているか等、面倒ですが事前に把握していないと、切り替え後に通信できないといった大惨事になりかねないため注意が必要です。 プロトコルというと、よくファイアウォールルールだけを見て判断してしまいがちですがSASEの場合、社内インフラのトラフィックについても確認することを忘れないでください。

忘れがちな機器等

よく忘れがちな機器に、複合機やプリンタがあります。 SIP FAXなど利用している、他の拠点からプリント指示することがある、ファームウェアのバージョンアップを外部と行っているなど、複合機、プリンタについても、どの様なネットワーク通信があり、どのようなプロトコルを利用しているのかを事前に調査する必要があります。 場合によっては、SASE移行後の運用方法を見直さなければならい場合もあるので事前に確認することを強くお薦めいたします。

また、ソースIPを限定するようなWebサイトの利用がある場合は、事前にリストアップしSASEの対応可否を確認する必要もあります。

最後に

以上のような項目を整理後に、具体的な要件定義、製品選定、基本設計、詳細設計、POC検証、構築、テスト、展開フェーズへと進んでいくことになります。 POC環境で運用状況を確認後、順次SASE環境に移行する場合においてもサーバアクセスが既存環境とSASE環境両方からアクセスできるルートを検討するなど移行途中に考慮すべき点もありますので、移行中の新旧のアクセスルートを確保しつつ、サービス提供できるようにインターネット回線含めて考慮する必要もあります。  このように状況、環境によって考慮すべき点は多々ありますが、はじめの検討段階で環境や状況を把握しておくことで、全体最適の対応が可能になる場合が少なくないです。

実際には、これら以外にも検討課題は多くあり、移行スケジュールや社内セクション関係の調整など情シスの方は大変だと思いますが、コンサルなど併用して解決していただければと思います。 SHIFTでも、コンサルティングから要件定義、設計・構築支援、運用支援まで広範囲でお客様の課題をともに解決していくことが可能ですので、是非ご相談ください。


執筆者プロフィール:梅ケ迫 義和
2022年4月入社、ITソリューション部に所属。
SIerにてネットワークSEを25年経験。
趣味は、山登り、キャンプなどアウトドア派。

お問合せはお気軽に
SHIFTについて(コーポレートサイト)
SHIFTのサービスについて(サービスサイト)
SHIFTの導入事例
お役立ち資料はこちら

SHIFTの採用情報はこちら   

PHOTO:UnsplashNordWood Themes