ネットワーク・アーキテクチャは集中から分散へ

　従来のシステムは主にオンプレミスが中心で、そのため、ネットワークの境界にファイアウォール、プロキシ、VPNを配置することが有効だった。しかし、クラウドの台頭に伴い、この構造が少しずつ変化している。

　これに伴い、これから目指すべきネットワークのアーキテクチャは、オンプレミスの装置がクラウド型サービスに置き換わっていくが、そこでは重要になるのが「ゼロトラスト」の概念だ。

　ゼロトラストは「場所に依存せず、厳密なアクセス制御と継続的な検証を行うセキュリティモデル」。単にゲートウェイがクラウドに置き換わるだけでなく、ユーザーがどこからアクセスするかにかかわらず、厳密なアカウント管理やアクセス制御、エンドポイントでの安全性確認、通信路の暗号化、パケット検査などをアクセスするたびに行う必要がある。


　このアーキテクチャの変化は徐々に進んでおり、一部だけスモールスタートすることも可能だ。そこでどうすればよいか疑問が浮かぶのが「閉域網」の扱いだ。

「閉域網を完全になくそうという目標を掲げてしまうケースもありますが、多くの企業では重要なシステムをオンプレミスに残したほうがいいケースもあります。ビジネスの必要に応じて移行し、“結果としてなくなる”のはよいですが、目標とすべき理由はありません」（池田氏）

　従来はインターネットの出入口を1カ所に絞り、そこで検査をしてきた。しかし、扱うトラフィックは急増している。

　たとえば、パブリッククラウドを利用したWeb会議などは、多くのユーザーが快適に利用できていない状況が見られるという。この問題の原因として、PCの性能やアプリケーション、無線LANのアクセスポイントやインターネットのゲートウェイなどさまざまなものが考えられる。

「ネットワークは本質的に集中して使われることが苦手。ですから、基本的には物理的に分散させて快適さやコストの最適化を目指しつつ、論理的にはゼロトラストの仕組みを用いて一元管理し、リスクを低減させることが重要です」（池田氏）

ITとOT、IoT、CPSのネットワークを安易に統合しない

　企業でDXを進めようとすると、経営サイドからは、ITとOT（Operational Technology）、IoT、CPS（Cyber-Physical System）などを統合して効果を上げたほうがよいのではないかという話が持ち上がることがある。それに対して池田氏は、「現時点では、統合ありきで進めるのはお勧めしません」と話す。


　いずれのシステムもそれぞれビジネス上のミッションがあり、それぞれに安定稼働が求められるためだ。重要インフラの設備を制御するCPSが、ITシステムの干渉を受けて誤作動を起こすようなことはあってはならない。

　「それぞれの領域が独自に発展できるよう、互いに干渉しない距離感を保つことが重要です」と池田氏は注意喚起した。 【次ページ】ゼロトラスト、SASEの導入検討、ベンダー選定で考えるべきこと