エッジ・セキュリティとは？

エッジ・コンピューティングのセキュリティは、組織の資産へのアクセスをアクセス・ポイントで保護する近代的なネットワーク・アーキテクチャを反映しています。資産の分散化が進む中、多くの組織は単に物理的な場所で活動しているわけではありません。代わりに、インターネット上で運営されているため、好むと好まざるとにかかわらず、世界中でアクセスすることができます。

その広範なアクセスは、サイバー犯罪者やその他の悪質な攻撃者に悪用される危険にさらされています。エッジ・セキュリティがない場合、従来のセキュリティ・ソリューションでは、従来型のオンプレミスや資産ベースの制御から離れた場所へのアクセスを保護することは困難になります。

この記事では、エッジ・セキュリティとは何か、エッジ・セキュリティの重要な側面、エッジ・セキュリティにおけるリファレンス・アーキテクチャの実装に関するいくつかの側面について解説します。

エッジ・セキュリティとは？

エッジ・セキュリティとは、ネットワークのエッジにおけるリスクを軽減するために保護が適用される概念的なセキュリティ・モデルをさします。モバイル・デバイス、モノのインターネット・デバイス（IoT）、エンドポイント、アプリケーションなどの組織資産がインターネットにアクセスできるのは、そのエッジです。

エッジ・セキュリティのメリットは、分散環境でも実感できます。従来、企業が集中型データセンターやオンプレミスの企業ネットワークに依存していたとき、境界ファイアウォールや侵入防止システムが企業資産を保護する鍵となっていました。企業資産が物理的な場所に置かれていたため、これは理にかなっています。

分散コンピューティング環境は、企業ネットワークを構成するものを複雑にしています。ほとんどの企業にとって、データセンターやオンプレミスのネットワークを保護するだけではもはや十分ではありません。なぜなら、従業員はそれらのエリア外で働き、そこに存在しない環境を活用しているからです。

エッジ・セキュリティは、より一時的な境界に対する防御層を提供します。拡張された環境に置かれた企業資産への不正アクセスや操作を防ぐように設計されています。

エッジ・セキュリティの主な側面

エッジ・セキュリティは、データを保護するために、従来のセキュリティが焦点を当てているのと同じコア・リスク、すなわち ID、デバイス、ネットワークに焦点を当てています。一般的には、従来のセキュリティ・ソリューションの上にレイヤーを重ね、従来のセキュリティの中核的なセーフガードと考えられるものの外側でデータを保護します。

エッジ・セキュリティは、ID 管理を活用して、ユーザーやデバイスが適切に認証され、特定のリソースにアクセスするための適切な権限を持っていることを確認します。シングル・サインオン（SSO）とフェデレーテッド・アイデンティティへの推進は、異なるシステムへのアクセスをより簡便にするための信頼の拡張されたネットワークを構築しようとする試みだと主張する人もいるでしょう。

デバイスに関しては、エッジ・セキュリティは、データとアイデンティティに基づく保護をデバイスにさらに大きく押し付けようとしています。行動監視、データ・タギング、データ管理は、エッジ・コンピューティングのいくつかの側面であり、デバイス・レベルで適用され、実施されるようになってきています。従来の EDR 保護に重なり、運用のための外部アプライアンスへの依存も少なくなりました。

包括的なエッジ・セキュリティ・アーキテクチャの鍵となるのは、ネットワーク保護です。セキュア・アクセス・サービス・エッジ（SASE）ソリューションは、包括的なクラウド・アクセスと境界を超えるセキュリティを提供します。これらのソリューションは、通常、物理および仮想ファイアウォール上に重ねて、ネットワーク・セグメント間でのユーザー、アセット、データのシームレスな移動を提供します。

エッジ・セキュリティのリファレンス・アーキテクチャを実装する際の考慮事項

従来のネットワーク・セキュリティ・アーキテクチャと同様に、エッジ・セキュリティ・アーキテクチャにも戦略的な計画と、セキュリティ保護対象の環境の理解が必要です。しかし、実装する方法については、単純化することができます。

もし役に立ちそうなら、建物の外側のように安全なエッジを思い浮かべてください。建物の内部に入ると、各部屋に安全なエッジがあります。これらの安全なエッジは、オープンドア、無制限のアクセス、またはアクセスを制限するためにロックされている場合があります。セキュリティ・カメラは、人やデータの移行を監視します。

この類推により、エッジ・セキュリティ・アーキテクチャを実装する際に考慮すべき点がいくつかあります。

• スケーラビリティ：新しいアモルファスおよび仮想エッジは、柔軟でスケーラブルな設計となっています。オンプレミスのアプライアンスや仮想化ではなく、クラウドやコンテナについて考えてみてください。これらの環境は、需要に応じて迅速に拡張できるように設計されています。また、環境もそれらを保護しています。
• 包括的なデータ管理：データはもはや、企業の四方の壁の中だけに存在するわけではありません。クラウドを多用する企業においては、データの多くが社外に存在している可能性が非常に高いです。したがって、データが存在し、使用されているクラウド環境やリモート環境でデータを保護することが重要です。そのような環境に物理的なアプライアンス・セーフガードを導入することは不可能なので、エッジ・セキュリティ・ソリューションが必要になります。
• 強固なアイデンティティ管理：仮想エッジは分散型であるため、仮想エッジに侵入する人物が誰であれ、その権限を持っていることを保証することが重要です。ID 管理には、個人を特定するための堅牢な認証と、個人が自分のリソースにアクセスすべきことを保証するための承認を含める必要があります。
• アクセス管理を合理化：フェデレーテッド・アイデンティティとシングル・サインオンは、アセット間のシームレスな移行を確実に行うために重要です。エッジ・セキュリティは、異なる資産ごとにアクセスが制限されたり要求されたりすると、煩雑で扱いにくくなります。
• 耐障害性：セキュアなエッジは、分散型サービス拒否（DDoS）攻撃など、特定の種類の攻撃を軽減できる必要があります。このような攻撃は、分散環境への分散アクセスを妨害する可能性があるため、分散環境にとってはより重要となります。セキュアなエッジを耐障害性にすることで、ビジネス・オペレーションが促進されます。

関連記事：耐障害性アーキテクチャとは

ピュア・ストレージがエッジ・セキュリティを強化

ピュア・ストレージは、分散環境の維持とリカバリのための複数のソリューションを提供します。 Purity//FA のようなソリューションは、オンプレミスでもクラウドでも、ストレージをシームレスに管理します。Purity//FA は、回復力と拡張性に優れた管理ツールを提供し、セキュアなエッジ内でデータを適切に管理します。

最悪の事態が発生した場合は、Pure Protect //DRaaS が不変で回復力に優れたクラウド・リカバリ・ソリューションを提供し、迅速な復旧を可能にします。必要な場所へのクリーンなリカバリを保証します。

まとめ

セキュアなエッジは、従来の技術インフラに対する保護策を、より広範な環境のニーズに対応するために拡張するという点で新しい概念です。コンピューティングやビジネスがますます分散する環境では、その環境を保護することがかつてないほど重要になっています。

ピュア・ストレージがお手伝いします。分散環境の運用を維持し、その一部または全部を即座に復旧できるソリューションを提供します。