リソース > セキュリティ用語集 > ローカル インターネット ブレイクアウトとは

ローカル インターネット ブレイクアウトとは

ローカル インターネット ブレイクアウトの定義

ローカル インターネット ブレイクアウトは、可能な限りユーザーの近くに配置されたインターネットへのアクセス ポイントを指します。ローカル ブレイクアウトを使用すると、組織は支店やリモート オフィスからインターネット宛てのトラフィックをオフロードし、ローカルのインターネット サービス プロバイダー(ISP)経由でインターネットに直接ルーティングすることができます。

 

ローカル インターネット ブレイクアウトが重要な理由

これまで組織はハブ&スポーク アーキテクチャーを導入することで、特にマルチ プロトコル ラベル スイッチング(MPLS)を介して、トラフィックを一元化されたデータ センターにルーティングしてきました。しかし、このアーキテクチャーにおいては、トラフィックはインターネットに出力される前にVPNなどのセキュリティ アプライアンスのスタックを経由します。また、Microsoft 365やSalesforceなどのSaaSならびにクラウド アプリケーションがインターネット経由で直接アクセスできるように構築されているため、現在ではトラフィックのパターンは変化しています。

ワイドエリアネットワーク(WAN)帯域幅は、インターネット宛てのトラフィックによって消費されるようになり、インターネット宛てのトラフィックを企業のデータセンタにバックホールする意味はもはやなくなっています。なぜなら、コストがかさむ上にアプリケーションのレイテンシが長くなり、その結果ユーザーエクスペリエンスの低下にもつながってしまいます。組織がこうした事実に直面するにつれて、支店との接続を簡素化してより簡単にインターネットとの直接接続を確立するため、ローカル ブレイクアウトとSD-WANに対する注目度が高まっています。

 

Zscalerの支援により、Mondiは一部の拠点で利用可能な帯域幅を最大15倍まで増やすことができ、MPLSのアップグレードはもはや過去のものとなりました。日常の業務の大部分がインターネット上で処理されていることを考えると、これは非常に重要です。
Mondi Group コミュニケーション ネットワークス部門マネージャー、Thomas Vavra氏

ローカル インターネット ブレイクアウトの仕組み

ローカル インターネット ブレイクアウトにより、組織は低コストの接続を活用してインターネット トラフィックをローカルISPにルーティングできるため、企業ネットワークの負荷を軽減して高速なユーザー エクスペリエンスを提供し、まだ企業のデータ センター内にあるアプリケーション用にMPLSを確保することができます。

ソフトウェア定義のワイド エリア ネットワーク(SD-WAN)をオーバーレイとして用いることで、ソフトウェア定義ポリシーを使用し、支店をインターネットやクラウド アプリケーション、データ センターに接続するトラフィックをルーティングするための最適なパスが選択されます。クラウド内のすべての支店のポリシーを1つのインターフェイスで定義することで、新しいアプリケーションやサービスを簡単に実装した上で、多くの場所にわたってポリシーを管理することができます。

 

ローカルインターネットブレイクアウトの課題とは

SD-WANとローカル インターネット ブレイクアウトは、セキュリティ上の新しい課題をもたらします。各ブレイクアウトは、ファイアウォールやサンドボックス、高度な脅威対策、情報漏洩防止(DLP)、IPSなどといった、一元化されたセキュリティ ゲートウェイでこれまで提供されていたものと同等の対策で保護する必要があります。

ローカル インターネット ブレイクアウトに従来型のセキュリティを適用させるには、以下のことを行う必要があります。

  • 企業のセキュリティ スタックをすべての拠点に複製すること。これには、すべての支店にセキュリティ アプライアンス スタックを導入する必要がありますが、コスト面で非現実的であるだけでなく、これらのアプライアンスの購入、導入、管理に伴う複雑さも軽視できません。
  • 次世代ファイアウォール(NGFW)やその他の時代遅れのセキュリティ アプライアンスを使用すること。 これらはクラウド アプリケーションをサポートできるようには構築されておらず、アプリが作成する大量の長期間接続をサポートできる拡張性を有していないため、簡単に過剰負荷の状態に陥っていまいます。
  • SSL/TLSインスペクションをサポートするために追加の対応を行うこと。 従来型のアプライアンスがSSL検査を実行するためには、チップレベルではなく、ソフトウェアでSSL検査を実行するプロキシー機能を追加する必要があります。これはパフォーマンスに大きな影響を与えることになり、結果的にユーザー エクスペリエンスを低下させてしまいます。

 

ローカル インターネット ブレイクアウトのメリット

ローカル インターネット ブレイクアウトとSD-WANを企業が採用していく中で、ローカル インターネット ブレイクアウト全体にわたって企業のセキュリティ機能を提供する必要があります。しかし残念ながら、従来型のNGFWとアプライアンスベースのセキュリティ スタックはクラウド アプリケーションをサポートできるようには構築されておらず、バーチャルのものにも従来型のアプライアンスと同じ制限や課題が多く残されています。アプリケーションがクラウドに移行するにつれて、セキュリティも同じようにクラウドに移行させるのは理にかなっていると言えるでしょう。

クラウドベースのセキュリティでローカル インターネット ブレイクアウトおよびSD-WANを保護することで、アプライアンスベースのソリューションで実現できない、以下のような様々なメリットが得られます。

  • 高速で安全なユーザー エクスペリエンス:支店のトラフィックをインターネットに直接ルーティングしてクラウドベースのサービスを介してセキュリティを提供することで、クラウド アプリへの完全対応を実現しながら、ユーザーに対して高速で安全なエクスペリエンスを提供することができます。
  • コストの削減:組織がクラウドベースのセキュリティ ソリューションを使用することで、MPLSコストが削減され、ローカル インターネット ブレイクアウトが利用可能になり、支店ごとにコストのかさむセキュリティ アプライアンスやNGFWのスタックを購入、導入、管理することなく、インターネット宛てのトラフィックをすべて検査することができます。
  • 支店におけるIT運用の簡素化:セキュリティをクラウドサービスとして提供することで一元管理が可能となり、重要なアプリの優先順位付け、新しいサービスの有効化、ポリシーの定義と適用をわずか数回のクリックで即座に実行できます。
  • 場所を問わないユーザーの保護:クラウドベースのセキュリティでローカル インターネット ブレイクアウトを保護することで、カフェや本社、支店など、接続する場所にかかわらず、セキュリティに関する妥協を一切せず、すべてのユーザーに対して同一の保護を提供します。

このようにローカル インターネット ブレイクアウトのメリットは明らかですが、これらを完全な形で実現するためには、妥協なく真にクラウド用に構築されたセキュリティ サービス プロバイダーを活用する必要があります。そのためには、あらゆる場所から作業をするユーザーのためのインターネット接続を保護する、長年の経験を持つベンダーが不可欠です。そして、そのベンダーこそがZscalerなのです。

 

Siemensの事例

動画を見る(英語)

クラウド トランスフォーメーションに求められる新しい考え方

eBookを読む

安全なWANトランスフォーメーションで、最新のデジタル エンタープライズを実現

レポートを読む(英語)

Zscalerによるローカル インターネット ブレイクアウトとSD-WANの保護

Zscalerはアウトバウンド インターネット トラフィックを保護し、バックホールまたは拠点ごとにセキュリティ アプライアンス スタックを導入することなく、高速なユーザー エクスペリエンスを提供します。Zscalerはセキュリティ スタック全体をクラウド サービスとして提供するため、セキュリティ面で妥協する必要はありません。

Zscalerの場合、ポリシーが物理的な場所に関連付けられることはなく、代わりにポリシーがユーザーを追跡するため、接続する場所に関係なくまったく同じ保護を提供します。インターネット宛てのトラフィックをZscalerにルーティングするだけで、すべてのトラフィック、つまりSSLを含むすべてのポートとプロトコルの検査を即座に開始することができます。また、1つのコンソールから、すべての場所にわたってアクセスとセキュリティのポリシーを定義し、即座に適用することが可能です。Zscalerを活用することでクラウド サービスを弾力的に拡張できるほか、パフォーマンスへの影響を回避し、コストのかさむアプライアンスのアップグレードを解消し、わずか数回のクリックで帯域幅制御などの新しいサービスを導入できます。

 

SLAが定められたパフォーマンスを有するSSLインスペクション

SSLは現在デフォルトとなっている通信プロトコルですが、ランサムウェアのような脅威の多くはSSL内に潜もうと試みています。脅威が他のポートを使用する場合もあるため、すべてのトラフィックを検査することが不可欠です。それでもSSLインスペクションは依然としてセキュリティ アプライアンスにとって大きな課題であり、トラフィックの復号化、検査、そして再暗号化は、ファイアウォールのパフォーマンス低下につながることがわかっています。

Zscaler Zero Trust Exchange™の一部をなすZscaler Cloud Firewallは、SSLを含むあらゆるポートとプロトコルのすべてのトラフィックを、レイテンシーをほとんど生じさせずに検査します。

 

効果を体験しましょう

現在も従来型のハブ&スポーク アーキテクチャーに依存している場合や、ローカル インターネット ブレイクアウトの確立を検討しているものの、保護するための最適な方法が分からない場合もあるでしょう。Zscalerがどのようにローカル インターネット ブレイクアウトを保護し、高速かつ安全なユーザー エクスペリエンスを提供できるかを把握するには、デモをリクエストしましょう。

 

その他のリソース