SB C&Sの最新技術情報 発信サイト

C&S ENGINEER VOICE

SB C&S

【Cato Networks】SASE/SSEの送信元IPアドレス固定について少しだけ理解を深める 概念編

Cato Networks
2024.08.19

SASE/SSE製品を選ぶ際の1つの機能として、"送信元IPアドレスを固定"できるかという話題がよく上がります。

この"送信元IPアドレス"という機能を3つの観点で考えてみましょう。

  • 送信元IPアドレスの提供方式(Dedicated vs Anchored)
  • 送信元IPアドレスの提供場所
  • 柔軟な設定の可否

まずこの送信元IPアドレス固定とは一体どういうときに必要なのかを考えてみましょう。

インターネット上のサービス/サイトへアクセスする際の送信元IPアドレス

インターネット上に公開されているサービスはインターネット経由で世界中からアクセスすることができます。 しかし、特定の契約したサービス(お取引さまなど)や自組織でしか利用しないサービスに対しては、世界中からアクセスを不要とする場合があります。

あらかじめ送信元IPアドレスをサービス側で制限し、決められた送信元IPアドレスからしかサービス接続を受け付けないようにすることで、不必要にサービスを公開することなく、確実に不正なIPからアクセスを防ぐ方法としてとても有効な方法です。

この方法はとてもシンプルで簡単に接続元を特定、制御できるので組織だけでなく、多くのクラウドサービスでもよく使われている方式です。

企業間の取引、SaaSへのアクセス、テナント制御や、管理された組織内端末からの通信を必ず指定されたIPアドレスを送信元とすることができるようになります。

インターネットアクセス時の送信元IPアドレスと場所の統一化

今の時代はインターネットさえあればどんな環境からでも便利に安全にアクセスできるようになりました。 インターネットは組織内、自宅、ホテルや移動先など様々な場所に存在するため、場所を問わずインターネットをつかって様々なサービスを利用できます。

しかしインターネットへ接続する際の接続場所が変わってしまうと、出口も変わるため、送信元IPアドレスがころころと変わってしまいます。

特にSASE/SSEでは、ユーザーの場所は移動することが前提であり、SASE/SSE自体も接続する場所によって接続するPoP(Point of Presense)が変わってしまうため、一貫性を求めるニーズが高まります。

組織としては、業務アクセス時のSaaSなどへのアクセス時のIPアドレスを常に固定化することで、接続時の身元をしっかりと提示できて、不必要にサービスへのアクセスをブロックされないような効果が期待できます。

さらに海外などに出張された場合ユーザーに対しても、一貫した接続性を提供することで、生産性を落とさずに、お国柄の事情を考慮しつつ、安全、快適なアクセスを提供できるということでとても重要な要件です。

いずれにしても、送信元IPアドレスが固定化されていることで、有益な使い方がたくさんあります。

1. 送信元IPアドレスの提供方式

SASE/SSE製品の多くでは、送信元IPアドレスを固定化する方法を提供するメーカー製品が多くあります。 しかし、送信元IPアドレスの固定化に対応している/していないというだけでは各メーカーの機能差異がわからなくて、実際に導入したものの、後々要件と違ったということがないようにしておきたいです。

ちょうど良い定義された言葉がなかったので、仮ですが、私の方で2つの方式に名前をつけてみました。

Dedicated IP方式

Dedicated IP方式とは、SASE/SSE側でユーザー専用のIPアドレス(Dedicated IP)を提供し、ユーザーが指定されたトラフィックに基づいて、送信元IPアドレスを固定化する機能とします。

IPアドレスはSASE/SSE側に存在するため、IPアドレスに対するメンテナンス(接続性、対攻撃性、対障害性など)を考慮する必要がなく運用することができます。

Anchored IP方式

Anchored IP方式はユーザーがプロバイダーと契約して保有しているIPを使い、送信元IPアドレスを固定化する機能とします。

IPアドレスはユーザーがインターネットプロバイダーと契約を行い、その払い出されたIPを使う形になります。IPアドレス対するメンテナンスはユーザー側で担保する必要があります。(接続性や対攻撃、対障害性など)

どちらも送信元IPアドレスを固定化できる方法ですが、どちらも一長一短なところがありますが、SASE/SSEで重宝されるのは、おそらくDedicated IP方式だと思います。しかし、どちらも必要なケースがあるため、その特徴を理解しておくことはとても重要です。

図1.png

図13.png

2. 送信元IPアドレスの場所(物理的な場所)

方式が2つあることがなんとなく理解できたら、次はその提供場所についても少し考えてみます。

IPアドレスが提供される地理的な場所がどこかということはとても重要です。 日本のSaaSへアクセスしたいのに、送信元IPアドレスを変換する場所がアメリカだったとしたらそれは困ります。 その逆もしかりで、できればアクセスしたいSaaSに対して近いところで送信元IPアドレスを固定化したいですし、国内サービスを利用されるユーザーであれば、なるべくなら国内IPを使ってほしいと考えます。

その点、Anchored IP方式であれば、地理的な場所は保証されます。 ユーザーが日本のプロバイダーで契約をしている限り、IPは国内でしか利用できないためその点ではとても信頼性の高い方式です。

反面、同時接続数が多い場合は当然ロードバランスが必要であったり、IPアドレスの接続性(高可用性)については考慮しながら運用する必要があるため、手離れが良い方式とは言い切れません。 (データセンター等を保有していればよいですが、設備的に持っていないケースもあります)

一方で、Dedicated IP方式はSASE/SSEメーカーがIPを保有する仕組みとなるため、Anchored IP方式のデメリットを払拭できるサービスです。

考慮するべきポイントとしては、払い出されるIPがどこで提供されるか(実際にはNAT変換される)場所がどこなのかというのはしっかり確認が必要です。(海外なのか、払い出されるIPレンジはどこの所属なのか)

Dedicated IP方式は最近各SASE/SSEメーカーでも多くで提供していることが多く、差別化ポイントだと思います。(契約方法、提供までの手続き、提供できる数や送信元IPアドレス以外の使い方など)

3. 柔軟な制御の可否

上記の内容から、DedicatedもAnchroedもどちらにもメリットがあることはご理解いただけたでしょうか。 できることなら、両方をサポートしていて、柔軟に宛先に応じて使い分けができることが望ましいです。

そして、SASE/SSE製品を選ぶポイントして、送信元IPアドレスを固定化するための設定や運用の柔軟性はとても重要です。

例えば、マイクロソフトのサービスにアクセスする際は、Dedicated IP(日本から)出るように設定したい。 また、顧客との発注処理については、Anchored IP(ユーザーがプロバイダーと契約しているIP)から接続するようにしたいなど、宛先や目的ごとに、送信元IPアドレスを切り替えれる必要もあります。

さらに、国内所属のユーザーは国内にあるDedicated IPを使い、アメリカ所属のユーザーはアメリカのDedicated IPを使うなど、送信元の条件なども加味できるなどの条件も必要です。

そして、送信元IPアドレスは1つではなく、複数提供することで、万一の障害時にバックアップ通信ができることも考慮しなければなりません。(少なくても2つ以上の場所、IPが必要)

まとめ

今回は送信元IPアドレスの固定についてのまずは概要について書きました。 送信元IPアドレスの固定というのは、SASE/SSE製品選びにおいても、重要なポイントであり、今後SaaSとの接続に置いては必ず考慮しておく必要のあるポイントです。

次はCato Networksを使って、どのように送信元IPアドレスを固定化できるのかという観点でまとめたものはこちらです。 続きのブログも是非読んでください!

【Cato Networks】SASE/SSEの送信元IPアドレス固定について少しだけ理解を深める 実践編

Catoの情報はこちらから

著者紹介

SB C&S株式会社
ICT事業本部 技術本部 第3技術部
宮本 世華

釣りが好きです。