SD-WAN と Cisco Secure Access(CSA)入門
このページのゴール:
従来 WAN と SD-WAN の違い、Cisco Secure Access(旧 Umbrella SIG)の役割、 そして両者を組み合わせたゼロトラスト WAN の全体像を理解する。
従来 WAN と SD-WAN の違い、Cisco Secure Access(旧 Umbrella SIG)の役割、 そして両者を組み合わせたゼロトラスト WAN の全体像を理解する。
1. SD-WAN とは
1-1. 従来 WAN との比較
🏛️ 従来 WAN(MPLS 中心)
- 専用線・MPLS で拠点間を接続
- 本社データセンター(DC)を経由してインターネットへ
- 帯域追加はプロバイダ工事が必要
- クラウド SaaS が増えると DC がボトルネックに
🚀 SD-WAN
- インターネット回線(ブロードバンド・LTE・5G など)を 複数束ねる
- 回線品質に応じてアプリごとにパス選択(アプリ認識ルーティング)
- ソフトウェア設定だけで帯域・ポリシー変更が可能
- SaaS への通信はローカルブレイクアウト(拠点から直接インターネット)
1-2. SD-WAN の主要コンポーネント(Cisco Catalyst SD-WAN)
| コンポーネント | 旧称 | 役割 |
|---|---|---|
| SD-WAN Manager | vManage | Web GUI による一元管理・設定配布・可視化 |
| SD-WAN Controller | vSmart | OMP(Overlay Management Protocol)でルーティングポリシーを制御 |
| SD-WAN Validator | vBond | 拠点エッジデバイスの認証・オーケストレーション |
| WAN Edge | vEdge / cEdge | 拠点に設置する物理 or 仮想ルータ(IOS-XE ベース) |
1-3. SD-WAN のデータプレーン概要
拠点 A(WAN Edge)
ローカル回線: ISP-1 / ISP-2
拠点 B(WAN Edge)
ローカル回線: ISP-1 / MPLS / ISP-2
IPsec オーバーレイ(BFD で遅延・ジッタ・ロスを監視)
Primary: ISP-1
Fallback: ISP-2
Business App: MPLS 優先も可
アプリポリシー例
- Teams / Webex: ISP-1 優先(低遅延)
- バックアップ通信: ISP-2 / MPLS
- 未分類トラフィック: ロードバランス
- BFD(Bidirectional Forwarding Detection) で各トンネルの遅延・ジッタ・パケットロスをリアルタイム計測し、SLA を満たす回線へ自動切替。
- DPI(Deep Packet Inspection) によってアプリを識別し、アプリごとに優先パスを選択。
- 設定はすべて SD-WAN Manager(vManage) からテンプレート配布。CLI 直接投入は不要。
2. Cisco Secure Access(CSA)とは
旧称: Cisco Umbrella SIG(Secure Internet Gateway)
SASE 構成要素
Cisco Secure Access は、クラウド型のセキュリティサービスプラットフォームです。 拠点・ユーザがどこにいても、すべてのインターネット通信を クラウド PoP(Point of Presence) 経由に集約し、多層防御を提供します。
Cisco Secure Access は、クラウド型のセキュリティサービスプラットフォームです。 拠点・ユーザがどこにいても、すべてのインターネット通信を クラウド PoP(Point of Presence) 経由に集約し、多層防御を提供します。
2-1. 主なセキュリティ機能
| 機能 | 概要 |
|---|---|
| DNS セキュリティ | 悪意ある FQDN を DNS 解決の時点でブロック(C2 通信・フィッシング対策) |
| SWG(Secure Web Gateway) | HTTP/HTTPS プロキシ。URLフィルタリング・SSL インスペクション・マルウェア検査 |
| CASB | SaaS(Office 365・Box など)の利用状況可視化とアクセス制御 |
| ZTNA(Zero Trust Network Access) | 社内アプリへのアクセスをユーザ/デバイス/コンテキストで制御(VPN 代替) |
| FWaaS(Firewall as a Service) | クラウドで動作するステートフル L3/L4/L7 ファイアウォール |
| Threat Intelligence | Cisco Talos の脅威インテリジェンスと統合した脅威検知 |
2-2. CSA のアーキテクチャ
🏢
拠点 WAN Edge
Cisco Catalyst SD-WAN
💻
端末 / リモートユーザ
Cisco Secure Client
🌐
DNS クエリ
すべてのデバイス
IPsec / GRE
ZTNA / SWG
DNS 53/853
☁️ Cisco Secure Access
クラウド PoP(世界各地に分散配置)
🔍 DNS セキュリティ
悪意ある FQDN を DNS 解決時点でブロック
🔒 SWG / SSL 検査
HTTP/HTTPS を復号・検査・URLフィルタリング
🛡️ FWaaS
クラウド動作のステートフル L3〜L7 FW
🗝️ ZTNA
ユーザ / デバイス / コンテキストでアプリアクセスを制御
📊 CASB
SaaS 利用状況の可視化とアクセス制御
⚡ Talos 脅威 Intel
Cisco Talos と連携したリアルタイム脅威検知
セキュリティ検査済みトラフィック
🌍 インターネット
☁️ SaaS
Microsoft 365 / Box など
Microsoft 365 / Box など
🏠 社内アプリ
ZTNA 経由
ZTNA 経由
2-3. 従来 VPN との違い
🔒 従来 VPN
- 拠点/端末 → VPN 集約装置(本社 DC)→ インターネット
- DC がボトルネック・遅延増大
- 「社内ネットワーク内は信頼する」前提
- VPN 認証のみ。端末の健全性は問わない
🛡️ Cisco Secure Access(ZTNA)
- 端末 → 最寄りクラウド PoP → アプリ(直接)
- 遅延最小・DC 経由不要
- 「すべてを疑う」ゼロトラスト前提
- ユーザ・デバイス姿勢・場所・時間でアクセス判断
3. SD-WAN + CSA の組み合わせ(SASE)
SASE(Secure Access Service Edge) = SD-WAN(ネットワーク)+ クラウドセキュリティ(CSA)を統合したアーキテクチャ。
Cisco では Catalyst SD-WAN + Cisco Secure Access の組み合わせがこれに相当します。
本社 / 拠点
Catalyst SD-WAN WAN Edge
リモートユーザ
Cisco Secure Client(端末)
IPsec トンネル
ZTNA / SWG
☁️
Cisco Secure Access (クラウドセキュリティ境界)
🔍 DNS Security
🔒 SWG / SSL 検査
🛡️ FWaaS
🗝️ ZTNA
📊 CASB
⚡ Talos 脅威 Intel
セキュリティ検査済みトラフィック
🌍 インターネット
☁️ SaaS
Microsoft 365 / Box など
Microsoft 365 / Box など
🏠 社内アプリ
ZTNA 経由
ZTNA 経由
メリット
- 一貫したポリシー: 拠点・在宅・外出中のどこからでも同じセキュリティポリシーを適用。
- 可視化の統合: SD-WAN Manager と CSA ダッシュボードで WAN 品質・セキュリティイベントを一元確認。
- スケーラビリティ: 拠点追加はエッジデバイス設置+テンプレート適用のみ。DC に機器追加不要。
- コスト最適化: MPLS を低コストのブロードバンドへ移行しつつ、セキュリティはクラウドで担保。
4. キーワードまとめ
| 用語 | 意味 |
|---|---|
SD-WAN | ソフトウェア定義 WAN。複数回線をインテリジェントに使い分ける |
OMP | Overlay Management Protocol。SD-WAN コントローラがルーティング情報を配布するプロトコル |
BFD | トンネルの遅延・ロスをリアルタイム計測。SLA 違反時に自動パス切替 |
ローカルブレイクアウト | SaaS 向けトラフィックを DC 経由せず拠点から直接インターネットへ出す |
SWG | Secure Web Gateway。HTTP/HTTPS を検査するクラウドプロキシ |
ZTNA | Zero Trust Network Access。VPN に代わるアプリ単位のアクセス制御 |
CASB | Cloud Access Security Broker。SaaS の利用を可視化・制御 |
SASE | SD-WAN+クラウドセキュリティを統合したアーキテクチャ |
Cisco Talos | Cisco の脅威インテリジェンスチーム。CSA と統合 |