「SASE」は、VPNやリモートアクセス、SD-WANなどのネットワーク、ファイアウォールやIDS/IPS、ウイルス対策などを統合したUTM(Unified Threat Management)といったセキュリティの機能をクラウド上で包含的に提供する考え方を指します。
SASEは概念上、SD-WANとネットワークセキュリティサービスを1つのサービスモデルに統合します。統合されるサービスには、次世代ファイアウォール(NGFW)、セキュアWebゲートウェイ(SWG)、ゼロトラストネットワークアクセス(ZTNA)、クラウドアクセスセキュリティブローカー(CASB)などが含まれます。
この記事では、SASEの定義や仕組み、メリットやデメリットも含めながら、ゼロトラストやCASBとの違いについて詳しく解説していきます。
SASE(サシー)は、米国の調査会社ガートナーが2019年に発行したレポートにおいて提唱された新たなセキュリティフレームです。この提案は、現代におけるテレワークの急速な普及に対応するためのものであり、従来のセンター拠点を中心としたネットワークセキュリティアーキテクチャがその限界に直面していることを示唆しています。
従来のアプローチでは、オフィス内のネットワークにアクセスすることが前提とされていました。しかし、現代の働き方はより柔軟で、従業員はどこからでも仕事を行えるようになっています。このような状況下では、個々人の働き方に合わせた快適なインターネット接続を実現することが重要です。
SASEは、この課題に対応するために設計されました。つまり、いつでもどこからでも接続できる「ネットワーク機能」と、その接続の安全性を確保する「ネットワークセキュリティ」を統合した1つの製品として提供されます。これにより、従業員は自宅や移動中でも安全にネットワークに接続し、業務を円滑に行うことができるのです。
では、SASEはなぜ必要とされるのでしょうか。今日の組織が必要としているのは、利用者の居場所に関係なく、ネットワークとクラウド基盤の資源やデータに、中断なく即時アクセスできる環境です。デジタル革命の取り組みによって多くの問題が生じていますが、これは従来型のセキュリティソリューションでは、組織や利用者が必要とするレベルの速度、能力、セキュリティ、アクセス制御を提供できなくなっていることを意味します。つまり、SASEの概念は、ITとセキュリティの分野で長年統合が進んでいる必要性および技術トレンドが論理的に進化を遂げたものと言えます。
SASEは、ガートナーが2019年8月に発表したレポート『The Future of Network Security is in the Cloud』で初めて登場した用語です。ガートナーは、このSASEに関する市場動向論文の中で、「顧客は、WANのエッジネットワークセキュリティ市場において、単純さ、拡張性、柔軟性を兼ね備え、遅延の少ない広範なセキュリティ機能が提供されることを求めている」と述べています。
SASEの概念は、2019年に初めて提唱された比較的新しいアイデアであり、その背景には重要な要因が存在します。
これまでのセキュリティやネットワークのアーキテクチャは、通常1つの課題に対して1つのアーキテクチャが主流でした。例えば、社員のPCからのインターネット利用を想定したセキュリティ対策や、リモートワーク環境からクラウドサーバーへのアクセスなど、一つの目的に対して一つのシステムを構築することが一般的でした。しかし、このやり方には欠点がありました。それは、セキュリティやネットワークのシステム全体が断片化し、管理・運用コストの増加や接続遅延などのユーザーの利便性の低下が生じる可能性があったことです。さらに深刻なことに、複数のシステムが同時に稼働する環境では、統一されたポリシーの実装が困難であり、外部からの侵入の可能性を高めることが懸念されました。
また、個々のシステムごとに対処策を実施することで外部からの侵入を防ごうとする場合、トラブルが発生した際に問題の原因を特定することが難しくなるというデメリットもありました。例えば、マルウェアが侵入したことが分かっても、それが単一の端末だけなのか、どのような情報が漏洩したのかなど、影響の範囲を調査するのに多大な時間がかかる可能性があったのです。
これらの問題を解決し、セキュリティや利便性を向上させるために、より統合されたアプローチが求められるようになりました。その結果、SASEが提唱されました。SASEは、セキュリティやネットワークを統合し管理を簡素化することで、潜在的なリスクを減らし、運用を効率化することを目指しています。
さらに、近年のビジネスにおけるネットワーク利用の現状もSASEの必要性を浮き彫りにしました。VPNの導入コストの高さや、クラウド利用の増加、リモートワークの拡大などの要因が、従来のアーキテクチャの限界を示しています。特に、新型コロナウイルスの影響でリモートワークが一気に普及したことで、従来のネットワーク構築では対応しきれないニーズが浮き彫りになりました。
このような状況下で、従来のアプローチでは対処し切れない高度化するセキュリティの脅威に対処する必要性が高まっています。そして、単一の製品やアプローチだけでは不十分であり、必要なのは統合されたセキュリティ戦略と、それを支える適切な監視・分析体制です。そのためには、セキュリティの専門家やセキュリティオペレーションセンター(SOC)が必要でしょう。
SASEで最も重視されるのは安全なアクセスです。すべてのSASE戦略には、接続性に加えて、一連の基本的なセキュリティ要素を含める必要があります。その一部を以下に示します。
SD-WANは、既存の物理回線の上に構築される仮想的なデータチャネルであり、通信を監視・制御するものです。この技術は、ソフトウェアによってネットワーク通信を制御し、回線が混雑して通信速度が低下したり、通信が遅延したりすることを防ぐことができます。
従来の物理回線によるネットワークは、固定された経路で通信を行うため、柔軟性や拡張性に制限がありました。しかし、WANを導入することで、物理的な制約を克服し、より効率的なネットワーク通信を実現することが可能となります。
具体的には、物理回線上に仮想的なトンネルを作成し、データ通信を安全に転送します。さらに、ソフトウェアによって通信の品質を監視し、必要に応じてトラフィックを最適な経路にルーティングします。これにより、通信速度の低下や遅延を最小限に抑え、ユーザーに高品質な通信環境を提供するのです。また、仮想WANはクラウド環境との統合も容易であり、企業がクラウドサービスを利用する際にも優れたパフォーマンスを実現するのです。さらに、セキュリティ機能の統合や柔軟なネットワークポリシーの適用も可能なので、ネットワーク管理者にとっても運用が容易になるでしょう。
総じて、仮想WANは物理回線に依存しない柔軟性と効率性を提供し、ネットワーク通信の品質向上に貢献します。そのため、企業がデジタルトランスフォーメーションを推進し、ネットワークインフラを最適化する上で重要な役割を果たす技術と言えるでしょう。
動的な経路選択、自律型のWAN機能、要求の厳しい高性能アプリケーションの支援、一貫した利用者体験などの高度なWANネットワーク機能は、SASEソリューションの中核を成すものです。
SASEの必須の仕組みであるZTNAは、いくつかのテクノロジーが連携して機能するため、製品というよりは骨組みに近いものです。SASE戦略におけるZTNAの主な役割は、利用者をアプリケーションに対して認証することです。多要素認証(MFA)と組み合わせたコンテキストベースおよびロールベースの高度なID管理は、ネットワーク内部および外部の利用者とデバイスのアクセスを保護する上で不可欠でしょう。
SASEは、エッジにおけるセキュリティとクラウドから提供されるセキュリティを柔軟に組み合わせて、エッジそしてオン / オフネットワーク両方の利用者を保護する必要があります。企業組織では、内部区分によってゲストやIoTによる脅威を防ぐと同時に、オフネットワークの利用者に対する一貫したセキュリティ規約の適用を可能にする混在したセキュリティ戦略が求められているのです。
FWaaSとは「Firewall as a Service」の略称で、クラウド上でファイアウォールを提供するセキュリティソリューションのことを指します。URLフィルタリングやIPS(不正侵入防止システム)、アプリケーション制御などの機能を備えた次世代ファイアウォール(NGFW)と呼ばれるサービスもあります。
インターネットセキュリティ / コンプライアンスポリシーの適用と、フィルタリングによる悪意のあるインターネットトラフィックの排除を通じて、セキュリティに対するオンラインの脅威から利用者とデバイスを保護するために使用されます。また、Webアクセスの利用規定を適用して法規制や業界標準の法令を確保し、データ漏洩を防止することもできるのです。
CASBとは「Cloud Access Security Broker」の略称で、クラウドサービスへのアクセスを可視化し、不正アクセスなどを防止するためのセキュリティソリューションのことを指します。不審なアクセスを防げるため、シャドーITにも対応できるのです。
CASBサービスを使用する組織はSaaSアプリケーションの制御が可能となり、アプリケーションアクセスの保護やシャドーITの問題などに対応できるようになります。CASBと自社運用のDLPを組み合わせて1つの統合システムを構築することでも、重要なデータの保護は一層強化されます。
アクセス元の場所に関係なく同じセキュリティポリシーを適用することは、企業が複数のクラウドサービスを利用する際に重要な課題です。これらのサービスは、SaaSとして提供されていても、統合的に管理されているわけではないため、セキュリティポリシーが一貫していないことがあります。
さらに、社内ネットワーク内にオンプレミスで運用されているアプリケーションやデータについては、従来から柔軟なカスタマイズやポリシーの設定が可能でしたが、クラウドに移行することで統一された管理とポリシー運用が求められます。
このような課題に対処する方法の1つがSASEです。SASEを利用すれば、SaaSで提供されている複数のクラウドサービスを単一のクラウドに集約し、セキュリティはクラウドから付与できます。これにより、企業はクラウドを包括的に管理し、一元化されたシンプルなセキュリティポリシーを実現できます。
脅威からの保護からNGFW規約にいたるまで、あらゆるエッジに包括的なセキュリティサービスを提供するので、ゼロトラストネットワークアクセスが保証され、ネットワークに誰がアクセスしているか、何が接続されているかを把握し、ネットワーク内部と外部の両方で資産を保護することができます。
SASEを導入することで機器の導入・管理コストも削減できます。通常、SASEはクラウドを活用するため、オンプレミスでのセキュリティポリシー管理が不要となります。また、クラウド本来の機能も十分に活用できるため、スケールアップやスケールアウトもスムーズに行えます。そして、複数のクラウドサービスを一元的に管理することで、一貫したセキュリティポリシーで運用できるため、社内・社外からのアクセスを一元管理可能なシステムの構築ができるのです。
さまざまなポイント製品に搭載されている重要なネットワーク機能とセキュリティ機能を1つのソリューションに統合し、構成を簡素化します。すべての機能は、一元化された管理システムから簡単に管理できます。
利用者は、クラウドの可用性を有効に活用し、作業場所を問わずインターネット、アプリケーション、企業リソースに簡単かつ安全に接続できます。また、 SASEによって複数のクラウドサービスを一元的に管理することで、アクセス遅延が改善される可能性もあります。従来のシステムでは、データセンターが中心となっているネットワーク構造が特徴でしたが、SASEを導入することで複数のクラウドサービスを集中的に管理できます。
SASEの導入には、いくつかのデメリットが存在します。こちらでは、SASEの導入がもたらすデメリットおよび注意点を解説していきます。
まず、SASEはクラウド上で提供されるため、ネットワーク障害に弱いという点が挙げられます。ネットワーク障害が発生した場合、セキュリティだけでなく、サービスそのものが利用できなくなる可能性があるのです。特に、障害の規模が大きければ、業務の中断やSASEの復旧を待たなければならないかもしれません。
そして、もう一つのデメリットは、部署間の連携が必要という点です。従来、セキュリティ対策が部署ごとに異なっていた場合、SASEの導入に際してはセキュリティの統合が必要となります。このため、事前に計画を十分に周知し、部署間での連携を確保しなければなりません。
よって、SASEを導入する際には、これらのデメリットに対処するために以下の2つの注意点を考慮する必要があります。
まず、社内でロードマップを作成することです。SASEの導入には、従来のペリメータセキュリティで構築していたネットワークとセキュリティを新しいシステムへ再構築する必要があります。一気にすべてをSASEに置き換えるのではなく、段階的にSASEを導入していくことが重要です。3~5年の期間を設け、具体的なロードマップを作成して実行に移すことが一般的でしょう。
また、単一ベンダーのソリューションを利用することも推奨されます。SASEは、従来バラバラに構築されていたネットワークとセキュリティを統合するためのソリューションです。そのため、できる限り単一ベンダーのソリューションを選択することで、統合性や管理性を高めることができます。ただし、すべての企業に適した汎用的なソリューションが存在するわけではないため、自社のニーズに最も適した製品を選定しなければなりません。
この2つには、考え方とサービスというようにそもそも概念に違いがあります。
まず、ゼロトラストとは、ゼロトラストセキュリティモデルとも呼ばれており、決して信頼しないという考え方のセキュリティモデルです。
従来の境界型セキュリティでは、社内は安全として外部のインターネットの攻撃から社内の仕組みを守ることが一般的でしたが、近年のクラウドサービスや在宅勤務の普及で、どこからでもアクセス可能です。そのためセキュリティリスクは内部、外部関わらずどこにでもあるため、全てのアクセスに疑いを持つという考え方で監視や検証を行うという考え方がゼロトラストです。SASEとゼロトラストはセキュリティ対策という大きな括りでは同じですが、明確に違う点があります。
ゼロトラストがセキュリティを構築するための概念であるのに対し、SASEはセキュリティ強化のためのソリューションをまとめた骨組みなのです。SASEはゼロトラストの考えを前提としているため、ゼロトラストを実現するものを組み合わせた仕組みがSASEという関係になります。
ゼロトラストはセキュリティの考え方であるのに対して、SASEはゼロトラストを実現するためのものです。しかし、SASEを導入すればゼロトラストを完全に実現できるとは限りません。あくまでも、ゼロトラストを実現するための手段の一つです。ゼロトラストの実現のためにはSASEだけでなく、ネットワークに接続されている末端のデバイスに対してセキュリティ対策を行う製品などを組み合わせることが必要となります。
2つの違いを理解するためには、ゼロトラストは概念、SASEはゼロトラストを実現するためのサービスというように認識するのが良いでしょう。
SASEと同様に、CASBもよく耳にすることが増えたのではないでしょうか。この記事では、SASEとCASBの違いを述べていきます。
まずはCASBの概要について説明します。 CASBはCloud Access Security Brokerの略で、キャスビーと読みます。 CASBとは、安全なクラウドサービスの利用を実現するソリューションのことです。 CASBは利用者とクラウドサービスの間に基準点を設け、クラウドサービスにおいて安全な利用環境を作るのです。
具体的なCASBの機能としては、従業員のクラウドサービスの利用を監視・制御したり、マルウェアの感染を検出・防御したりします。こちらも、クラウドサービスのセキュリティ強化という点では、SASEと同じ考え方と言えます。
SASEとの大きな違いとしては、SASEはソリューションを組み合わせた骨組みで、CASBはSASEを構成するソリューションの一つということです。 CASBはSASEの機能のうちの一つであることから、SASEの方がより広範囲なのです。
CASBには、クラウドの普及に伴う、従来のセキュリティソリューションでは対応できないような対応が想定されています。CASBは、クラウドコンピューティングに伴う新たな脅威から守る働きを担っているのです。
SASEが効果的に機能するには、そのすべての仕組み(接続性、ネットワーク、セキュリティの構成要素)が統合された1つのシステムとして連携する必要があります。
フォーティネットは、セキュリティドリブンネットワーキング戦略の一環として、長年にわたりSASEの中核となる要件(およびその他多くの要件)に応えてきました。2020年7月にOPAQ Networksの戦略的買収を完了した、フォーティネットが提供するユニファイドSASEは、最も包括的なSASE基盤を提供できるようになったのです。
■セキュアアクセスサービスエッジ(SASE)の詳細はこちら
■フォーティネットのサイバーセキュリティ製品についてのお問い合わせはこちら
■フォーティネットの製品デモはこちら
