「SASEがどういうものなのか知りたい!」
「SASEのサービスを有効に利用することでどういうメリットがあるのだろうか?」
企業のネットワークセキュリティやIT環境に携わる中で、どのように安全で、効率的な環境を構築するか悩まれたことのある方は多いのではないでしょうか。
特に近年ではテレワークの増加やクラウドサービスの流行という背景もあり、単純に企業のネットワークを社内外に分けて、社内ネットワークだけを守るという従来のセキュリティソリューションでは、不十分であると考えられています。そこで本記事では最先端のセキュリティフレームワークであるSASEについて解説します。
SASEとは
SASE(Secure Access Service Edge)とは、2019年に米国のガードナー社により提唱されたセキュリティのフレームワークです。SASEは従来では別々に考えられていたセキュリティのソリューションとネットワークのソリューションを1まとめにしたフレームワークであり、近年特に注目されています。
これまでは1つのセキュリティやネットワークの課題に対して、1つのアプライアンスで対応することが一般的でした。(例えば、ネットワークへの不正アクセスに対してはファイアウォールを設けて対処する、など)
その結果として、システム全体がつぎはぎのような形になってしまい、全体として一貫性がない、管理や運用のコストが膨大になる、接続の遅延などパフォーマンス低下、肝心のセキュリティにも一貫したポリシーが存在しないためリスクがある、といった欠点が見られました。SASEはこのような欠点を解消した、より現代的なソリューションだと言えます。
ゼロトラストとSASEとの関係
SASEと同じように近年よく耳にするセキュリティのキーワードにゼロトラストがあります。
ゼロトラストは2010年代に登場した概念で、「社内外全てを信用できない領域として全ての通信を検査し、認証を行う」というセキュリティの考え方です。ゼロトラストが登場した背景には以下のような要因があります。
・クラウドサービスの利用増加
・テレワークやBYODなど働き方の多様化
・情報漏洩などのセキュリティインシデントの増加
SASEの機能はこのゼロトラストを基準として実装されています。ゼロトラストが概念や考え方なのに対し、SASEはゼロトラストの考え方に加え、ユーザーの利便性や運用効率を考えて実装された具体的なソリューションになります。
SASEの機能
では具体的にSASEで提供される具体的な機能についてご紹介します。
SASEのネットワーク機能
・SD-WAN
SDNとWANを合わせたネットワークのソリューションです。
WANをソフトウェアによって管理することで、例えば企業の分散拠点間のネットワークを
効率的に管理したりトラフィックの優先順位付けを行えるようにします。
・WAN最適化/高速化
複数の帯域保護技術や、キャッシング、画像最適化などの技術により、WANの通信を最適化/高速化します。
・リモートアクセス
後述のセキュリティ機能によって認可された安全なリモートアクセスや、VPN接続を提供します。
SASEのセキュリティ機能
・ZTNA
ゼロトラストネットワークアクセス。アプリケーションやネットワーク上のリソースへのアクセスなど通信を行う際、
ゼロトラストモデルの考え方に則った通信の検証が行われます。一度検証を通過したユーザーをその後もずっと通過
させてしまうといった従来のセキュリティの問題点を解消します。
・CASB
クラウドサービスの利用状況を中央で一元的に可視化するソリューションで、企業で認可していない不正な
クラウドサービスが使用されるシャドーITのリスクを解消します。CASBは可視化、データ保護、脅威防御、
コンプライアンスの4つの要件で成り立っています。
・FWssA
Firewall as a Service。URLフィルタリング、脅威防御、侵入防止システム(IPS)、DNSセキュリティといった
最先端のファイアウォール機能をクラウド上で提供します。従来のオンプレミス型のファイアウォールと異なり、
変化するネットワークの要件と脅威に対応できるクラウドネイティブである点が強みです。
・SWG
セキュアウェブゲートウェイ。エンドユーザーが外部への通信を行う際に主にクラウドで提供されるProxyサーバーです。
従来のProxyサーバーとSWGの違いは、ゼロトラストの考え方に則ってIPアドレスの匿名化やURLフィルタリングなど
セキュリティ機能が強化されている点です。
SASE導入のメリット
SASEのサービスを導入するメリットについていくつかご紹介します。
管理負荷やコストの削減
SASEを導入してセキュリティとネットワークのソリューションを1まとめして、中央で集中的に管理するようにすることで、物理的なアプライアンスのコストの削減と、運用のコストの削減が可能です。
複数のネットワークやセキュリティがハードウェア・ソフトウェア問わずばらばらに導入されている場合、それらを全て管理して、適切な状態に保ち続けることはかなり大変なことではないでしょうか。
SASEであれば、企業の情報システム部門の運用負荷の軽減が期待できます。
テレワークやクラウドにおけるセキュアな環境の提供
クラウドサービスとテレワークの増加により、必ずしも社内の端末から社内のネットワークに接続するとは限らず、多様なデバイス、ネットワークからアクセスするという状況が増えています。SASEであれば、ファイアウォールのような境界型の防御に止まらず、ゼロトラストの考え方に則って通信を検査するためセキュアな環境です。
また、クラウド上のスケーラブルなインフラを持っているため、Web会議や動画のDLなど通信のパフォーマンスが重要になる場面でも品質を落とさずに通信できます。
セキュリティ脅威への対応
従来のばらばらなセキュリティアプライアンスの組み合わせに比べて、SASEは一貫したセキュリティポリシーで設計されているため、セキュリティ要件の抜け漏れをなくすことができます。
またクラウドネイティブなサービスのため、最新化されたランサムウェアやマルウェアにもクラウドで自動バージョンアップして対応します。
管理側でセキュリティアプライアンスのバージョン管理を行うといった作業なしにセキュアな状態に保てる点は大きな利点です。
SASEサービス選定のポイント
実際にSASEのサービスを導入する際の、サービス選定のポイントを解説します。
管理画面の使いやすさ
SASEの特徴として、複数のセキュリティとネットワークの機能を一元的に管理できるため、管理画面の見やすさと使いやすさがとても重要になります。
脅威がすぐに分かるようなインターフェースであったり、ログの調査や分析が行いやすい管理画面を備えたサービスを選ぶことを推奨します。
クラウドサービスとしての可用性
企業ネットワークのあらゆる通信がSASEによって検査されるため、SASEがサービスダウンした場合に、ビジネスに大きな悪影響を与えてしまいます。SASEのインフラについて、特に高可用性を保証しているサービスを選ぶと良いでしょう。
また、万が一インフラがダウンした場合も、バックアップ回線が用意されていたりなど、ディザスタリカバリが周到かについてもチェックしましょう。
SD-WANの有無
セキュリティベンダーによって提供されるSASEにはセキュリティの機能にフォーカスしているため、SD-WANの機能が搭載されていない場合があります。企業ネットワークなど、拠点間の通信を行うネットワークにはSD-WANが必要になるため、SD-WANの機能の有無を確認しましょう。
まとめ
SASEはゼロトラストモデルに基づいた、最新のセキュリティフレームワークであり、これからどんどんSASEのサービスが提供されることが期待されています。
これまでは企業のネットワークやセキュリティの構築は、専門知識と経験を有した情報システム部門により運用コストをかけて行うことが必須であったのですが、そのコストを削減しつつよりセキュアで自由度の高い労働環境を実現できるようになったという点で、情報システムのあり方も時代に合わせて進化していると言えます。
本記事がSASEサービス導入のきっかけや、情シスへ興味を持たれるきっかけとなったのであれば幸いです。
ーーーーーーーーーーーーーーーーーーーー
企業のICT環境、情報システムでお悩みの方へ
株式会社KUIXでは、クラウドサービスやICTサービスに関すること、情報システム部門のサポートを総合的に行っております。
DX推進やBIツールの導入・活用におけるコンサルテーションも行っておりますので、ぜひお気軽にご相談ください!お問い合わせはこちらから
