1. HOME
  2. セキュリティコラム
  3. お役立ち情報
  4. SASEとは~クラウド時代のセキュリティモデルに必要な4つの要素

SASEとは~クラウド時代のセキュリティモデルに必要な4つの要素

SASEとは~クラウド時代のセキュリティモデルに必要な4つの要素

クラウドサービスを利用して、事業拡大や業務効率化などを進める企業が増えています。一方で、クラウドの推進には機密情報の管理やセキュリティ面での課題もあり、リスク対策に追われるセキュリティ担当者も少なくないでしょう。
こうしたなか、セキュリティの課題を解決する新しいアーキテクチャとして「SASE(サッシー)」という概念が注目を集めています。クラウド時代の新たなモデルとして期待されるSASEとはどのようなものなのでしょうか。その構成要素も含めて紹介します。

SASEとは

SASEとは、Secure Access Service Edge(セキュア アクセス サービス エッジ)の略で、アメリカのテクノロジリサーチ企業のGartner(ガートナー)社が2019年に提唱した、新しいネットワークセキュリティモデルのことです。
一般的に多くの企業では、ネットワークやセキュリティに関するさまざまなサービスを個々に組み合わせて導入しています。SASEではその機能を1つの製品にまとめ、社内ネットワーク経由ではなくクラウドに集約することで、アプリケーションやサービスをいつでもどこでもより安全に、よりスムーズに利用できる環境の構築を目指します。
また、SASEを導入することで管理者の負担軽減やコストを削減できたり、セキュリティやパフォーマンスを向上させたりと、さまざまなメリットを享受できます。

SASEが求められる理由

現在多くの企業では、データセンターを中心とした社内ネットワーク経由のアーキテクチャを設計しています。クラウドサービスを利用する際も、トラフィックをいったんデータセンターに集約して、必要な場所やデバイスに分散させるという設計で運用しているところがほとんどでしょう。つまり、外部からの脅威に対しては社内プロキシやファイアウォールでセキュリティ対策をすることにより保護できる、という考えが一般的でした。
しかし、近年はテレワークをはじめ社外で仕事をするユーザーが増え、また使用するデバイスの多様化も進んでいます。さらにSaaSやPaaS、IaaSなどネットワークの細分化も進み、従来のプロキシなどでの監視や新たなトラフィックのタイプを把握することが難しくなっています。
また、データセンター経由でクラウドアプリケーションを利用する場合、セキュリティ機器の運用が煩雑になったり、管理コストが増大したり、ユーザー数やデバイスが増えることでサーバーに負荷がかかって通信遅延が生じたりと、管理者やユーザーに負担がかかるケースがみられるようになりました。こうした課題は、従来のアーキテクチャを無理に使ってクラウドに対応したことから生じることもあります。
そこで、クラウド時代に見合うアーキテクチャとして考えられたのが、SASEです。SASEでは、分散したネットワーク機能とネットワークセキュリティ機能を単一のクラウドに集約して包括的に管理できるため、煩雑な運用管理からも解放されます。セキュリティはクラウドから付与することで、さまざまなデバイスを制御。しかも、ユーザーやデバイスの数が増えてもパフォーマンスの低下させずにサービスの提供が可能です。スケールアップやスケールアウトも容易にできますし、設備投資や運用コストの大幅な削減も期待できます。

SASEを構成する4つの要素

ネットワーク機能やネットワークセキュリティ機能を兼ね備え、あらゆるセキュリティの制御を目指すSASE。その構成要素は、以下の4つを指します。

SASEを構成する4つの要素:次世代SWG(クラウドセキュアWebゲートウェイ)

SWG(Secure Web Gateway)は、Webアクセスの制御や可視化などWeb通信の保護を主目的としたサービスです。SASEでは、インターネットを活用したビジネス展開が増えるなかで、SWGが単にトラフィックを制御するだけでなくビジネスに対応できるよう進化させることが求められます。たとえば、IT管理者の権限下で管理されていない社外アプリケーションなどを介してデータを送ることもあるでしょう。包括的に管理されていないアプリケーションだとポリシーの適用もバラバラですし、送られるデータの保護を見過ごしてしまう可能性があります。
次世代SWGは、こうしたクラウドアプリケーションにもポリシー制御を適用させ、あらゆるタイプのアプリケーションの可視化やWebアクセスを制御することで、安全なWeb通信の保護を実現します。

SASEを構成する4つの要素:CASB(キャスビー)

クラウドサービスのリスク軽減や、より効果的な利用を実現するには、企業のクラウドサービス適応力を評価するコンプライアンスチェックに加え、次世代のSWGから提供されるクラウドアプリケーションの使用状況を継続的に把握することも大切です。SASEでこの役割を担うのが、CASB(Cloud Access Security Broker)です。
CASBは、クラウドアプリケーションのパブリックAPIを利用して、社内インスタンスに保存されているデータをスキャンし、コンプライアンス違反などを検知します。また、クラウドアプリケーションやインフラのレポーティングと自動修正もおこなうことで、新たなクラウドアプリケーションネットワークの構築や構成が可能になります。

SASEを構成する4つの要素:ゼロトラストVPN(ZTNA)

SASEでは、AWSやAzureなどのパブリッククラウドやデータセンターでホストされた特定のアプリケーションへ安全にアクセスできるしくみも必要です。たとえば、パブリッククラウドで新しいワークロードを展開する際、さまざまな場所に点在するアプリケーションに安全かつ容易にアクセスできるリモートアクセスソリューションの導入が必要になるでしょう。
ゼロトラストVPNは、ネットワークアクセスを利用せず、パブリッククラウドやデータセンター上で稼働するアプリケーションへのセキュアなリモートアクセスを実現します。サービスによっては、リモートアクセスする前にユーザー識別やデバイスのセキュリティ状態をチェックする機能を備えたものもあります。

SASEを構成する4つの要素:ネットワーク機能(Network as a Service)

スピーディーかつ安定性に優れたネットワーク環境を用意することも、SASEのプラットフォームを構築するうえで重要なポイントです。ビジネスで重要なトラフィックを引き渡す際に、公共のインターネットの利用では効率が低下したり接続が不安定だったりすることがあります。これを防ぐため、ユーザーとラストワンマイルプロバイダーと相互接続するなど、利用する規模や求めるパフォーマンスにあわせて最適な通信環境を整える必要があるでしょう。
また、いつでもどこでも接続できるようにクラウドプロバイダーへのルーティングを最適化すること、パフォーマンスや可用性を認識できるルーティングの実現など、利用する規模や求めるパフォーマンスにあわせて、最適なネットワークを構築します。

まとめ

クラウドサービスやモバイルデバイスが急速に普及する一方で、従来のセキュリティでは保護できない領域が広がりつつあります。こうしたデータの可視化や追跡ができるようにするうえでも、SASEによるクラウドセキュリティは有効です。
SASEにより、クラウド上に存在するさまざまなデータから権限下で管理されていないクラウドアプリや個人デバイスに移動されるデータまで、場所を問わず保護できるようになります。また、通信のパフォーマンスに影響を及ぼさないセキュリティを実現するうえでも、SASEが非常に有効です。クラウドの恩恵を、より安全に、より効率よく享受するうえで、SASEを検討してみてはいかがでしょうか。

  • LINEで送る
  • このエントリーをはてなブックマークに追加

記事カテゴリ

導入をご検討中の方へ

製品に関するお問い合わせも随時受け付けています。各フォームに必要事項を入力のうえ、お気軽にお問い合わせください。

CTC CLOUD SECURITY SERVICE LINEUP

Netskope(ネットスコープ)
Okta (オクタ)
Docusign(どきゅサイン)
Moblie Iron(モバイルアイアン)
Lookout(ルックアウト)
Box(ボックス)