クラウドサービスを利用して、事業拡大や業務効率化などを進める企業が増えています。一方で、クラウドの推進には機密情報の管理やセキュリティ面での課題もあり、リスク対策に追われるセキュリティ担当者も少なくないでしょう。
こうしたなか、セキュリティの課題を解決する新しいアーキテクチャとして「SASE(サッシー)」という概念が注目を集めています。クラウド時代の新たなモデルとして期待されるSASEとはどのようなものなのでしょうか。その構成要素も含めて紹介します。
SASEリーダーによるセキュリティソリューション「Netskope(ネットスコープ)」のサービスページはこちら
SASEとは
SASEとは、Secure Access Service Edge(セキュア アクセス サービス エッジ)の略で、アメリカのテクノロジリサーチ企業のGartner(ガートナー)社が2019年に提唱した、新しいネットワークセキュリティモデルのことです。
一般的に多くの企業では、ネットワークやセキュリティに関するさまざまなサービスを個々に組み合わせて導入しています。SASEではその機能を1つの製品にまとめ、社内ネットワーク経由ではなくクラウドに集約することで、アプリケーションやサービスをいつでもどこでもより安全に、よりスムーズに利用できる環境の構築を目指します。
また、SASEを導入することで管理者の負担軽減やコストを削減できたり、セキュリティやパフォーマンスを向上させたりと、さまざまなメリットを享受できます。
SASEが注目される背景
現在多くの企業では、データセンターを中心とした社内ネットワーク経由のアーキテクチャを設計しています。クラウドサービスを利用する際も、トラフィックをいったんデータセンターに集約して、必要な場所やデバイスに分散させるという設計で運用しているところがほとんどでしょう。つまり、外部からの脅威に対しては社内プロキシやファイアウォールでセキュリティ対策をすることにより保護できる、という考えが一般的でした。 しかし、近年はテレワークをはじめ社外で仕事をするユーザーが増え、また使用するデバイスの多様化も進んでいます。さらにSaaSやPaaS、IaaSなどネットワークの細分化も進み、従来のプロキシなどでの監視や新たなトラフィックのタイプを把握することが難しくなっています。
また、データセンター経由でクラウドアプリケーションを利用する場合、セキュリティ機器の運用が煩雑になったり、管理コストが増大したり、ユーザー数やデバイスが増えることでサーバーに負荷がかかって通信遅延が生じたりと、管理者やユーザーに負担がかかるケースがみられるようになりました。こうした課題は、従来のアーキテクチャを無理に使ってクラウドに対応したことから生じることもあります。
そこで、クラウド時代に見合うアーキテクチャとして考えられたのが、SASEです。
SASEとゼロトラストの違い
SASEの概要を知ると、ゼロトラストと似ていると感じる方も多いのではないでしょうか。
ゼロトラスト(zero trust)とは、「あらゆるユーザー、リクエスト、サーバーは信用できない」という考え方のことで、米国の市場調査会社(フォレスターリサーチForrester Research)社の調査員ジョン・キンダーバーグ(John Kindervag)氏が2010年に提唱したものです。
従来は、組織内のネットワークは安全なものであり、脅威は外部から侵入するという考え方から、内外の境界を守れば良いという境界型セキュリティ対策を講じれば事足りましたが、現在では、業務にクラウドサービスを利用することも増え、単純に社内ネットワークとの境界を守るだけでは、脅威を防ぎきれなくなりました。
また、脅威は組織内にも存在します。近年、内部犯行による情報漏えいインシデントも多数、報告されています。
そこで、ゼロトラストの考えに基づいて構築されたゼロトラストネットワークが重視されるようになってきました。 ゼロトラストネットワークを実現するための具体的な仕組みがSASEなのです。
SASEのメリット
SASEには、主に次の4つのメリットがあります。
情報セキュリティ対策を向上できる
SASEによってゼロトラストネットワークを実現できるため、高度化・巧妙化が進むサイバー攻撃から大切な情報を守れるようになります。
また、内部犯行による情報漏えいインシデントも防止することが可能になります。
情報セキュリティ対策のプラットフォームを統一できる
SASEはネットワークセキュリティに関するさまざまな機能を1つの製品にまとめたものなので、SASEを導入することで、ネットワークセキュリティ対策を1本化できます。
情報セキュリティ対策のプラットフォームを統一できることで、どのような場所からどのような端末でネットワークにアクセスしても、統一のセキュリティ対策機能が使え、統一されたセキュリティポリシーを適用できるなど、さまざまなメリットが派生します。
システムの負荷を軽減できる
前項で挙げた、情報セキュリティ対策のプラットフォームを統一することで得られるメリットの一つです。もし、SASEがなかった場合、端末やネットワークなど、それぞれに情報セキュリティ対策を施す必要があるため、複数のソリューションを導入することになります。すると、複数の情報セキュリティ対策の負荷がそれぞれ情報システムにかかり、高負荷な処理が発生してしまいます。高負荷処理は、障害発生の原因となります。
また、情報セキュリティ対策ソリューションを一元管理できるようになるため、管理者の負荷も軽減され、業務効率化にもつながります。
コストを抑えられる
さまざまなセキュリティ対策ソリューションを個々に導入すると、それぞれに費用が発生しますが、一つにまとめることでコスト削減につながります。これにより、単に利用料金を抑えられるということだけでなく、ハードウェアをたくさん所有する必要がなくなったり、アップデート対応の回数などが減るため運用の手間も削減され人件費の抑制につながったり、省スペースや省エネも実現できます。
また、「システムの負荷を軽減できる」でお伝えしたように、情報システムに対する負荷が減って障害発生を抑えることにもつながり、対応コストも低減できます。
SASEを構成する4つの要素
ネットワーク機能やネットワークセキュリティ機能を兼ね備え、あらゆるセキュリティの制御を目指すSASE。その構成要素は、以下の4つを指します。
SASEを構成する4つの要素:次世代SWG(クラウドセキュアWebゲートウェイ)
SWG(Secure Web Gateway)は、Webアクセスの制御や可視化などWeb通信の保護を主目的としたサービスです。SASEでは、インターネットを活用したビジネス展開が増えるなかで、SWGが単にトラフィックを制御するだけでなくビジネスに対応できるよう進化させることが求められます。たとえば、IT管理者の権限下で管理されていない社外アプリケーションなどを介してデータを送ることもあるでしょう。包括的に管理されていないアプリケーションだとポリシーの適用もバラバラですし、送られるデータの保護を見過ごしてしまう可能性があります。
次世代SWGは、こうしたクラウドアプリケーションにもポリシー制御を適用させ、あらゆるタイプのアプリケーションの可視化やWebアクセスを制御することで、安全なWeb通信の保護を実現します。
SASEを構成する4つの要素:CASB(キャスビー)
クラウドサービスのリスク軽減や、より効果的な利用を実現するには、企業のクラウドサービス適応力を評価するコンプライアンスチェックに加え、次世代のSWGから提供されるクラウドアプリケーションの使用状況を継続的に把握することも大切です。SASEでこの役割を担うのが、CASB(Cloud Access Security Broker)です。
CASBは、クラウドアプリケーションのパブリックAPIを利用して、社内インスタンスに保存されているデータをスキャンし、コンプライアンス違反などを検知します。また、クラウドアプリケーションやインフラのレポーティングと自動修正もおこなうことで、新たなクラウドアプリケーションネットワークの構築や構成が可能になります。
SASEを構成する4つの要素:ゼロトラストVPN(ZTNA)
SASEでは、AWSやAzureなどのパブリッククラウドやデータセンターでホストされた特定のアプリケーションへ安全にアクセスできるしくみも必要です。たとえば、パブリッククラウドで新しいワークロードを展開する際、さまざまな場所に点在するアプリケーションに安全かつ容易にアクセスできるリモートアクセスソリューションの導入が必要になるでしょう。
ゼロトラストVPNは、ネットワークアクセスを利用せず、パブリッククラウドやデータセンター上で稼働するアプリケーションへのセキュアなリモートアクセスを実現します。サービスによっては、リモートアクセスする前にユーザー識別やデバイスのセキュリティ状態をチェックする機能を備えたものもあります。
SASEを構成する4つの要素:ネットワーク機能(Network as a Service)
スピーディーかつ安定性に優れたネットワーク環境を用意することも、SASEのプラットフォームを構築するうえで重要なポイントです。ビジネスで重要なトラフィックを引き渡す際に、公共のインターネットの利用では効率が低下したり接続が不安定だったりすることがあります。これを防ぐため、ユーザーとラストワンマイルプロバイダーと相互接続するなど、利用する規模や求めるパフォーマンスにあわせて最適な通信環境を整える必要があるでしょう。
また、いつでもどこでも接続できるようにクラウドプロバイダーへのルーティングを最適化すること、パフォーマンスや可用性を認識できるルーティングの実現など、利用する規模や求めるパフォーマンスにあわせて、最適なネットワークを構築します。
まとめ
クラウドサービスやモバイルデバイスが急速に普及する一方で、従来のセキュリティでは保護できない領域が広がりつつあります。こうしたデータの可視化や追跡ができるようにするうえでも、SASEによるクラウドセキュリティは有効です。
SASEにより、クラウド上に存在するさまざまなデータから権限下で管理されていないクラウドアプリや個人デバイスに移動されるデータまで、場所を問わず保護できるようになります。また、通信のパフォーマンスに影響を及ぼさないセキュリティを実現するうえでも、SASEが非常に有効です。クラウドの恩恵を、より安全に、より効率よく享受するうえで、SASEを検討してみてはいかがでしょうか。
