関連資料

SASEとは

SASE（Secure Access Service Edge）は、これまで個別に対策されていたクラウドサービスへのアクセス手段(ネットワーク)と、セキュリティ対策(セキュリティ)を統合し提供する手段を指します。ガートナーによって2019年に提唱されたネットワークセキュリティモデルであり、ゼロトラスト（後述）の考え方を実現します。

具体的には、VPNやSD-WANのネットワーク、IDS/IPSなどのファイアウォールやウイルス対策のセキュリティを統合して、クラウド上のサービスで提供する考え方です。近年では、オフィス外で業務を行うテレワークの普及や、クラウドサービスの業務利用など、多様化する働き方に適したセキュリティ対策として注目されています。

SASEの定義

SASEを定義するならば、従来のネットワークサービスとセキュリティサービスを融合させた、新たなネットワークセキュリティモデルだといえます。

SASEでは、上記それぞれのサービスがクラウド上で一つのサービスとして提供されます。これは、ゼロトラストという概念を実現するための手段となるものです。

ゼロトラストとは

ゼロトラストは、「すべてを信頼しない」という考え方を軸としたセキュリティモデルです。ゼロトラストを基本原則とすることで、現代の多様化した働き方によるセキュリティリスクを可能な限り低減することが可能になります。

ゼロトラストについては、ゼロトラストをわかりやすく解説！メリットや注意点などについて知ろうにて詳しく解説していますので、あわせてご覧ください。

SASEと従来のセキュリティ対策との違い

従来は、境界型セキュリティとして、「社内ネットワークは安全」「社外ネットワークは危険」という基本原則で、セキュリティ対策を行っていました。しかし、テレワークなどでクラウドサービスの利活用が進み、ゼロトラストを原則とする必要が出てきました。つまり、社内外のすべてを信頼せず、ネットワークへアクセスするユーザーもデバイスも、アクセス元もすべて監視・管理対象とする考え方です。

さらに、従来の境界型セキュリティでは、社内と社外のネットワークの出入り口にファイアウォール機器などを設置していました。一方SASEは、ネットワークやセキュリティ対策をすべてクラウド上で提供します。

つまり、インターネットやクラウドサービス（SaaSなど）、データセンターへアクセスする場合は、アクセスする場所がどこであってもSASEを経由して検閲するのです。これにより、だれがどこからどのようなデバイスでネットワークやSaaSなどにアクセスしても、セキュリティリスクを極限まで低減することができます。

SASEの仕組み

SASEは大きく、安全なネットワークアクセスと、ファイアウォールやウイルス対策などのセキュリティ対策で構成されます。簡単に言えば、インターネットなどのネットワーク上に安全な仮想ネットワークを作り、さらにクラウドサービスなどへのアクセスを検閲します。これにより、すべてのネットワーク接続が可視化され、監視・認証が行える環境を構築できます。

ここでは、SASEの代表的な仕組みについて5つみていきましょう。

CASB（セキュリティ対策）

CASBは、ユーザーがクラウドとやり取りする際の動きをクラウド上で可視化してコントロールします。これにより、企業がクラウド環境を安全に利用できるようになります。

たとえば、従業員が利用するすべてのクラウドサービスを監視して、不正アクセスや不適切な操作があれば自動で検出します。アクセス権限のないユーザーはブロックすることも可能です。

また、自社のセキュリティポリシーを反映させることで、コンプライアンスの遵守にも役立ちます。セキュリティ対策例には、従業員が自社のルールに反する形でデータをアップロードしたりダウンロードしたりするケースを未然に防ぐことが可能です。これにより、コンプライアンスを遵守でき、かつ外部のセキュリティ脅威から自社のデータをしっかりと守れます。

CASBについては、SASEとCASBの違いとは？誕生の背景やその機能やSSEについてもわかりやすく解説でも解説していますので、あわせてご覧ください。

SWG（セキュリティ対策）

SWGは、インターネットを安全に利用するためのセキュリティ対策サービスです。クラウド上でWebアクセスなどのユーザーの活動を監視して、不正な動きや危険なサイトからユーザーを保護します。

たとえば、Webサイトからダウロードされるファイルなどへのアンチウイルス機能、危険なサイトやリンクをフィルタリングするURLフィルタ、社内の重要な情報が外部に漏れないように監視するDLP、悪意のある侵入者を排除する不正侵入防止機能などが挙げられます。

また、ユーザーのWebサイト上での動きを動的にチェックすることで、不要なアプリケーションへのアクセスを制限して、外部との接続を安全に保ちます。

ZTNA（セキュリティ対策）

ZTNAは、ユーザーがネットワークにアクセスしようとするたびにIDやデバイスの状態をチェックして、許可するかを判断します。

たとえば、社内のファイルサーバーやWebサーバーに従業員がアクセスするとき、そのデバイスは自社で管理しているもの、あるいは使用を許可しているものであるか、アクセスが認証された正しいIDであるかをチェックします。これにより、仮に不正なアクセスが行われようとしても、被害を最小限におさえることが可能です。

FWaaS（セキュリティ対策）

FWaaSは、従来のオンプレミスのファイアウォールと同じような機能をクラウド上で管理できます。

たとえば、URLやDNSのフィルタリングが行われるため、悪意のあるサイトやリンクをブロックすることが可能です。また、不正な侵入を試みるものを検知するIPSも備えています。

SD-WAN（ネットワークアクセス）

SD-WANは、物理的なネットワーク回線の上に仮想的なネットワークを形成する技術です。SD-WANを利用することで、オフィスと離れた拠点同士を仮想的なネットワークでスムーズにつなぐことが可能になります。

仮想ネットワークは、クラウド上での運用・管理ができます。そのため、従来の物理的なネットワークの制約にとらわれず、柔軟なネットワーク構築が実現可能です。

仮想ネットワーク上の通信は、クラウド上でネットワークの状態や品質をリアルタイムでモニタリングできるため、インシデントなどへ迅速に対応できます。

たとえば、ある拠点の通信に遅延が発生した場合、クラウド上の監視により原因をすぐに特定して、最適な通信ルートへ切り替えたり設定変更をしたりすることで、通信の品質を維持することが可能です。

SASEの機能を3つに絞った「SSE」とは

SASEは、ガートナーが提唱したネットワークとセキュリティを包括的に統合したセキュリティモデルの一つです。ガートナーは2021年、SASEの機能に含まれる3つのセキュリティサービス部分を抽出した「SSE」も提唱しました。SSEは、「CASB」「SWG」「ZTNA」のセキュリティの3機能に絞って導入する企業が増えることを予想したものです。

ゼロトラストの基本原則に則ったセキュリティを考える際、ネットワークまで包括するSASEも有効ですが、構成が複雑になり、コスト面でも運用面でも負担が大きくなる可能性があります。そのため、セキュリティの3要素を抽出したSSEのほうが、企業としては導入しやすいと考えられるのです。

SSEはすでに、さまざまなベンダーがサービスを提供しています。たとえば、「Skyhigh SSE」は、東京エレクトロンデバイスが提供するSSEに則ったサービスです。「Skyhigh SSE」では上記3つの機能のほかに、「DLP」「RBI」も加えた構成となっています。

「Skyhigh SSE」の詳細については、こちらをご覧ください。

SASEの機能を理解して自社に適したセキュリティを選択しよう！

自社にSASEを導入する際には、ゼロトラストの基本的な考え方を理解しておく必要があります。また、SASEに含まれるSD-WANやCASB、SWGなどの各種機能がどのような役割を果たすものなのかも理解しておくことをおすすめします。SASEに含まれる機能の範囲が広すぎるという場合には、SSEを選択するのも一つの手段でしょう。

自社だけではどのセキュリティ対策のサービスや製品を導入すべきか選定が難しいという場合には、専門の事業者に相談することも検討してみてください。

先述の「SSE」の条件を満たすソリューション「Skyhigh SSE」については、東京エレクトロンデバイスのこちらの資料にて解説していますので、あわせてご覧ください。

関連資料