Writer:手戸 蒼唯(てど あおい)
SASEとゼロトラストの違いとは?SASEの仕組みやメリット、導入の注意点について解説
業務におけるクラウドサービスの利用や、テレワークなど場所を選ばない就業環境を促進する企業が増えました。一方、働き方改革により懸念されるセキュリティリスクの低減は情報システム部門にとって大きな命題の1つです。社内外から接続されることを念頭に置いたセキュリティ対策として、SASEを使ったゼロトラストに注目している担当者も多いのではないでしょうか。本記事ではSASEとゼロトラストの違い、SASEを導入するメリットや注意点などについて解説します。
関連資料
SASEとは?
SASEとは「Secure Access Service Edge」の略称で、「サッシー」や「サシー」と読みます。その定義は、セキュリティサービスとネットワークサービスを融合したサービスを、クラウドサービスで実現したものです。
SASEが必要とされる背景
SASEは、2019年に提唱されたネットワークセキュリティモデルです。SASEが必要とされる背景としては、従来のセキュリティとネットワークのアーキテクチャが、一つひとつの問題に対して、それぞれ1つのシステムで対応を行っていたため、運用や管理の煩雑化、コストの増加が課題でした。
たとえば、従業員のPCでリモートワーク環境を整える場合、PCをインターネットに接続することを想定したインターネットセキュリティ対策、自宅などのオフィス外からクラウドサーバーにアクセスする際に用いるアクセス認証に関するセキュリティ対策など、それぞれ別のシステムとなっており連携されていないケースや、会社から支給されるノートPCやスマートフォンなどのデバイスセキュリティ、重要データへのアクセスに対するログ管理など、一つの課題につきそれぞれに適した方法でのセキュリティ対策が主流でした。
このような状況は管理や運用コストを増加させ、管理者の負担も増加させます。SASEでは、このような課題を解決する手段として、ネットワーク環境やそれに付随するセキュリティ対策を包括的にクラウドサービスとして提供することで、管理・運用コストや負担軽減はもちろん、より強固なセキュリティを提供します。
SASEとゼロトラストの違い
SASEとゼロトラストは、手段と基本原則という違いがあります。ゼロトラストは「全てを信用しない」という基本原則に基づく考え方で、オンプレミスやクラウド、ネットワークなどの全てを対象とします。一方、SASEは、クラウド利用を前提としたセキュリティであるゼロトラストの考え方を、クラウドで実現するための手段で、セキュリティとネットワークセキュリティを構成するものです。
たとえば、従業員が利用するネットワークは、インターネット上に仮想的なWANを構築して監視できるようにしたり、構築した仮想的なWANに対して、クラウドで管理・運用できるセキュリティソリューションを適用したりするなどが挙げられるでしょう。
SASEとゼロトラストの違いについては、SASEとCASBの違いとは?誕生の背景やその機能やSSEについてもわかりやすく解説でも解説していますので、あわせてご覧ください。
SASEの仕組み
SASEは、安全なネットワークアーキテクチャと、セキュリティアーキテクチャで構成されます。
その考え方は「全てを信用しない」というゼロトラストに基づいており、利用するネットワークは仮想的なデータチャネルを構築、そのネットワークへの接続は全て認証・可視化・監視が行われます。
具体的な技術としては、以下5つの仕組みでの構成です。
【SD-WAN】
SD-WANは「Software Defined - Wide Area Network」の略称です。物理的なネットワーク回線の中に仮想的なWANを構築してクラウド上で運用・管理が可能です。
従来は、WANを構築するために、ルーターやスイッチ、ファイアウォール、ロードバランサーといったネットワーク機器を各拠点に設置する必要がありました。しかし、SD-WANを用いることで、これらの作業をクラウド上で行えるようになり、大幅な効率化が図られます。
【CASB】
CASBとは「Cloud Access Security Broker」の略称で、クラウドサービスへのアクセスを可視化するサービスです。クラウドサービスのリスクを可視化・分析、クラウド上の機密情報の保護、不適切なクラウド利用による情報漏えい対策に導入が進んでいます。
主な対策例としては、企業が把握していないクラウドサービスに関する業務端末利用の監視 (シャドーIT対策)、Office365など会社が許可しているサービスの乗っ取りや不正利用防止(サンクションIT対策)、Microsoft Azureなどのパブリッククラウドの設定監査があります。
CASBについては、SASEとCASBの違いとは?誕生の背景やその機能やSSEについてもわかりやすく解説でも詳しく解説していますので、あわせてご覧ください。
【SWG】
SWGは「Secure Web Gateway」の略称で、クラウド上でWEBアクセスを安全に行うためのセキュリティ対策を提供するサービスです。具体的には、アンチウイルスやURLフィルタ、DLPや不正侵入防止機能などがあります。WEB通信を可視化したり、アプリケーション制御をクラウド上で管理したりして、外部接続の安全性を高めることが可能です。
たとえば、社外から社内サーバーへアクセスが試みられた際、IPアドレスやURLを確認し、安全ではないと評価された場合にアクセスを拒否します。
【ZTNA】
ZTNAは「Zero Trust Network Access」の略称です。ユーザーが通信をする度に、その通信を認証するサービスです。
たとえば、従業員がファイルサーバーやWEBサーバーなどにアクセスするとき、各種プロトコル(HTTP/HTTPSやCIFS/SMB、RDP/SSH)に応じて、デバイスの状態やIDを動的にチェックしてアクセス許可を行います。
たとえ不正ログインをされても、業務アプリを利用しようとした段階でブロックされるため、被害を最小限におさえることが可能になります。
【FWaaS】
FWaaSは「Firewall as a Service」の略称で、クラウド上で管理できるファイアウォールです。
URLやDNSのフィルタリング、IPSやAM、NG-AMやAnalytics、MDRなどのネットワークセキュリティを、クラウドはもちろん、オンプレミスなどのさまざまなロケーションに提供し、それらをすべてクラウドで制御できます。オンプレミスでも導入するファイアウォールが、クラウドサービスとして提供されているイメージです。
SASEを導入するメリット
SASEの導入がどのように効果的なのかを把握しておかなければなりません。ここでは、SASE導入についての主なメリットをみていきましょう。
運用の一元化による管理コストの低減
SASEの導入は、クラウドサービスを利用する際に検討すべきネットワーク監視および、利用全般にかかわるセキュリティ対策を一本化するイメージです。これまでは、ネットワークサービスの管理とセキュリティサービスの管理を分けて行わなければならなかったものが、クラウド上で一元管理できるようになり、セキュリティの強化に加え省人化も実現することができます。
安全にクラウドサービスを利用できる
業務に個人契約のクラウドサービスを利用している従業員もいるでしょう。これは、生産性の向上を図ってのことですが、企業としては業務に個人のクラウドサービスを使用されるとセキュリティリスクにつながります。
従来は、従業員に対してセキュリティについての教育をすることで対策をしてきました。しかし、SASEを導入することで、従業員が利用しているクラウドサービスのやり取りをクラウド上で可視化して管理できるようになるため、故意ミスにかかわらず人為的なセキュリティリスクを低減し、従業員が安全にクラウドサービスを利用できる環境が提供できます。
このようにSASEは、WANの運用管理、Webサイトやネットワークアクセスの管理・制御をクラウド上で行い、さまざまなロケーションでのセキュリティリスクを低減できることが大きなメリットのひとつです。
SASEを導入する注意点
SASEを導入することに大きなデメリットはありませんが、留意しておくことがあります。ここでは、SASE導入の際に注意すべき点をみていきましょう。
導入の難易度が高い
前述のように、SASEでは多くの機能がクラウドサービスとして提供されています。
仮想ネットワークのためのSD-WAN、各セキュリティ対策を行うためのCASBやSWGなど、聞き慣れない機能名があるという担当者も多いのではないでしょうか。これら機能の一つひとつを理解して、ゼロトラストセキュリティの要素を満たしたアーキテクチャを構築するには、ネットワークとセキュリティ、それに付随するさまざまな知識が必要です。
そのため、SASEを導入すること自体の難易度は高いと言わざるを得ません。導入ハードルの高さが、SASEを導入する際の注意点であり、デメリットでもあるといえるでしょう。
ネットワークの障害対策が必要
SASEのサービスは、ネットワークの監視や、アクセス認証などのセキュリティ機能をクラウド上で管理します。そのため、ネットワークが切断されると制御不能になってしまうことが注意点として挙げられるでしょう。
SASEはクラウドサービスなので、ネットワーク障害が起きると、SASEが関係している業務全てが停止してしまう可能性があります。ネットワークの障害時は、クラウドサービス自体へアクセスができなくなるため、即座にセキュリティリスクが上がることはないですが、対策は講じておく必要があるといえるでしょう。
SASE導入でゼロトラストを実現しよう!
上述したようにSASEの導入ハードルは決して低くないですが、SASEは対象とする内容によって製品が提供さています。例えば、クラウドサービスの可視化には「CASB」、Webアクセス保護・監視には「SWG」、ネットワークセキュリティには「ZTNA」などです。
1つ1つの機能を理解し、自社にあったシステムを構築する必要があります。
自社でSASE導入のハードルが気になる方は、専門知識のある事業者に相談することをお勧めします。
また、先述した「CASB」「SQG」「ZTNA」の3つのコア機能から成り立つSSEというサービスもあります。
東京エレクトロンデバイスでは、Skyhigh SSEの提供もしていますので、こちらも合わせてご覧ください。