5分でわかる
セキュリティコラム
次世代ネットワークセキュリティモデル「Secure Access Service Edge(SASE)」とは?
働き方改革や新型コロナウイルス感染症の影響によって、テレワークの需要が高まっています。テレワークでクラウド活用するうえで考慮しなくてはいけないのが、ネットワークのパフォーマンスやセキュリティです。そこで注目されているのがSASE(Secure Access Service Edge)という、クラウドサービス利用を前提とした新しいネットワークセキュリティモデルです。
今回はSASEが必要とされる背景や、導入するメリット、導入する際の留意点について解説します。
1.SASE(Secure Access Service Edge)とは?
SASEとは、米国の調査会社のガートナー社が2019年に提唱した「Secure Access Service Edge」の略称で、「サシー」「サッシー」と読みます。新しいネットワークのセキュリティモデルであり、クラウド上からネットワークやセキュリティをまとめて管理する仕組みや考え方です。
SASEは、CASB(Cloud Access Security Broker)やSWG(Secure Web Gateway)、SD-WAN(Software-Defined Wide Area Network)など、複数のネットワークとセキュリティの機能をクラウドサービスとして統合し、一つのプラットフォームとして実現します。
ゼロトラストとの関係性
「ゼロトラスト」とは、社内や社外を区別せずに、すべての通信を信用できないものと捉えて検証する考え方であり、SASEはこのゼロトラストにもとづいてサービスを提供します。
この記事に関連するおすすめの製品
Orca Security資料ダウンロード
ダウンロードCASBとの違い
SASEとCASBは、どちらもクラウドのセキュリティ対策として重要なソリューションですが、対象とする範囲や機能に違いがあります。
「CASB(Cloud Access Security Broker)」は、ユーザーや複数のクラウドサービスとの間にコントロールポイントを設け、従業員が利用するクラウドサービスを把握、制御する仕組みです。会社が把握していないシャドーITの対策として重要な役割を担い、クラウド環境の安全性を確保するために利用されています。
一方でSASEは、前述のとおりクラウド上でネットワークやセキュリティを一元管理する仕組みで、SD-WAN、WAN最適化、通信の品質保証(QoS)などのネットワーク機能と、CASBをはじめとするセキュリティ機能があります。そのため、CASBはSASEにおけるセキュリティ機能の一部として位置づけられています。
SASEが求められる背景
この章では、なぜSASEの導入が求められているのかについて解説します。
従来のセキュリティ対策の限界
以前から奨励されてきた働き方改革や、新型コロナウイルス感染症対応のために急増したテレワークによって、外部から社内システムへの接続が大きく増加し、これまでのネットワーク構成を再評価しなければならない状況になっています。
従来型のネットワークである「境界防御モデル」は、トラフィックをデータセンターに集約し、「社内、あるいはデータセンターの内側を守る」ことによって、情報管理やセキュリティを担保してきました。この境界防御モデルは、テレワークで社外から接続する際も、外部からVPNなどを通してデータセンターを経由させることで、セキュリティ問題に対処してきました。
ところが、テレワークやクラウドサービスの普及により、従来のネットワークモデルには限界がきています。また、セキュリティ対策の範囲が社内の情報資産だけではなく、従業員がテレワークで利用するクラウドサービスにまで広がったことにより、セキュリティ担当者の負担増大も大きな課題となっています。最近では、クラウドサービスを標的としたサイバー攻撃も増加しており、クラウドサービスの利用によって従業員の利便性が向上した一方で、セキュリティリスクは高くなったと言えるでしょう。業務環境の変化やクラウドサービスの利用に合わせて、従来のセキュリティ対策の改善やセキュリティ担当者の負担軽減への取り組みが求められるなか、新しいセキュリティモデルとして今、SASEが注目されています。
ネットワーク機器の負担増とパフォーマンスへの影響
クラウドサービスの普及による社内から外部のクラウドサービスへのトラフィックは増加傾向にありますが、ネットワーク回線の帯域だけでなく、ゲートウェイやファイアウォール、プロキシサーバーなどのネットワーク機器に大きな負荷をかける要因になっています。
このような状況に加え、テレワーク時にクラウドサービスを利用する場合、従業員の自宅からもデータセンター経由で外部のクラウドサービスを利用するため、負担がさらに高まり、パフォーマンスへの影響も大きくなってしまいます。例えば、VPN接続数の上限は大きな課題です。全従業員がテレワークを行うことを想定していなかった環境では、テレワークの利用者が企業で用意しているVPN接続数を超えると、「VPNが空くまで業務システムにアクセスできない」という状況になり、日常業務に支障が生じてしまいます。
SASEは、分散したネットワークを統合することで、ネットワーク機器への負担を軽減し、トラフックの最適化や通信の品質確保に貢献するソリューションです。従業員に効率的なアクセスを提供できるため、SASEの採用は検討する価値があるでしょう。
セキュリティポリシーの統一が難しい
クラウドサービスの導入にあたり、セキュリティ面での対策も変えなければいけません。従来は重要なデータを社内で管理していたため、社内に対して自社独自のセキュリティポリシーに合わせた対策を施すことができました。しかし今では、重要なデータをクラウド上に保存する企業も増えています。とはいえ、クラウド事業者によって異なるセキュリティポリシーを統一化して適用することは困難です。セキュリティポリシーが統一されていないと、企業が管理する重要なデータに関する一貫したルールを適用できず、その結果、従業員が不正にデータを持ち出したり設定の不備などを突いたサイバー攻撃が成立したりするリスクが高まります。SASEの導入により、企業はクラウドサービス利用時もセキュリティポリシーの一貫性を確保し、重要なデータの保護を強化できます。
2. SASEを導入するメリット
SASEを導入することで、企業は以下のメリットを得られます。
ゼロトラストの実現を後押し
従来の境界防御モデルは、すべてのトラフィックがデータセンターを経由してクラウドサービスにアクセスしていました。しかしSASEは、クラウド上にネットワークとセキュリティを管理するための機能を用意します。そのため、社内拠点からのアクセスも自宅からのテレワークによるアクセスも、すべてSASEを経由して、データセンター内の業務システムや各種クラウドサービスへアクセスするという流れに変わります。
これによって、従来型の境界防御モデルが抱えていた課題を解決し、クラウドサービスの利用を前提とした新しいネットワークとセキュリティへと移行することが可能となります。SASEは、上記で紹介した内部・外部という境界を設けずセキュリティを担保する「ゼロトラストモデル」にも通じる考えといえます。
クラウドサービスを快適に利用できるようになる
SASEにはさまざまな機能がありますが、主な役割は「ネットワークのパフォーマンス向上」「セキュリティ強化」「運用効率化」です。従来のネットワーク構成では、すべてのトラフィックがデータセンターを経由する必要があり、帯域の逼迫を招いていました。つまりデータセンターがボトルネックになっていたわけです。一方SASEでは、用途に応じて接続先を選ぶことができる「インターネットブレイクアウト(ローカルブレイクアウトとも呼ぶ)」機能を提供します。データセンターを経由しなくてもインターネット環境にアクセスできるため、よりスムーズなクラウドサービス利用が可能になります。また、クラウドで提供されるSASEは、トラフィック量の変化に応じて拡張しやすいため、ネットワーク遅延を低減できます。
セキュリティポリシーの統一
セキュリティ面では、複数のクラウドサービスに対して一元的なセキュリティポリシーを適用し、包括的な管理を行えます。利用するクラウドサービスごとにセキュリティポリシーを管理すると煩雑になり、セキュリティの一貫性を確保しにくくなります。SASEを導入して複数のセキュリティを統合できれば、ポリシーの変更や更新が容易になることで、セキュリティリスクの低減とコンプライアンスの遵守にも役立ちます。
セキュリティ担当者の負荷軽減
運用においても、外部のクラウドサービスも自社データセンター内の業務システムも同じように一元的に運用管理が可能となり、負荷軽減、管理コスト低減にもつながります。将来性においても、SASEへの移行はメリットがあります。DX(デジタルトランスフォーメーション)推進、働き方改革促進によって、今後もクラウドサービスの需要が増加していくと考えられます。その点、クラウドを前提としているSASEは、DXの実現だけでなく、場所と時間の制約を受けない柔軟な働き方の実現にも役立つでしょう。さらに、セキュリティ担当者の負荷を軽減できれば、セキュリティ対策の見直し・改善などにも注力しやすくなります。
3. SASEを実現するための構成要素(ソリューション)
現時点では、SASEのすべての機能を網羅する単一のソリューションは存在しないため、複数のソリューションを組み合わせることで構築します。
SASEを構築するための主な構成要素は、以下のとおりです。
- CASB
- SWG
- ZTNA(Zero Trust Network Access)
- SD-WAN
- FWaaS(Firewall as a Service)
そのほかにも、DNS(Domain Name System)、RBI(Remote Browser Isolation)、CDN(Contents Delivery Network)などの要素で構成されます。主なソリューションについて詳しく解説します。
CASB(Cloud Access Security Broker)
複数のクラウドサービスのセキュリティポリシーを一元管理するのがCASBであり、SASEの中心的な機能を提供します。クラウドサービス利用状況の可視化や制御、コンプライアンス、データセキュリティ、脅威防御などの機能によって、従業員が勝手にデバイスを接続したり、未許可のクラウドサービスを利用したりする「シャドーIT」を防ぎます。
SWG(Secure Web Gateway)
クラウドサービスとして提供されるセキュリティ機能の一つであり、アンチウイルスやサンドボックスなどによるマルウェア防御、WebフィルタリングなどによるWebアクセス制御、アプリケーション制御によって、重要データの漏洩防止を支援します。自宅や外出先などからSWGを経由してインターネット利用することにより、マルウェア感染や不正サイト閲覧などのリスクを低減します。
ZTNA
ZTNAは、前述した「ゼロトラスト」の概念を実現するセキュアなネットワークアクセスです。ユーザーやデバイスからのあらゆるアクセスを信頼せず、常に認証と認可にもとづいてアクセスが制御されます。ID・パスワードによる認証だけではなく、多要素認証も組み合わせ、認可されたユーザーのみ情報資産にアクセスできるようにします。またZTNAは、認可されていないユーザーにはネットワーク、アプリケーション、インフラ情報を秘匿し、可視性を制限することができます。IPアドレスがインターネットに公開されず、攻撃者による悪意あるポートスキャンなど回避することが可能です。認可されたユーザーとアプリケーションの間で1対1のアクセスが可能なので、ネットワーク全体ではなく、過度なアクセスやマルウェア感染のラテラルムーブメント※のリスクを防止します。従来のVPNやファイアウォールでは実現できなかったこのアプローチは、ZTNA特有の機能と言えます。
SD-WAN(Software Defined Wide Area Network)
本社や支社といった複数の拠点を「閉じたネットワーク」として構築するのがWANであり、それをソフトウェア定義により構築したものがSD-WANです。複数の拠点を結ぶWANを一元的に管理し効率化をはかるほか、インターネットブレイクアウトを実現し、パフォーマンスの向上やネットワーク機器の負荷を軽減します。
FWaaS(Firewall as a Service)
次世代ファイアウォール機能をクラウドで提供する機能です。SASEの構成要素の一つであり、拠点間やデバイス間の通信制御や、ユーザーからの通信を制御するためのポリシーを適用します。
FWaaSが利用される構成としては、主に拠点の通信を一元的にFWaaSへ転送させることで、ポリシー制御の対象とすることができます。従来、拠点に設置されていたファイアウォール装置により制御していた通信をクラウドへアウトソーシングするという概念です。従来のファイアウォールが社内・社外というネットワークの境界を設け、社内を守っていたのに対し、FWaaSでは境界を設けず、信頼できるネットワークかどうかでアクセス制御を行います。社内外からのクラウドサービスへのアクセスを監視し、情報資産への不正アクセスを防御することが可能なため、テレワークやクラウドサービス導入の際のネットワークセキュリティ強化として親和性の高い対策といえるでしょう。このように、さまざまなソリューションがSASEでは利用されます。自社のネットワーク、セキュリティにとって必要なソリューションを選択して構築することになるでしょう。
4.SASEを導入する際のポイント
上記で解説したとおり、SASEは複数のソリューションで実現します。SASEの概念を踏襲した製品・サービスは多数あり、それぞれ機能にも違いがあるため、要件を精査し必要なものを取捨選択して計画を立てる必要があります。
SASEを導入する際には、以下3つのポイントを押さえておくことが推奨されます。
段階的なネットワークやシステムの変更
一度にすべてのネットワークやセキュリティを変えようとせず、スモールスタートで段階的に導入を進めるとよいでしょう。自社に必要な機能が何かを把握しながら、優先して保護すべき情報資産を見極めることが大切です。既存のネットワークやセキュリティを少しずつ変えていくことで、コストを最小限に抑えられるメリットもあります。ムダなコストが発生しないように、既存のネットワーク・システムの再構築は時間をかけて十分に検討してください。
ロードマップの作成
SASEの導入は、具体的なロードマップを作成し、中長期にわたって取り組まなければならない場合もあります。企業規模が大きいほど、部署間での連携や調整に時間がかかる点も認識しておかなければなりません。部署ごとにリーダーを選出し、SASEの導入に関する最終責任者を立てることで、ロードマップを作成しやすくなります。また、メンバーの役割やスケジュールを明確にしておくことで、導入をスムーズに進められるでしょう。導入の過程でアクシデントが発生すれば、予定の変更を余儀なくされるケースも考えられます。従業員が余裕をもって取り組めるようにスケジュールを組むことが大切です。
安定したネットワーク環境の構築
SASEはクラウド上で提供されるサービスのため、ネットワーク障害などが発生すると一時的に利用できなくなるケースがあります。ほかにも、トラフィックが突発的に増えた場合や、クラウドサービスへのアクセスやデータ転送に時間がかかるなど、業務効率の低下を招くおそれがあります。SASEを利用する際には、安定したネットワーク環境を事前に構築しておくことが非常に重要です。1つの回線や接続が故障した場合でも、ほかの回線や接続経路でサービスにアクセスできるように冗長性を高めておくなど、運用を見据えた設計を行いましょう。
5.SASEの導入から運用までのステップ
SASEは比較的新しいセキュリティモデルのため、導入から運用までのプロセスを理解したうえで、具体的な手順を踏んで導入を進めることが推奨されます。
現状分析とニーズ分析
社内の情報資産と管理状況、ネットワーク環境を調査し、改善すべき点を明確化します。また、社内のセキュリティポリシーの確認や、ビジネス要件にしたがって保護するべき情報資産の優先順位を設定しておくことも重要です
ロードマップ作成と導入範囲の設定
上述したようなロードマップを策定して、SASEの導入範囲を設定します。具体的にどの範囲までをカバーするのか、どの順序で実装するのか、どの程度の時間と費用が必要かを見積もります。
ソリューション選定
市場で提供されている製品・サービスを調査し、自社のニーズや要件に適したものを選定します。比較軸として機能、コスト、提供ベンダーの信頼性、サポートの対応範囲などを設定し、複数の製品を比較検討します。SASEは一つのプラットフォームとして実現するのが望ましいため、ロードマップの初期では採用しないが、将来的に採用する予定の機能が実装されているかどうかも含めて、製品・ソリューションを選定します。
移行計画・導入計画の策定
具体的な移行計画と導入計画を策定し、スケジュールや予算、リソースの見積もりを行います。計画的かつ段階的に移行を進めることで、ビジネスへの影響を最小限に抑えつつ、効果的にSASE環境への移行を実現します。
設計
選定したSASEソリューションを、社内のネットワーク環境とセキュリティポリシーに適合させるための設計を行います。ネットワークの設定、セキュリティポリシーの設定、ユーザーアクセスの設定、既存のシステムやクラウドサービスとの統合などを設計します。
テストと検証
設計したSASEソリューションをテスト環境で実装し、設計通りに機能するかなどを検証します。
教育
ユーザーや関係者に対して、SASEソリューションの使い方、セキュリティポリシー遵守に関する教育を行います。
段階的な導入
前述したとおり、一度にすべてを切り替えるのではなく段階的に導入します。これにより、新しいシステムへの移行がスムーズに行われ、問題が発生した場合でも影響を最小限に抑えることができます。
継続的な改善とライフサイクル管理
定期的な監視、新しいビジネス要件への対応、ソフトウェアとハードウェアのアップデート、ユーザーからのフィードバックの反映などを実施します。これはSASEソリューションが常に最適な状態を維持し、組織のニーズを最大限に満たすために重要なプロセスとなります。
6.まとめ
働き方改革やコロナウイルスなどの影響でクラウドの活用が急速に進む中、新しい生活様式に対応したワークスタイル、クラウドを前提としたICTシステムと、それらに対応した次世代型のセキュリティが求められています。SASEは、それを実現するための新しいネットワークとセキュリティのモデルとして注目する必要があるといえます。
この記事に関連するおすすめ製品
おすすめコラム
CASBの導入メリットは?働き方改革で推進すべきセキュリティ対策