SASEとは、クラウドを前提にネットワークとセキュリティを統合する新しいセキュリティフレームワークです。クラウドサービスの利用拡大やリモートワークの普及により、従来のデータセンター中心のセキュリティ対策では対応が難しくなってきたことから、近年注目を集めています。
本記事では、SASEの基本的な仕組みをはじめ、ゼロトラストとの違い、導入によって得られるメリット、導入時に注意すべき課題までをわかりやすく解説します。
目次
SASEとは
SASEとは「Secure Access Service Edge」の略称であり、2019年にGartnerが提唱したセキュリティフレームワークです。
クラウドを活用することにより、利用者がさまざまなデバイスを駆使して手軽にアクセスできる、セキュリティの高い環境を目指している点が特長です。
昨今、在宅勤務・リモートワークを実施する企業が増加した結果、自宅のインターネット回線からSaaSに接続するケースが増加しました。そのため、SASEはリモートアクセスを導入している企業から、有用なネットワークセキュリティサービスとして注目されています。
SASEの定義
SASEはクラウドを前提としたセキュリティフレームワークです。
ネットワークとセキュリティの機能をクラウド上で統合することにより、デバイスの種類やアクセス拠点を問わず、一貫したセキュリティポリシーを適用できます。
複数のセキュリティ機能をクラウド上で連携させ、社外ネットワークでの通信の保護を可能にしているのが、SASEの特長です。
これにより、さまざまな場所やデバイスからのアクセスを保護できるようになりました。
ゼロトラストとの違い
ゼロトラストは、SASEと同じように提唱されているセキュリティ理論ですが、SASEとは異なる概念です。
ゼロトラストとは、「何も信頼せず、常に検証する」を重視するセキュリティ理論であり、社内・社外を問わず、すべてのアクセス要求を厳格に検証するセキュリティモデルです。
SASEはゼロトラストの概念を実現するための、具体的な手段と捉えられます。
SASEが必要とされている背景
SASEが必要とされている背景には、企業におけるネットワークの変化が関係しています。
近年、さまざまな企業で働き方が多様化し、SaaSやPaaSといったクラウドサービスも普及しました。また、社外のネットワークを利用する機会が増えたこともあり、セキュリティ面の課題が重視されています。
クラウドサービスの普及に伴うセキュリティを検討するうえで、着目すべきは「ネットワーク構成」です。
従来の企業のネットワーク構成は、データセンターを中心に考えられたものでした。すべてのトラフィックをデータセンターに集約させ、それから各事務所やデバイスに分散させる形態です。
しかし、各アプリケーションやサーバがクラウドに移行すると、データセンター集約型のセキュリティに課題が生まれます。
クラウドサービスは性質上、サービスごとに最適な管理方法が異なります。そのため、セキュリティ対策をデータセンターで統合的に行うことは容易ではありません。
このような状況下ではネットワーク環境の可視化はおろか、全体の統制を取ることも困難です。また、そのような環境下では、セキュリティコントロールが正しく効かず対象サービスにうまくアクセスできない事態も起こり得ます。
そのため、SASEのようにクラウドサービスに対応したセキュリティフレームワークへのニーズが高まりました。
SASEの仕組み
SASEの仕組みは、従来のネットワークとは大きく異なります。
従来、クラウドに接続する際には一度データセンターを介していました。しかし、SASEでは、各拠点やモバイルデバイスのユーザーはデータセンターを介さずとも、セキュリティ機能を持つ「エッジ」※をアクセスポイントとし、ユーザーに厳しいID認証やセッションの継続的なモニタリングを行うことで安全性を担保します。
ユーザーはそれぞれの拠点やモバイル端末からこの「エッジ」にアクセスするだけで、データセンターだけでなく複数のクラウドも安全に利用することが可能になります。
また、SASEは従来のような、「ネットワークやセキュリティに対して一つのアーキテクチャ」ではなく、ネットワークやセキュリティを統合し、一元的に管理している点が特長です。VPNからではなく、セキュリティプラットフォームを中心としたアクセス経路を構築し、連携した複数のセキュリティ機能や統合認証基盤で安全性を高めています。
※エッジ:セキュリティサービスの提供者の接続拠点やユーザー企業の各拠点の出入口に設置するデバイス
SASEを導入するメリット
SASEの最大の利点は、セキュリティサービスとネットワーク機能を包括した1つのクラウドサービスを、単一のシンプルなセキュリティで運用・管理できる点です。これにより、不正なアクセスを網羅的に監視できる、強固なセキュリティを実現できます。
本来のアプローチでは、クラウド環境の数だけ異なるセキュリティポリシーを適用する必要がありました。
しかし、SASEでは一つのクラウドからセキュリティ機能を提供することによって、効率的にセキュリティ対策が可能です。また、集中管理型のネットワーク構成で起こりがちなアクセス遅延も減少するため、パフォーマンス向上にもつながります。
また、従来のネットワークだと、個別で各サービスを管理する必要がありましたが、SASEはネットワークとセキュリティを統合しているため、一元管理が可能です。ネットワーク機器の設置や、バージョンアップに伴う作業が減るので、従業員はリソースをコア業務に集中できます。
さらに重複した機能の削減や、ライセンスの一括管理が実現できるのも、SASEのメリットです。その結果、管理部門の業務負担を軽減でき、コストの削減や生産性の向上が期待できます。
SASE導入の課題
SASEは優れたセキュリティサービスですが、導入時には以下のような課題がある点には注意が必要です。
- シングルベンダーで構築する必要がある
- ネットワークの一斉切り替えはリスクが高い
- ネットワークが停止するとすべての業務に影響する
それぞれの課題について、対策も含めて順番に解説します。
シングルベンダーで構築する必要がある
SASEはシングルベンダーで構築する必要があります。複数のクラウドサービスで構成すると管理が複雑化し、かえって運用しにくくなるうえに、管理コストが増大する恐れがあるためです。
かつてはネットワークに強いベンダーと、セキュリティに強いベンダーに分かれていたうえに、単一でSASEを構築できるサービスがありませんでした。そのため、SASEを構成する際は、異なるベンダーのサービスを組み合わせるマルチベンダーSASEが一般的でした。
しかし、現在は主要な機能を一元的に提供するシングルベンダーSASEが登場するなど、単一で提供できるサービスが登場しました。そのため、シングルベンダーSASEの導入・運用のハードルが下がっています。
Gartnerなどの調査機関もシングルベンダーSASEを推奨していることもあり、シングルベンダーSASEの導入が進んでいます。
ネットワークの一斉切り替えはリスクが高い
SASEを本格的に導入する際は、ネットワークの一斉切り替えによる業務停止リスクを避けるため、特定拠点からのスモールスタートや段階的な機能統合を計画しましょう。それにより、従業員への影響を最小限に抑えつつ、スムーズなネットワーク移行を実現できます。
また、社内にオンプレミス型のシステムがあった場合、統合が困難になります。
SASEの導入は計画的かつ、段階的に進めましょう。業務に影響が出ないようにスモールスタートで始めるのはもちろん、デモンストレーションを実施するなど、従業員にも入念に説明しておくことが重要です。
ネットワークが停止するとすべての業務に影響する
SASEはセキュリティとネットワークを一括で管理するサービスであるため、停止するとすべての業務に影響する恐れがあります。特に、プラットフォーム自体に脆弱性があった場合、そのリスクが高まる点には注意が必要です。
SASEに限らず、クラウドサービスを導入する際はネットワーク障害が発生したケースを想定したBCP(事業継続計画)を策定しておきましょう。従業員にBCPを提示しておけば、トラブルが発生しても、業務への影響を最小限に抑えられます。
組織全体で高いセキュリティレベルを維持できるセキュリティ製品の導入を検討しよう
ニューノーマルの時代、クラウドを前提としたセキュリティ対策を行いつつも、最終的には正常な業務を継続できることが重要なテーマになります。SASE対策と併せて、「OSの正常な動作を守る」という仕組みも活用しつつ、時代に合わせたセキュリティ対策を講じていきましょう。
SASEの考え方で安全にクラウドを利用することは可能となりますが、外部からの脅威に万全となる訳ではないため、マルウェアの侵入を許してしまった場合の対策も準備しておかなければなりません。そこで検討したいのが「マルウェアを探し出して駆除する」ということに加え、「(マルウェアに侵入されたとしても)OSの正常な動作を守る」という発想を持つことです。
DAIKO XTECHが提供する「AppGuard」は、マルウェアの侵入に対して『OSの正常な動作を守ることによって、デバイスを脅威から守る』という役目を果たすセキュリティソフトです。OSに対する不正なプロセスを遮断するため、悪意のある攻撃に対しても「悪さをさせない」といった最終防壁としての役割を果たします。
従来型のエンドポイントセキュリティ製品には、シグニチャ(定義ファイル)ベースや機械学習、振る舞い検知を行うタイプがあるものの、いずれも未知のマルウェアに対応できないというのが現状です。しかし、「AppGuard」であればOSに対する不正なプロセスを遮断することができるため、未知のマルウェアに対しても効果を発揮することが可能です。
マルウェアが動いても「感染させない」。
不正な動作をすべてシャットアウトする新型セキュリティ「AppGuard」については、下記よりご覧いただけます。
おすすめのお役立ち資料はこちら↓
在宅ワークを導入する際に必ず押さえたい! 情報セキュリティの基礎項目をご紹介します。
テレワーク・セキュリティ強化チェックリスト
~社員教育のポイント解説付き~
- この記事を監修した人
- 16年間、SIerやソフト開発会社でITソリューション営業として従事。
セキュリティおいては、主にエンドポイント、無害化、認証製品の経験を積み
DAIKO XTECHに入社後は、さらに専門性を高め、セキュリティにおける幅広いニーズに答えていくための提案活動や企画プロモーションを展開。
お客さまと一緒に悩み、一緒に課題解決が出来る活動を心掛けている。 - DAIKO XTECH株式会社
ビジネスクエスト本部
ICTソリューション推進部
セキュリティビジネス課 - 中須 寛人
