在宅ワークの導入を進める企業では、クラウドサービスの利用を検討されるケースが多くあります。その一方、業務システムがオンプレミス環境からクラウド環境に替わることによりセキュリティ面に課題を感じ、クラウド活用を躊躇される企業もあります。
そこで、今回は新しいネットワーク・セキュリティのあり方として注目される SASE(サシー/サッシー)について紹介します。

目次
  1. SASEとは?
    1. ネットワーク機能
    2. セキュリティ機能
  2. SASEとゼロトラストの関係性
  3. SASEのメリット
  4. SASEの注意点
  5. まとめ

SASEとは?

SASE とは「Secure Access Service Edge」の略称で、ネットワーク機能とセキュリティ機能をクラウド上で統合した新しいネットワーク・セキュリティです。
すごく簡単に述べますと、複雑になりすぎたIT機器を整理したうえでネットワーク機能もセキュリティ機能もクラウドサービスとして提供しようというものです。
具体的な製品やサービスによって構成要素は異なりますが、SASEに含まれる主な機能について説明します。

ネットワーク機能

SD-WAN(Software-Defined WAN:ソフトウェア定義のWAN)
既存の物理的ネットワークの上に仮想的なWANを構築し、ソフトウェアにより通信の監視や制御を実現します。WANをどのように使ってトラフィックを流すのかを決定し、インターネット接続経路の遅延を減らし、ネットワークトラフィックを軽減することで、輻輳や遅延を防ぎます。

セキュリティ機能

SWG(Secure Web Gateway)
外部へのネットワークアクセスを安全に行うため、安全な通信環境を実現するプロキシ機能を提供します。インターネット通信を分析し、悪意のあるアクセスを遮断するためのセキュリティ機能(アンチウィルス、URLフィルタリング、サンドボックス、アプリケーションフィルター等)を備えています。

CASB(Cloud Access Security Broker)
クラウドサービスを安全に利用するためにクラウドサービスの利用状況を可視化し、適切なセキュリティ対策をする機能を提供します。クラウドサービスとユーザーネットワークの間に設置することで、利用しているクラウドサービスを一元管理できるようになり、利用者が怪しいクラウドサービスを利用して脅威にさらされるのを防ぎます。

FWaaS(FireWall as a Service:クラウド提供のファイアウォール)
クラウドサービスとしてファイアウォール機能を提供します。ユーザーネットワークとパブリック インターネットとの間に位置し、複数のフィルタリングとセキュリティ対策によりサイバー攻撃から保護し、脅威がネットワークに侵入するのを防ぎます。

ZTNA(Zero Trust Network Access)
ゼロトラストの考え方に基づくネットワークアクセス環境を提供します。ネットワークにアクセスするユーザーに必要な認証やアクセス制御を提供し、不正アクセスからデータを保護します。

SASEとゼロトラストの関係性

ゼロトラストは、「社内外のネットワークにおける境界線の考え方を止め、すべてのアクセスを信用しない」という前提でセキュリティ対策を行う考え方で、セキュリティ対策のためのひとつの概念です。
以下に示す7つの基本原則があり、ゼロトラストを実現する基準となっています。

  1. すべてのデータソースとコンピューティングサービスはリソースとみなす。
  2. ネットワークの場所に関係なく、すべての通信を保護する。
  3. 企業リソースへのアクセスは、セッション単位で付与する。
  4. リソースへのアクセスは、クライアントアイデンティティ、アプリケーション/サービス、リクエストする資産の状態、その他の行動属性や環境属性を含めた動的ポリシーによって決定する。
  5. すべての資産の整合性とセキュリティ動作を監視し、測定する。
  6. すべてのリソースの認証と認可は動的に行い、アクセスが許可される前に厳格に実施する。
  7. 資産、ネットワークインフラストラクチャ、通信の現状について可能な限り多くの情報を収集し、セキュリティ態勢の改善に利用する。

引用:PwC NIST SP800-207「ゼロトラスト・アーキテクチャ」日本語訳

このゼロトラストの考え方に基づき、具体的にサービスを提供する仕組みがSASEとなります。

SASEのメリット

従来のオンプレミス型のセキュリティとネットワークをクラウド上で統合し、複雑なネットワークインフラを簡素化、高速かつ効率的で、安全なネットワーク環境が提供されます。
ユーザーやデバイスの位置に関係なく、様々な場所からインターネットにアクセスする場合でも安全なアクセスが提供され、一貫したセキュリティポリシーを適用することができます。
クラウドでは、様々なネットワークやセキュリティのサービスが提供されていますが、SASEによってひとつにまとめることで、コスト削減や業務効率化、管理負荷の軽減にもつながる可能性があります。

SASEの注意点

SASEを実装するためには、いくつかの注意点があります。

  • 従来の境界型セキュリティとの違いを認識する必要があります。
  • SASEの導入時には、従来のネットワークとセキュリティを新しいシステムへ統合・再構築する必要があります。
  • 組織内のセキュリティポリシーを見直し、全体で理解することが重要です。

まとめ

セキュリティ機能とネットワーク機能を統合したSASEは、在宅ワークの普及やクラウド利用の広がりにより変わりつつある企業環境にマッチしたサービスと言えます。もはや境界型防御では不十分であり、ゼロトラストに基づいたセキュリティが求められており、SASEも普及していくことと思います。

ゼロトラストセキュリティとして、ID管理、認証、認可、エンドポイントセキュリティ、ログといった観点でまとめた記事もおすすめです。
ゼロトラストセキュリティの5つのポイント

適切な IDとアクセス権を付与した場合でも、従来のパスワードだけに頼った認証では不十分であり、安全性を高める対策として、多要素認証が求められており、こちらの記事もおすすめです。
多要素認証とは?二段階認証との違い

 

※記載の製品名は、各社の商標または登録商標です。