これからのセキュリティの要!SASEとは?
セキュリティを知りたい
先生、「SASE」って最近よく聞くんですけど、何なのかよくわからないんです。教えてください。
セキュリティ研究家
そうだね。「SASE」は、簡単に言うと、会社のパソコンやスマホを、場所を問わずに安全に使えるようにするための仕組みだよ。昔は会社の中だけで使うものだったけど、今はどこでも仕事をする時代だからね。
セキュリティを知りたい
なるほど。でも、安全に使うための仕組みって、具体的にどういうものがあるんですか?
セキュリティ研究家
例えば、会社のネットワークに接続するときの安全性を高める仕組みや、怪しいウェブサイトへのアクセスを防ぐ仕組み、ウイルスから守る仕組みなど、色々なものが組み合わさって「SASE」はできているんだ。
SASEとは。
安全性を高めるための仕組みである「SASE」について説明します。「SASE」は「セキュアアクセスサービスエッジ」の略語で、「サッシー」とも呼ばれます。2019年8月にガートナーという会社が提唱したセキュリティの枠組みです。これは、利用者や機器がいつでもどこでも、安全にクラウドサービスにアクセスできるようにするための仕組みです。
クラウドを中心とした環境では、利用者や機器、そして安全なアクセスを必要とするネットワーク機能が、あらゆる場所に存在します。必要な時に必要な場所で、アクセスに必要なネットワーク機能に接続する必要があります。そのため、ネットワークとネットワークセキュリティ機能の連携が重要になり、「SASE」はこのような連携を実現する仕組みとして提案されています。
一般的に「SASE」は、SD-WANやCASB、SWG、ウイルス・マルウェア対策、VPN、FWaaS、DLP、UEBAなどのセキュリティ機能を組み合わせ、連携させることで実現されます。さまざまな会社から「SASE」を実現するための解決策が提供されており、ネットワーク機能とネットワークセキュリティ機能の連携や導入が進んでいます。「SASE」は、ゼロトラストモデルを検討する上でも必要な枠組みとして、検討が進められています。
SASEの概要
– SASEの概要近年、働く場所や使う端末が多様化し、従来のオフィス中心のネットワーク構成では、セキュリティ対策が難しくなってきています。以前は、会社のネットワーク内部は安全な場所と考え、外部からの侵入を防ぐことに重点を置いていました。しかし、クラウドサービスの利用や自宅など会社以外の場所での仕事が増えたことで、この考え方が通用しなくなってきました。そこで登場したのがSASE(サッシー)です。これは、「Secure Access Service Edge」の略で、2019年8月にガートナーという調査会社によって提唱された、新しいセキュリティの考え方です。SASEは、利用者がどこでどんな端末を使っていても、安全に会社のデータやシステムにアクセスできるようにすることを目指しています。従来のセキュリティ対策では、会社のネットワークの出入り口にセキュリティ対策機器を設置して、外部からの侵入を防いでいました。しかし、SASEでは、利用者一人ひとりのアクセス状況に応じて、必要なセキュリティ対策を必要な時にだけ適用するという方法をとります。例えば、利用者が危険性の高いウェブサイトにアクセスしようとした場合には、アクセスをブロックしたり、警告を表示したりします。また、利用者が重要なデータにアクセスしようとした場合には、本人確認を強化したり、アクセスログを記録したりします。このように、SASEは、従来のセキュリティ対策ではカバーしきれなかった、様々な場所や端末からのアクセスに対して、柔軟かつ効果的なセキュリティ対策を提供することができます。
| 従来のセキュリティ対策 | SASE |
|---|---|
| オフィス中心のネットワーク構成を前提に、外部からの侵入を防ぐことに重点を置く | 利用者がどこでどんな端末を使っていても、安全に会社のデータやシステムにアクセスできるようにする |
| 会社のネットワークの出入り口にセキュリティ対策機器を設置 | 利用者一人ひとりのアクセス状況に応じて、必要なセキュリティ対策を必要な時にだけ適用する |
| 外部からの侵入を防ぐことに主眼を置いていたため、社内からの脅威や、多様化するアクセス手段への対応が不十分 | 従来のセキュリティ対策ではカバーしきれなかった、様々な場所や端末からのアクセスに対して、柔軟かつ効果的なセキュリティ対策を提供 |
SASEの特徴
– SASEの特徴SASEは、従来の社内ネットワークに接続する形態から大きく変化し、場所を問わずにアプリケーションやデータにアクセスする働き方において、セキュリティを確保するための仕組みです。従来は、企業のデータやシステムは自社のデータセンターに置かれ、従業員は社内ネットワークに接続してアクセスするのが一般的でした。しかし、クラウドサービスの普及やモバイルワークの増加に伴い、従業員が社外から様々な場所やデバイスを使って業務を行うケースが増加しました。それに伴い、従来の境界型セキュリティ対策では、社外からのアクセスに対するセキュリティリスクが高まるという課題が浮上しました。SASEは、このような課題に対応するために、セキュリティ対策をデータセンターではなく、ユーザーやデバイスの近くに配置することで、安全性を高めることを目指しています。具体的には、ユーザーやデバイスがインターネットに接続する際に、セキュリティ対策が施されたゲートウェイを経由することで、安全なアクセスを実現します。SASEの大きな特徴は、ユーザーやデバイスの場所に関係なく、一貫したセキュリティポリシーを適用できる点です。これにより、管理者はポリシーを個別に設定する手間が省け、セキュリティレベルを一定に保つことが容易になります。また、アクセス制御、脅威防御、データ損失防止などの複数のセキュリティ機能を統合的に提供することで、より効果的なセキュリティ対策を実現します。SASEは、変化の激しいビジネス環境において、柔軟かつ強固なセキュリティ対策を実現するための重要な技術と言えるでしょう。
| 従来のセキュリティ対策の課題 | SASEの特徴 | メリット |
|---|---|---|
| クラウドサービスの普及やモバイルワークの増加により、社外からのアクセスに対するセキュリティリスクが高まる。 | セキュリティ対策をデータセンターではなく、ユーザーやデバイスの近くに配置。ユーザーやデバイスがインターネットに接続する際に、セキュリティ対策が施されたゲートウェイを経由。 | 場所を問わずにアプリケーションやデータにアクセスする働き方において、セキュリティを確保。 |
| 従業員が社外から様々な場所やデバイスを使って業務を行うケースが増加し、セキュリティポリシーの一貫性が保てない。 | ユーザーやデバイスの場所に関係なく、一貫したセキュリティポリシーを適用可能。 | 管理者はポリシーを個別に設定する手間が省け、セキュリティレベルを一定に保つことが容易。 |
| 複数のセキュリティ機能を個別に管理する必要がある。 | アクセス制御、脅威防御、データ損失防止などの複数のセキュリティ機能を統合的に提供。 | より効果的なセキュリティ対策を実現。 |
SASEの構成要素
– SASEの構成要素
SASEは、複数のセキュリティ機能を組み合わせることで、従来の境界型セキュリティでは対応が難しくなっている、現代の複雑なネットワーク環境におけるセキュリティ課題を解決します。ここでは、SASEを構成する主要な要素とその役割について詳しく解説します。
まず、SASEの基盤となるのがSD-WAN(Software-Defined Wide Area Network)です。これは、従来のWAN(Wide Area Network)に比べて、柔軟性と拡張性に優れたネットワークです。従来のWANでは、拠点間の通信は物理的な回線に依存していましたが、SD-WANはインターネットなどの公共回線を活用することで、低コストで柔軟なネットワーク構築を可能にします。さらに、ソフトウェアでネットワークを制御するため、トラフィックの可視化や制御が容易になり、セキュリティの強化にもつながります。
次に、CASB(Cloud Access Security Broker)は、クラウドサービスの利用に伴うセキュリティリスクを軽減するための重要な要素です。CASBは、企業とクラウドサービスの間に位置し、クラウドサービスへのアクセスを可視化し、制御する機能を提供します。具体的には、シャドーITの検出、アクセス制御、マルウェア対策、情報漏えい対策など、クラウドサービス利用における様々なセキュリティ対策を包括的に実現します。
SWG(Secure Web Gateway)は、インターネットへのアクセスを安全にするためのセキュリティ対策です。SWGは、従業員がインターネット上の悪意のあるウェブサイトにアクセスすることを防ぎ、フィッシング詐欺やマルウェア感染のリスクを低減します。また、URLフィルタリングやコンテンツフィルタリングなどの機能により、業務に関係のないウェブサイトへのアクセスを制限し、従業員の生産性向上にも貢献します。
FWaaS(Firewall as a Service)は、従来のハードウェア型のファイアウォールをクラウドサービスとして提供するものです。FWaaSは、インターネットへのアクセス制御、不正侵入防御、アプリケーション制御などの機能をクラウド上で提供することで、ハードウェアの設置や運用管理の手間を削減することができます。また、FWaaSは、必要に応じて柔軟に機能を追加したり、規模を変更したりすることができるため、変化の激しいビジネス環境にも対応しやすいというメリットがあります。
これらの要素を組み合わせることで、SASEは場所を問わず包括的なセキュリティ対策を実現します。これは、テレワークの普及やクラウドサービスの利用拡大が進む現代のビジネス環境において、非常に重要な要素と言えるでしょう。
| 要素 | 説明 |
|---|---|
| SD-WAN (Software-Defined Wide Area Network) | 従来のWANに比べ、柔軟性と拡張性に優れたネットワーク。インターネットなどの公共回線を活用し、低コストで柔軟なネットワーク構築が可能。ソフトウェアでネットワークを制御するため、トラフィックの可視化や制御が容易になり、セキュリティの強化につながる。 |
| CASB (Cloud Access Security Broker) | クラウドサービスの利用に伴うセキュリティリスクを軽減。企業とクラウドサービスの間に位置し、クラウドサービスへのアクセスを可視化し、制御する機能を提供。シャドーITの検出、アクセス制御、マルウェア対策、情報漏えい対策などを行う。 |
| SWG (Secure Web Gateway) | インターネットへのアクセスを安全にするためのセキュリティ対策。従業員が悪意のあるウェブサイトにアクセスすることを防ぎ、フィッシング詐欺やマルウェア感染のリスクを低減。URLフィルタリングやコンテンツフィルタリングなどの機能も提供。 |
| FWaaS (Firewall as a Service) | 従来のハードウェア型のファイアウォールをクラウドサービスとして提供。インターネットへのアクセス制御、不正侵入防御、アプリケーション制御などの機能をクラウド上で提供。ハードウェアの設置や運用管理の手間を削減。 |
SASE導入のメリット
– SASE導入のメリット近年、テレワークの普及やクラウドサービスの利用拡大に伴い、従来の社内ネットワーク中心のセキュリティ対策では、十分な安全性を確保することが難しくなってきています。そこで注目されているのが、SASE(Secure Access Service Edge)です。SASEは、ネットワークとセキュリティを統合的に提供するクラウドサービスであり、場所を問わず包括的なセキュリティ対策を実現できます。SASEを導入することで、企業は多くの利点を得られます。最も大きなメリットは、セキュリティレベルの大幅な向上です。従来のセキュリティ対策では、社内ネットワークに接続する必要がありますが、SASEでは、利用者のアクセス場所に関係なく、常に最新のセキュリティ対策を適用できます。これにより、外部からの不正アクセスや情報漏洩などの脅威から、組織の重要な情報資産を効果的に守ることができます。また、SASEは、コスト削減にも大きく貢献します。従来型のセキュリティ対策では、高額な専用機器の購入や維持管理に、多大な費用と手間がかかっていました。しかし、SASEはクラウドサービスとして提供されるため、自社で設備を持つ必要がなく、初期費用や運用コストを大幅に抑えることができます。さらに、必要な機能だけを選択して利用できるため、無駄なコストを抑え、費用対効果の高いセキュリティ対策を実現できます。さらに、SASEは、変化への対応力が高いという点も大きな魅力です。ビジネス環境の変化や新たな脅威の出現に合わせて、柔軟にシステムを拡張したり、機能を追加したりすることができます。この柔軟性により、企業は常に最適なセキュリティレベルを維持しながら、変化の激しい現代のビジネス環境に迅速に対応していくことが可能になります。
| メリット | 説明 |
|---|---|
| セキュリティレベルの大幅な向上 | 利用者のアクセス場所に関係なく、常に最新のセキュリティ対策を適用できるため、外部からの不正アクセスや情報漏洩などの脅威から、組織の重要な情報資産を効果的に守ることができます。 |
| コスト削減 | クラウドサービスのため、自社で設備を持つ必要がなく、初期費用や運用コストを大幅に抑えることができます。必要な機能だけを選択して利用できるため、無駄なコストを抑え、費用対効果の高いセキュリティ対策を実現できます。 |
| 変化への対応力が高い | ビジネス環境の変化や新たな脅威の出現に合わせて、柔軟にシステムを拡張したり、機能を追加したりすることができます。この柔軟性により、企業は常に最適なセキュリティレベルを維持しながら、変化の激しい現代のビジネス環境に迅速に対応していくことが可能になります。 |
SASEとゼロトラスト
– SASEとゼロトラスト
近年、企業のセキュリティ対策として注目を集めているのが「ゼロトラスト」という考え方です。従来のセキュリティ対策は、社内ネットワークと外部ネットワークの境界に重点を置いていました。そのため、一度内部に侵入を許してしまうと、そこから先は比較的自由にアクセスできてしまうという弱点がありました。
ゼロトラストは、「何も信頼せず、常に検証する」という原則に基づいた、より強固なセキュリティモデルです。社内ネットワークに接続するユーザーやデバイスであっても、常にその正当性を確認し、アクセス権限を都度確認します。
このゼロトラストを実現する上で重要な役割を担うのがSASEです。SASEは、ネットワークとセキュリティを統合的に提供するクラウドサービスであり、ユーザーやデバイス、アクセスするアプリケーションやデータといった様々な要素に基づいて、最適なセキュリティポリシーを適用することができます。
例えば、社外からアクセスする場合は多要素認証を必須にする、アクセス元や時間帯によって利用できるアプリケーションを制限するといったきめ細かい制御が可能になります。このように、SASEはゼロトラストセキュリティモデルを実現するための柔軟性と拡張性を兼ね備えた、最適なフレームワークと言えるでしょう。
| 項目 | 内容 |
|---|---|
| 従来のセキュリティ対策の弱点 | 社内ネットワーク境界に重点を置いていたため、内部侵入を許すと脆弱になる |
| ゼロトラスト | 常に検証し、何も信頼しないという原則に基づいた強固なセキュリティモデル |
| SASEの役割 | ゼロトラストを実現する、ネットワークとセキュリティを統合したクラウドサービス |
| SASEの機能例 | 多要素認証、アクセス元や時間帯によるアプリケーション制限など |
| SASEのメリット | ゼロトラストを実現するための柔軟性と拡張性を備えている |
SASEの将来展望
– SASEの将来展望SASEは、私たちの生活やビジネスを支える技術として、今後ますます進化していくと予想されます。特に、高速で低遅延な通信規格である5Gや、あらゆるモノがインターネットにつながるIoTの普及に伴い、膨大なデータがやり取りされるようになり、従来のデータセンターに集約するセキュリティ対策では対応しきれなくなってきています。そこで、データ発生源の近くにセキュリティ機能を分散配置するエッジコンピューティングの重要性が高まっており、SASEにおいてもエッジセキュリティの強化が求められています。また、人工知能や機械学習を活用した脅威分析技術が進歩することで、膨大なデータの中から、不正なアクセスや攻撃の兆候を、より高い精度で迅速に検知できるようになると期待されます。さらに、これらの技術をセキュリティ対策の自動化に活用することで、従来は人手に頼っていた煩雑な設定作業や運用管理を効率化できるようになり、セキュリティ担当者の負担軽減にも繋がると期待されています。このようにSASEは、常に変化するサイバーセキュリティの脅威に対応し、企業が安心してデジタル技術を活用できる環境を提供する、重要な技術と言えるでしょう。
| SASEの進化を促す要因 | 具体的な内容 | SASEへの影響 |
|---|---|---|
| 5G/IoTの普及 | 高速・低遅延な通信、膨大なデータ量のやり取り | 従来型のデータセンター集約型セキュリティでは不十分に |
| エッジコンピューティングの重要性 | データ発生源近くでの処理 | エッジセキュリティの強化 |
| AI/機械学習の進化 | 高精度かつ迅速な脅威分析 | 自動化によるセキュリティ担当者の負担軽減 |