コロナをきっかけに、日本でもリモートワークが浸透し、オフィスのみならず自宅や外出先からPCやモバイルを駆使したハイブリッドな働き方を認める企業も多くなりました。
このように、あらゆるロケーション・デバイスから安全にネットワークに接続できるセキュリティフレームワークとしてSASE(Secure Access Service Edge)が注目されています。
本記事では、SASEの概要をはじめ、なぜニーズが高まっているのか、従来型のセキュリティの課題、またSASEを導入することのメリット・デメリット等を解説していきます。
<目次>
SASE(Secure Access Service Edge)とは?
SASEとは、Secure Access Service Edgeの略です。読み方はサシーです。SASEは「ネットワーク」と「セキュリティ」を1つのクラウドサービスに統合させる新しいフレームワークです。
これまで、ネットワークとセキュリティは別々に構築され、管理されることが一般的でした。そのため、運用や管理が複雑化しやすく、運用コストが増加することが課題として挙げられていました。その上、セキュリティーポリシーを統一させることも難しく、セキュリティ上も大きな課題を抱えていました。
これらの課題を解決するフレームワークとして注目されているのが、SASEなのです。
Edgeとは?
SASEを理解する際に併せて抑えておきたい重要な概念にEdgeがあります。SASEはSecure Access Service Edgeの略なので、最後のアルファベットであるEがEdgeを指します。日本語に直訳すると淵です。
では、淵とは何を指すのでしょう?Edgeはデバイスやネットワークの様々な接点を指します。
現在、SaaSなどクラウドサービスの急速な普及により、社内のパソコンやサーバーは外部サービスとの接点が多くなっています。クラウドサービスが一般化している状況下では、外部システムへ頻繁にアクセスする必要があり、この接点こそセキュリティを強化しなければならない部分です。
社内システムと外部システムとの間に壁を作るのではなく、接点ごとにセキュリティを強化することが必要です。
SASEのニーズが高まっている理由
SASEは2019年にガートナーが提唱した新しい概念、フレームワークです。まだ誕生して間もないですが、短期間で急激にニーズが高まっています。厳密には以前からも需要はありましたが、実用化が急速に進んでいます。
では、なぜSASEのニーズは高まり、実用化が進んでいるのでしょう。それは、企業のシステム運用の変化が影響しています。具体的には、企業のあらゆるシステムがクラウド移行したことでSASEのニーズが高まりました。
従来までのセキュリティ対策の課題
従来までのセキュリティ対策は、社内ネットワークを外部の脅威から守るというものが一般的でした。たとえば、外部への情報漏洩対策を徹底する、ハッキングなどの攻撃を受けないように社内システムを定期的にメンテナンスする、といったものです。
しかし、現状のシステム運用では社内ネットワークを外部から守るだけでは不十分です。なぜなら、企業の情報が社内ネットワークだけにあるわけではなく、外部サービスを利用するため、頻繁に外部へもアクセスしているからです。
社内には大規模な物理サーバーは設置せず、外部のクラウドサービス上に情報を置いている企業も多いでしょう。また業務システムもクラウド運用していて、外部サーバーにアクセスしないと仕事にならない、といった状況の企業も多いはずです。
最近はクラウドサービスを利用するだけでなく、クラウドサーバー上に自社システムを構築する企業も増加しています。システムのクラウド運用が進めば進むほど、従来までのセキュリティ対策ではカバーできないリスクが増加するのです。
SASEのメリット
本章では、SASEには具体的にどのようなメリットがあるのかをご紹介します。
時代に合ったセキュリティ対策
先述した通り、現在は、あらゆるシステムがクラウド化している時代です。オンプレミスでシステムを導入すると初期費用が高額となり、また自社サーバーの容量も必要になります。技術の変遷が激しく、オンプレミスシステムでは改修や変更の手間・コストが嵩むデメリットがあります。
その一方で、クラウドシステムであれば外部のサービスを臨機応変に使用することが可能で、ビジネスモデルや自社業務の変化に合わせて対応しやすいのが特徴です。パソコンだけでなくスマホでもアクセスしやすいことから、企業の基幹システムがクラウド移行しているケースが多くなっています。
このようにシステムのクラウド化が急速に進んでいるため、セキュリティもクラウド化に合わせる必要があります。従来までのセキュリティ対策ではリスクカバーができないことや、運用の複雑化・コスト増などの負担もあるため、セキュリティ対策に関しても包括的に一元管理が可能になることへのメリットは大きいでしょう。
一元管理によるセキュリティーポリシーの統一
従来までのセキュリティ対策の方法でも、クラウド化に対応することは不可能ではありません。しかし、その場合外部との接点ごとにセキュリティ対策を取ることが必要でした。SASEで言うところのEdgeごとにセキュリティ対策を施すということです。
セキュリティ対策を分散させると管理が複雑化するだけではなく、セキュリティポリシーが不統一となるといったデメリットが生じていました。一方で、SASEであればEdgeが多くてもセキュリティを1つのプラットフォームで一元管理できるため、セキュリティポリシーも包括的に管理しやすくなります。これにより社外だけではなく社内からのアクセスにも対応したセキュリティ対策が講じやすくなります。
コスト削減につながる
SASEは少ない機器でセキュリティ対策が可能です。ソフトウェアとしてもネットワークとセキュリティが一体化しているので、別々にコストを割く必要がありません。セキュリティ対策を網羅する場合、従来までのセキュリティ対策よりもコスト削減が期待できます。
処理速度が向上する可能性がある
SASEのツールはクラウドを包括的に管理し、ネットワーク領域を分散して割り当てる仕組みになっています。一括管理して効率的にタスクを避けるので、分散管理するよりも処理速度が向上する可能性があります。
別々のセキュリティツールを導入していても、処理速度が最大化するように調整することは可能です。しかし難易度が高く労力もかかるため、SASEで一元管理した方が効率的に処理速度を向上させることができます。
SASEのデメリット
SASEは現在のシステム状況に合った概念、フレームワークですが、デメリットも存在します。
クラウドサービスの処理が重くなる可能性がある
SASEの導入方法によっては、クラウドサービスの処理が重くなる可能性があります。なぜなら、クラウドサービスに接続する際にセキュリティ機能が働くからです。基本的にセキュリティ対策は多かれ少なかれ処理を重くするものです。
そして重要なのは、セキュリティ対策をしながらなるべく処理に悪影響を与えないことです。SASEでも他のセキュリティ対策でも考え方は同じなので、クラウドサービスとの接点にセキュリティ対策を施す場合、セキュリティを高めつつ処理を邪魔しない設定が必要です。
情報が少ないため実用化が難しい
SASEのツールは実用化されていますが、まだ情報が少なく、また単一のツールですべてを網羅するのは難しいのが現状です。複数のツールを組み合わせるには導入、管理の手間、コストがかかります。
情報が少ない分ツールを組み合わせるのが難しいというデメリットもあります。今後は一つのツールでSASEを網羅するものも増えると予測されますが、現在はクラウド化のスピードにSASEが追い付いていない状況になります。
SASEとゼロトラストの違い
昨今のクラウド化やロケーションフリーの働き方が広まる中、注目されるセキュリティ概念として、「ゼロトラスト」という考え方があります。
ゼロトラストとは、ネットワークを内部と外部で区別してセキュリティ設計するのではなく、すべてのアクセス信用しない前提の元にセキュリティ対策を施す考え方です。
ゼロトラストを実現するには、セキュリティポイントごとにセキュリティ構築やネットワークツールを導入する必要があります。これにより運用が複雑化、セキュリティポリシーの統一が難しくなることが課題として挙げられていました。
これらの課題を解決する方法としてネットワークとセキュリティを包括的に管理できるSASEが注目されているのです。
関連記事 ゼロトラストとは?DX時代におけるセキュリティのあり方
SASEとCASBの違い
CASBはCloud Access Security Brokerの略です。読み方はキャスビーです。CASBはユーザーとクラウドサービスの間にコントロールポイントを設け、クラウドサービスの安全な利用環境を作るためのものです。
具体的なCASBの機能としては、可視化・制御、データセキュリティ、コンプライアンス、脅威防御が挙げられます。クラウドサービスのセキュリティ強化という点では、SASEと同じ考え方です。
SASEとの違いとしては、SASEの方がより広範囲であるということです。CASBはSASEの機能のうちの一つになります。ゼロトラストとCASBを比較すると、ゼロトラストが概念であるのに対し、CASBはより具体的なセキュリティ対策です。
SASEの機能
SASEはネットワークとセキュリティを1つのクラウドサービスに統合させる新しいフレームワークということでした。ではそれぞれより具体的にはどのような機能を持つのでしょう。
ネットワーク関連の機能
SASEに含まれるネットワーク関連の機能としては、以下が挙げられます。
・SD-WAN(Software Defined-Wide Area Network)
・レイテンシー最適化
・コスト最適化
・帯域制御
・ジオロケーション制御
・経路最適化
・ルーティング
・キャッシング
・CDN(コンテンツデリバリーネットワーク)
・トラフィックシェーピング
・重複排除
・SaaSアクセラレーション
ここでは、代表としてSD-WANについて解説します。SD-WANとは、物理的なネットワーク機器で構築したWANの上に仮想的なWANを構築する技術です。WANはWide Area Networkの略なので、広い範囲のネットワークのことです。狭いネットワークはLANです。
SASEのネットワークにおいて重要なのは、セキュリティ機能を考慮したうえで仮想的なネットワークを構築しているということです。SASEではセキュリティ機能を高めると同時にネットワークの快適性も高めることを重要視しています。
セキュリティが向上しても処理速度が低減するなど利便性が下がっては元も子もないということです。SD-WAN以外のレイテンシー最適化なども、ネットワークの処理速度、利便性を向上させるための仕組みです。
セキュリティ関連の機能
SASEに含まれるセキュリティ関連の機能としては、以下が挙げられます。
・CASB
・DLP(Data Loss Prevention)
・WAF/WAAP(Web application firewall/Web Application and API Protection)
・脅威保護/検知
・FWaaS(Firewall-as-a-Service)
・ZTNA/SDP(Zero Trust Network Access /Software Defined Perimeter)
・DNS/Wi-Fi保護(Domain Name System)
・UEBA/詐欺防止(User and Entity Behavior Analytics)
・SWG(Secure Web Gateway)
・クラウドアプリケーション可視化
・センシティブデータ可視化
・ネットワーク暗号化/復号化
・難読化
・リモートブラウザーアイソレーション(ネットワーク分離)
上でご紹介したCASBもSASEのセキュリティ機能に含まれます。CASB以外にも主にクラウド対策として幅広いセキュリティ対策が含まれています。
まとめ〜SASEの今後〜
SASEはネットワークとセキュリティを1つのクラウドサービスに統合させる新しいフレームワークです。
クラウド化や多様な働き方の推進に伴い、外部からのセキュリティ対策のみならず、内部からのセキュリティも強化する必要が出てきまた。やネットワークSASEの需要が急速に高まっています。
従来型の外部からの攻撃に備えたセキュリティ対策では不十分であることや、さまざまさなアクセスポイントで統一したセキュリティポリシーが運用できるSASEは今後より活用が進むと考えられます。
しかし、SASEに関しては情報の普及も実用的なツールの普及もまだ途上です。今後より普及していけば、クラウドサービス同様に企業に導入されるべき必須のツール、フレームワークになっていくでしょう。
