テレワークをはじめとする働き方の多様化や、企業のシステムがオンプレミスからクラウドサービスへ軸足を移したことなど、企業のネットワークやセキュリティについての考え方は、ここ数年で大きく変化しました。
そんな中、注目を集めているのがSASE(サシー)と呼ばれる、ネットワーク機能とセキュリティ機能を一括で提供するクラウドサービスです。2019年に提唱されたばかりの新しいセキュリティフレームワークですが、セキュリティリスクと管理コストを抑える新しい手段として導入事例が増えています。
ここでは、SASEとは何か、注目される背景を説明するとともに、SASEの仕組みや主な機能などについて紹介します。
SASE(Secure Access Service Edge)とは、「ネットワーク機能」と「セキュリティ機能」を一括して提供するクラウドサービスのことで、2019年にアメリカの調査会社であるガートナーが提唱した新しいセキュリティフレームワークです。
従来、企業のネットワーク環境は社内ユーザー向けのVPNやWAN回線がメインでした。セキュリティ機能はネットワークの境界に配置されるのが一般的で、IT環境の構成としてはシンプルなものになっていました。
しかし、クラウドサービスが普及したことやテレワークの導入により、社内ネットワークにアクセスするPCやスマートフォンの台数が大幅に増えたことでセキュリティ機能が複雑化し、こうした状況は、セキュリティリスクと管理コストの増大の原因となり、通信速度の低下も招きました。
そして、これらの問題を解決する手段として、ネットワーク・セキュリティ機能を1つのプラットフォームに統合するSASEが注目されはじめたのです。
SASEが必要とされるようになった代表的な理由を解説します。
これまで、企業のネットワークは、サーバーやネットワーク機器、ソフトウェアなどを自社で保有・運用するオンプレミスが一般的でした。しかし、昨今のデジタル化の進行により、システム数が増え、柔軟にシステムを追加・変更できるスピードも求められるようになったことから、SaaSやIaaSなどのクラウドサービスの利用が広がりました。
オンプレミスであれば、基本的にセキュリティ機能はネットワークの境界に置けばよかったものの、クラウドサービスはインターネット上にあることから、より高度なセキュリティ機能が必要となり、SASEが必要とされるようになりました。
従来、リモートワークなどで公衆Wi-Fiからアクセスを行う場合、セキュリティを高めるためにVPNを利用するケースがありました。しかし、VPNではデータセンターに接続してからオンプレミスシステムやクラウドサービスに接続するため、アクセス速度が低下し、生産性が落ちることが問題となっていました。
しかし、SASEを使えば、VPNを使わなくても安全にクラウドサービスにアクセスできます。また、回線速度の低下の問題も起こらないため、ネットワークの遅延による生産性の問題も解決できます。
ここでは、SASEを導入する代表的なメリットを紹介します。
従来のオンプレミスシステムは、カスタマイズの余地が大きく、セキュリティポリシーの設定を柔軟にできました。しかし、SaaSなどのクラウドサービスは外部事業者のサービスとして提供されており、セキュリティポリシーはサービスごとに異なります。
そのため、オンプレミスとクラウドが混在する環境では、システムのセキュリティポリシーの統一が難しく、それが外部から攻撃者が侵入する穴をつくることにつながる側面があり、明確なデメリットとなっていました。
SASEを導入する事で、オンプレミスとクラウドが混在する環境でも、これまでバラバラだったポリシーを統一することができます。アクセスを一元管理できるようになり、より強固なセキュリティが可能になります。
SASEを導入すると、システムへのアクセスはすべてSASEを通じて行われます。オンプレミスシステム、クラウドサービスどちらへアクセスする場合でも、必ずSASEの統一された認証を通過するため、攻撃者による不正侵入を防ぎやすくなります。
また、SASEはシステムごとのログイン状況も監視するため、万が一サイバー攻撃が起こった場合もすぐに気づくことができます。
従来の集中管理型のネットワーク構造は、大量のトラフィックを想定していないケースが多く、必ずデータセンターを介することもあって、遅延が発生しがちでした。また、外部からのアクセス時にVPNなどを利用すれば、回線速度の低下も起こります。
しかしSASEは、こうした集中管理型のネットワーク設計にはなっておらず、また、VPNも必要ありません。その結果、データ遅延が少なくなり、通信速度の向上が見込めます。生産性の低下を食い止め、業務効率向上につながることでしょう。
昨今、企業が利用するネットワークやセキュリティサービスは多様です。しかし、機能は包括的に提供されているわけではなく、従来の方法では管理コストが増大してしまいます。
しかし、SASEを導入することで、ネットワークとセキュリティの管理を統一できます。SASEでは、ネットワーク構成やセキュリティがよりシンプルにできるため、情報システム部門などの管理部門の負担を減らせます。
SASEが目指すものは、「デバイスや利用者の場所に関係なくセキュリティを確保する仕組み」です。従来のシステムでは、セキュリティは主に境界で行われていましたが、SASEはセキュリティをネットワークで実現します。そのため、オンプレミスとクラウドの両方で一貫したポリシーを適用できるようになり、回線速度の低下なども起こりづらくなります。
SASEでは、ネットワークとセキュリティをクラウド上で統合し、必要な機能を一括で提供できます。また、多くのトラフィックを想定して設計されているため、システムにアクセスするデバイスやユーザーの数が増えても、パフォーマンスの低下は最小限で済みます。
SASEは多くのセキュリティ機能とネットワーク機能を統合したものです。代表的な機能として、以下のものが挙げられます。
SWG(Secure Web Gateway)は、WebサイトやSaaSなどと、利用者の端末の間でやりとりされるデータを検査するもので、不審なWebサイトへの接続を回避し、危険なファイルのダウンロードを防ぎます。また、必要であればウイルスを無害化します。
なお、SWG登場以前からオンプレミスシステムにはWebフィルタリングやIPフィルタリングが実装されていましたが、SWGはこれをクラウドに実装したものといえます。SASEにおいて中核技術といえる、非常に重要な機能の1つです。
SD-WAN(Software-Defined Wide Area Network)は、ソフトウェアで仮想ネットワークをつくる技術を指します。一般的に企業は、専用回線、光回線などのブロードバンド回線、4Gや5Gなどのモバイル回線を使ってWANを構築していますが、SD-WANであれば、回線種別に関係なくWANを構築できます。
テレワークの普及や、SaaSなどクラウドサービスの利用拡大により、通信料が激増している昨今、品質とセキュリティ、コスト面の要求を満たしながら、柔軟性と拡張性を両立した技術として、SASEに欠かせないものとなっています。
CASB(Cloud Access Security Broker)は、2012年にガートナー社により提唱された、SASEの中心となるコンセプトです。基本的な考え方は、クラウドサービスの利用状況を可視化することと、一貫性のあるセキュリティポリシーを適用することにあります。
多くの企業で問題となったシャドーIT(ユーザーが独自に導入したシステムやクラウドサービスを管理者が関知していない状況)を回避し、組織内で利用されているクラウドサービスを把握した上で、セキュリティを担保する仕組みといえます。
DLPとは、機密情報や重要なデータの紛失・漏洩を防ぐシステムのことを指します。データベースを常に監視し、データの送信やコピーを制限することで、重要なデータの流出を防ぐ仕組みです。
近年はクラウド上でのDLPが実現されはじめており、SASEにおいて必要とされるセキュリティ機能の1つとなっています。
SASEは、セキュリティを強化するためのセキュリティフレームワークのことを指します。一方、ゼロトラストセキュリティモデルは、セキュリティにおける概念を指します。
ゼロトラストセキュリティモデルとは、すべてのユーザーを一律信頼せず(ゼロトラスト)、ユーザーがデータベースやビジネス資産にアクセスするたびに、都度認証を行うセキュリティの概念のことで、一般的にSASEもゼロトラストセキュリティモデルの概念を元に実現されます。
クラウド環境やハイブリッド環境で運用している場合、信頼してよい人やデバイスを判断することは、オンプレミスより格段に難しくなっています。そのため、すべての通信を都度検証し、アプリやデータの使用中でさえも信頼できるユーザーかを繰り返し検証する、ゼロトラストセキュリティモデルが今日のスタンダードになりつつあります。
SASEは、働き方の多様化が進み、SaaSなどの利用が拡大していく中で、安全で快適にクラウドサービスを利用できる仕組みとして注目されています。今後、クラウド利用に不可欠な要素となると考えられ、今後ますます多くの製品が開発されていくことでしょう。