- 2021/06/08 掲載
SASEとは何かをわかりやすく解説する ゼロトラストでセキュリティ・ネットワーク製品統合の意義とは
2000年からセキュリティ事業に携わり、ラックが運営する国内最大級のセキュリティ監視センターJSOC(Japan Security Operation Center)の立上げからセキュリティ監視サービスに携わる。各種セキュリティソリューションの評価や検証を行い、複数のサービスやSOCの立上げを経験。現在は、様々なセキュリティソリューションの知見を生かして、要件や環境にあわせたソリューションの提案を得意としており、ソリューション企画とインテグレーションサービスを担当する。
SASE(サシー)とは?
SASE(Secure Access Service Edge、サシ―)とは、「セキュアなアクセスをエッジで提供する」ことを指します。これまで、別々の製品サービスとして提供されてきた「ネットワーク機能(たとえば、MPLS/VPN、SD-WAN…など)」と「セキュリティ機能(たとえば、CASB、FWaaS、SWG…など)」を、一体となった1つのプラットフォームとして提供するのがSASEです。すでにいくつかのベンダーから提供されており、多くの場合、ネットワーク機能とセキュリティ機能を統合したクラウド上のサービスとして提供されています。
そんなSASEは、ゼロトラストと呼ばれるセキュリティ対策の考え方を実現する手段としても注目を集めています。ゼロトラストとは、境界防御モデルと呼ばれる従来のセキュリティ対策に代わる新しいセキュリティ対策の考え方です。
境界防御モデルでは社内と社外といったネットワーク境界を設置し、境界の内側のネットワークを安全とみなして暗黙的に信頼していました。ところが、攻撃者は社内に入り込んで攻撃を行いますし、クラウドサービスの利活用推進やテレワークの急激な普及などのITシステムの環境変化によって、暗黙の信頼に基づいた対策では不十分になってきました。
そこで、登場したのが「暗黙の信頼を”ゼロ”にして、すべての信頼性を確認する」という考え方に基づく「ゼロトラスト(Zero Trust)」のセキュリティ対策です。このゼロトラストを実現するためのインフラストラクチャとしてSASEがあるわけです。
ゼロトラストによってネットワーク境界が不要になるわけではありません。後ほど詳しく説明しますが、SASEはネットワーク境界に他なりませんが、ネットワーク境界をこれまでになかった場所にも設置し、これまで以上にエンドポイントに近づけていくことになります。これにより、ゼロトラストを実現する上で必要なセキュリティ機能とネットワーク機能を、統合して提供するインフラストラクチャの1つがSASEなのです。
さて、そうしたSASEのネットワーク機能とセキュリティ機能を統合するとは、具体的にどういうことでしょうか。また、なぜネットワーク機能とセキュリティ機能を統合した方が良いのでしょうか。
SASE登場のキッカケとなった「3つの環境変化」

インテグレーション推進事業部
インテグレーションサービス&企画部 部長
田原祐介氏
これまで企業のITシステムは、データセンター集約型が主流でした。データはデータセンター内のサーバに保存されており、オフィスからはWAN回線やインターネットVPN経由でデータセンターにアクセスしてシステムを利用していました。また、インターネットにアクセスするときは、データセンターのインターネット回線のみを使用していました。このようなシステムでは、ネットワークはすべてデータセンターに集約されているため、比較的シンプルなネットワーク構成となります。
セキュリティ機能はどうでしょうか。データセンター集約型では、インターネットからの通信に対してはネットワークの境界にFWを設置し、NGFWやIDS/IPSを使用して攻撃などから保護していました。インターネット向けの通信では、IDS/IPSやSWG(Secure Web Gateway)、アンチウイルスなどにより安全にアクセスしていました。ネットワークと同様に、セキュリティ機能もデータセンターに集約されており、期待通りに機能していました。
しかし、今やITシステムは大きく変化しており、基盤となる“ネットワーク”と“セキュリティ”がリスクに晒されるようになりました。どのようなITシステムの変化があったのでしょうか。主に、下記の3点が関係しています。
AWSやAzureのようなIaaS/PaaS、Microsoft 365やSalesforceのようなSaaSの利用が進み、データやシステムがクラウドに移っていった。
■変化(2):アクセス方法と、エンドポイントの多様化
自宅やサテライトオフィスなどのさまざまな「場所」からのアクセス、さらに組織で管理されたPCだけでなく、モバイルデバイスや個人所有のPCなど、さまざまな「エンドポイント」からのアクセスが増えた。
■変化(3):トラフィックの変化と増加
クラウドの利用が増えるにつれてデータセンターを通過してインターネットに抜けるトラフィックが増加し、「暗号化された通信」や音声・動画などのトラフィックの割合が増えた。
SASEのメリット
ここまで解説してきたITシステム環境の変化に伴い浮上してきた課題を受け、「ゼロトラスト」と呼ばれるセキュリティ対策の考え方が浸透しはじめています。その具体的な解決手段としてSASEに注目が集まっています。SASEは、ここまで解説してきた課題を根本的に解決しますが、具体的にどうやって解決するのでしょうか。それは、「セキュアなアクセスをエッジで提供する」こと、つまりネットワークへアクセスするのと同時にセキュリティも提供するのです。これは、「ネットワークとセキュリティの統合」と言い換えることができます。
これまで別々で提供していたネットワークとセキュリティを、複数の技術を使用して、統合されたプラットフォームとして提供するのがSASEです。すでにSASEは複数のベンダーが提供していますが、基本的にはクラウドで提供されるサービスとなっています。端末にエージェント、拠点にVPNまたはSD-WANルーターを導入して、クラウドでサービスを提供します。
SASEで実現される機能は非常に多岐にわたり、それぞれのソリューションごとに機能は異なりますが、これまで挙げてきた課題を解決してくれることは間違いありません。それでは、具体的にどのようなメリットがあるのでしょうか。
単一のプラットフォームかつクラウド上で、通信を復号化した上でセキュリティ機能を提供するなど、複雑さが解消する。
■メリット(2):機能のギャップの解消
どの「場所」からどんな「エンドポイント」でアクセスしても共通の機能が提供され、ギャップを解消する。
■メリット(3):コストの低減
サブスクリプションが統合され機能が強化される一方で、ハードウェアが最小限となり、比較的コストを抑えることができる。また、バージョンアップなどの作業も最小限で済むため、運用のコストも低減する。
■メリット(4):パフォーマンスの向上
ネットワークの経路がシンプルになり、SASEベンダー自体が主要なクラウドベンダーとピア接続することで、パフォーマンスが向上する。
■メリット(5):使いやすさの向上
エンドポイントへのエージェントの導入や、拠点へのVPNルーターを導入するだけで、容易に使えるようになる。組織の合併や拠点の統廃合の際にも、容易にネットワークやセキュリティポリシーを統合できる。
■メリット(6):統一されたポリシー
「場所」や「エンドポイント」に依存することなく、統一されたポリシーを適用できる。また、“これまでアクセス制御されていなかった拠点間の通信”についても、共通のポリシーを適用してアクセス制御することができる。
これらの課題やメリットを踏まえて、どのような組織や企業がSASEを導入すべきなのでしょうか。これまで紹介してきた課題が複数該当する場合には、導入を検討するべきでしょう。一方で、一部の課題しか当てはまらない場合でも、ITシステムの環境は目まぐるしく変化しており、予測できないセキュリティ上の弱点が発生する可能性があるため、SASEを導入するメリットは極めて高いと言えます。
ここからは、具体的にどのような企業が導入メリットが高いのか、事例を交えて紹介していきます。読者の皆さんは、導入すべき企業に該当するでしょうか。
SASEがないとマズイ理由
このようなITシステムの変化によって、ネットワークとセキュリティはリスクに晒されることになりました。具体的には、どのようなリスクに晒されるようになったのでしょうか。ネットワークとセキュリティ機能が、複数の場所(クラウドや他拠点)で提供されるようになり、暗号化された通信を復号するために追加のセキュリティ製品が導入されるなど、複雑さが増す。
■リスク(2):機能のギャップ
データセンター向けのトラフィック増加を回避するためのローカルブレイクアウト(注1)によりデータセンターを通さずにインターネットにアクセスさせることで、データセンターで提供していたセキュリティ機能が提供されなくなった。
■リスク(3):コストの増加
複数のサブスクリプションやハードウェアが増えることによってコストが増加した。また、これらに伴うトラブルや障害が増え、ユーザーやIT部門での運用コストが増加した。
■リスク(4):パフォーマンスの劣化
ネットワーク経路が複雑になり、復号などの複数の処理が多重で行われ、音声・動画などのトラフィックが増えることで通信のパフォーマンスが劣化した。
■リスク(5):使いやすさの劣化
複数のエージェントの導入やプロキシの設定、例外の申請や登録などの作業も発生し、使いやすさが劣化した。
■リスク(6):統一されていないポリシー
ネットワークやセキュリティ機能の複雑化により、さまざまな例外が発生し、アクセス方法や場所によるポリシーの不統一が発生する。
※注1:一部のクラウド向けの通信などを、データセンターなどに経由させずに、端末や拠点などから直接インターネットなどに抜けて通信させること。
どのような企業がSASEを導入すべきか?
それでは、特に導入の効果が高いと思われるユースケースを考えてみましょう。■事例(1):海外なども含む多拠点を持つ大企業
ここ数年の間で、海外に拠点を持つ日本企業において、セキュリティインシデントが複数発生しています。攻撃者はセキュリティ対策が不十分な海外の拠点や子会社を最初に狙い、海外拠点を踏み台にして本丸であるデータセンターや本社のデータを狙っているからです。
海外拠点や子会社はデータセンターや本社と違い、独自のインターネット接続を行っており、セキュリティ対策もほとんど行われていないなど、攻撃者が付け入る隙があります。したがって、本丸のセキュリティ対策を強化しても、ネットワークで接続されている「弱い」拠点を改善しなければ意味がありません。
SASEであれば海外の拠点や子会社にも導入が容易であり、本丸と同じレベルのセキュリティ機能を提供することができます。
■事例(2)リモートワークを推進している企業
リモートワークを推進している企業では、従業員の端末からインターネット経由でデータセンターにVPN接続して、データセンターからオンプレミスやクラウドのシステムを利用することが多いでしょう。これにより、インターネット回線がひっ迫し、端末でローカルブレイクアウトを行い、クラウドサービスなどのトラフィックはデータセンターを迂回させることがあります。
これにより、データセンターで提供していたセキュリティ機能が提供されなくなり、リモートワークで使用している端末のリスクが高くなります。これらの端末が踏み台となり、VPNで接続しているデータセンターや本社のシステムが侵害を受ける可能性があります。
SASEであれば、どこに居ても端末からVPN経由でクラウドに接続して、これまでと同様のセキュリティ機能が提供できます。
■事例(3)クラウドネイティブな企業
最近はオンプレミスにはほとんどシステムを置かずに、クラウド上のシステムやSaaSのみを利用しているクラウドネイティブな企業が増えています。この場合、端末からシステムへのアクセス制御などは、端末やシステム上のファイアウォールなどで実現することになります。
しかし、端末や複数のシステムでのアクセス制御は煩雑になりがちで、適切なポリシーで運用することは困難です。そのため、実際にはアクセス制御をほとんど行っておらず、ログの取得や監視が行われていないことがあります。
SASEであれば単一のプラットフォームかつクラウド上で、統一されたポリシーを適用して管理することができます。ログの取得や監視もクラウドサービス上で実施されるため、クラウドネイティブの環境に適したソリューションと言えます。
SASEを導入する際の注意点
SASEは複数の技術を用いたソリューションであり機能も多岐にわたるため、自社に適したソリューションを選定するために、以下の点に注意してください。自社に適したソリューションを選定し、SASEが提供する機能を生かしきることで、ネットワークとセキュリティの課題を解決しましょう。■注意点(1):導入する機能を選定する
SASEは既存の複数製品と重複する機能を持っているため、既存の各機能を新規・置換・廃止することを検討します。その上で、ターゲットを絞ってPoV(注2)を実施して、コストの増減を正しく算出します。
※注2:Proof of Valueの略で、新しいシステムやサービスを短い期間だけ使用して既存と比較することで、投資に対する価値を実証すること。
■注意点(2):リソースの共有有無
SASEはクラウドで提供されるため、各種のリソースがテナント間で共有されることがあります。共有でも問題がないことが大半ですが、たとえばIPアドレスが共有されている場合には、外部のシステムにおけるIPアドレスでのアクセス制限に影響がある可能性があります。どういったリソースが共有され、自組織のITシステムにどのような影響があるかを見極めます。
■注意点(3):エンドポイントの機能
モバイル端末などのエンドポイントからSASEを利用する場合には、SASEをプロキシとして使用する方法と、エージェントを導入してIPsecなどでSASEにトラフィックを転送する方法があります。エンドポイントで提供される機能は、使用するOSによって機能差異があり、ほかのエージェントと競合するなど、SASEを利用する上で最も影響が起こりやすい部分です。そのため、エンドポイントで提供される機能は、使用しているすべてのOSでしっかりと評価する必要があります。
■注意点(4):柔軟性と拡張性
SASEソリューションは複数のサブスクリプションの種類と、購入するサブスクリプションの数で使用できる機能が変わります。SASEを導入する際には、一般的には段階を踏んで導入します。そのため、自組織で想定しているフェーズに対して、サブスクリプションなどのライセンス体系が適合しており、今後の拡張に対応できるか確認します。
関連タグ
PR
PR
PR