開閉ボタン
ユーザーメニュー
ユーザーメニューコンテンツ
ログイン

  • 会員限定
  • 2021/06/08

SASE(サシー)とは何か?ゼロトラストでセキュリティ・ネットワーク製品統合の意義

ITシステムが目まぐるしく変化する中、ネットワークセキュリティの未来として期待されているのが「SASE(Secure Access Service Edge:サシー)」と呼ばれるセキュリティモデルです。SASEとは一体何なのか、登場した背景を紐解きつつ、SASEの機能とメリット、さらには導入効果が期待できる3つの企業タイプを解説する。

田原 祐介

田原 祐介

ラック インテグレーション推進事業部 インテグレーションサービス&企画部 部長
2000年からセキュリティ事業に携わり、ラックが運営する国内最大級のセキュリティ監視センターJSOC(Japan Security Operation Center)の立上げからセキュリティ監視サービスに携わる。各種セキュリティソリューションの評価や検証を行い、複数のサービスやSOCの立上げを経験。現在は、様々なセキュリティソリューションの知見を生かして、要件や環境にあわせたソリューションの提案を得意としており、ソリューション企画とインテグレーションサービスを担当する。

画像
ネットワークセキュリティの未来として期待されている「SASE(サシー)」と呼ばれるセキュリティモデル
(Photo/Getty Images)
 


SASE(サシー)とは?

 SASE(Secure Access Service Edge)とは、「セキュアなアクセスをエッジで提供する」ことを指します。これまで、別々の製品サービスとして提供されてきた「ネットワーク機能(たとえば、MPLS/VPN、SD-WAN…など)」と「セキュリティ機能(たとえば、CASB、FWaaS、SWG…など)」を、一体となった1つのプラットフォームとして提供するのがSASEです。

 すでにいくつかのベンダーから提供されており、多くの場合、ネットワーク機能とセキュリティ機能を統合したクラウド上のサービスとして提供されています。

 そんなSASEは、ゼロトラストと呼ばれるセキュリティ対策の考え方を実現する手段としても注目を集めています。ゼロトラストとは、境界防御モデルと呼ばれる従来のセキュリティ対策に代わる新しいセキュリティ対策の考え方です。

 境界防御モデルでは社内と社外といったネットワーク境界を設置し、境界の内側のネットワークを安全とみなして暗黙的に信頼していました。ところが、攻撃者は社内に入り込んで攻撃を行いますし、クラウドサービスの利活用推進やテレワークの急激な普及などのITシステムの環境変化によって、暗黙の信頼に基づいた対策では不十分になってきました。

 そこで、登場したのが「暗黙の信頼を”ゼロ”にして、すべての信頼性を確認する」という考え方に基づく「ゼロトラスト(Zero Trust)」のセキュリティ対策です。このゼロトラストを実現するためのインフラストラクチャとしてSASEがあるわけです。

 ゼロトラストによってネットワーク境界が不要になるわけではありません。後ほど詳しく説明しますが、SASEはネットワーク境界に他なりませんが、ネットワーク境界をこれまでになかった場所にも設置し、これまで以上にエンドポイントに近づけていくことになります。これにより、ゼロトラストを実現する上で必要なセキュリティ機能とネットワーク機能を、統合して提供するインフラストラクチャの1つがSASEなのです。

 さて、そうしたSASEのネットワーク機能とセキュリティ機能を統合するとは、具体的にどういうことでしょうか。また、なぜネットワーク機能とセキュリティ機能を統合した方が良いのでしょうか。

SASE登場のキッカケとなった「3つの環境変化」

photo
ラック
インテグレーション推進事業部
インテグレーションサービス&企画部 部長
田原祐介氏
 SASE登場の背景には、ITシステムの環境変化が大きく関係しています。どのような変化があったのでしょうか。まずは、従来のITシステムの環境を整理しておきましょう。

 これまで企業のITシステムは、データセンター集約型が主流でした。データはデータセンター内のサーバに保存されており、オフィスからはWAN回線やインターネットVPN経由でデータセンターにアクセスしてシステムを利用していました。また、インターネットにアクセスするときは、データセンターのインターネット回線のみを使用していました。このようなシステムでは、ネットワークはすべてデータセンターに集約されているため、比較的シンプルなネットワーク構成となります。

 セキュリティ機能はどうでしょうか。データセンター集約型では、インターネットからの通信に対してはネットワークの境界にFWを設置し、NGFWやIDS/IPSを使用して攻撃などから保護していました。インターネット向けの通信では、IDS/IPSやSWG(Secure Web Gateway)、アンチウイルスなどにより安全にアクセスしていました。ネットワークと同様に、セキュリティ機能もデータセンターに集約されており、期待通りに機能していました。

画像
データセンター集約型のネットワーク(イメージ)
(出典:ラック)
 

 しかし、今やITシステムは大きく変化しており、基盤となる“ネットワーク”と“セキュリティ”がリスクに晒されるようになりました。どのようなITシステムの変化があったのでしょうか。主に、下記の3点が関係しています。

■変化(1):クラウド利用の増加
 AWSやAzureのようなIaaS/PaaS、Microsoft 365やSalesforceのようなSaaSの利用が進み、データやシステムがクラウドに移っていった。

■変化(2):アクセス方法と、エンドポイントの多様化
 自宅やサテライトオフィスなどのさまざまな「場所」からのアクセス、さらに組織で管理されたPCだけでなく、モバイルデバイスや個人所有のPCなど、さまざまな「エンドポイント」からのアクセスが増えた。

■変化(3):トラフィックの変化と増加
 クラウドの利用が増えるにつれてデータセンターを通過してインターネットに抜けるトラフィックが増加し、「暗号化された通信」や音声・動画などのトラフィックの割合が増えた。


SASEがないとマズイ理由

 このようなITシステムの変化によって、ネットワークとセキュリティはリスクに晒されることになりました。具体的には、どのようなリスクに晒されるようになったのでしょうか。

■リスク(1):複雑さが増加
 ネットワークとセキュリティ機能が、複数の場所(クラウドや他拠点)で提供されるようになり、暗号化された通信を復号するために追加のセキュリティ製品が導入されるなど、複雑さが増す。

■リスク(2):機能のギャップ
 データセンター向けのトラフィック増加を回避するためのローカルブレイクアウト(注1)によりデータセンターを通さずにインターネットにアクセスさせることで、データセンターで提供していたセキュリティ機能が提供されなくなった。

■リスク(3):コストの増加
 複数のサブスクリプションやハードウェアが増えることによってコストが増加した。また、これらに伴うトラブルや障害が増え、ユーザーやIT部門での運用コストが増加した。

■リスク(4):パフォーマンスの劣化
 ネットワーク経路が複雑になり、復号などの複数の処理が多重で行われ、音声・動画などのトラフィックが増えることで通信のパフォーマンスが劣化した。

■リスク(5):使いやすさの劣化
 複数のエージェントの導入やプロキシの設定、例外の申請や登録などの作業も発生し、使いやすさが劣化した。

■リスク(6):統一されていないポリシー
 ネットワークやセキュリティ機能の複雑化により、さまざまな例外が発生し、アクセス方法や場所によるポリシーの不統一が発生する。

※注1:一部のクラウド向けの通信などを、データセンターなどに経由させずに、端末や拠点などから直接インターネットなどに抜けて通信させること。


SASEのメリット

 ここまで解説してきたITシステム環境の変化に伴い浮上してきた課題を受け、「ゼロトラスト」と呼ばれるセキュリティ対策の考え方が浸透しはじめています。その具体的な解決手段としてSASEに注目が集まっています。

 SASEは、ここまで解説してきた課題を根本的に解決しますが、具体的にどうやって解決するのでしょうか。それは、「セキュアなアクセスをエッジで提供する」こと、つまりネットワークへアクセスするのと同時にセキュリティも提供するのです。これは、「ネットワークとセキュリティの統合」と言い換えることができます。

 これまで別々で提供していたネットワークとセキュリティを、複数の技術を使用して、統合されたプラットフォームとして提供するのがSASEです。すでにSASEは複数のベンダーが提供していますが、基本的にはクラウドで提供されるサービスとなっています。端末にエージェント、拠点にVPNまたはSD-WANルーターを導入して、クラウドでサービスを提供します。

画像
ネットワークとセキュリティを統合するSASE(イメージ)
(出典:ラック)
 

 SASEで実現される機能は非常に多岐にわたり、それぞれのソリューションごとに機能は異なりますが、これまで挙げてきた課題を解決してくれることは間違いありません。それでは、具体的にどのようなメリットがあるのでしょうか。

■メリット(1):複雑さの解消
 単一のプラットフォームかつクラウド上で、通信を復号化した上でセキュリティ機能を提供するなど、複雑さが解消する。

■メリット(2):機能のギャップの解消
 どの「場所」からどんな「エンドポイント」でアクセスしても共通の機能が提供され、ギャップを解消する。

■メリット(3):コストの低減
 サブスクリプションが統合され機能が強化される一方で、ハードウェアが最小限となり、比較的コストを抑えることができる。また、バージョンアップなどの作業も最小限で済むため、運用のコストも低減する。

■メリット(4):パフォーマンスの向上
 ネットワークの経路がシンプルになり、SASEベンダー自体が主要なクラウドベンダーとピア接続することで、パフォーマンスが向上する。

■メリット(5):使いやすさの向上
 エンドポイントへのエージェントの導入や、拠点へのVPNルーターを導入するだけで、容易に使えるようになる。組織の合併や拠点の統廃合の際にも、容易にネットワークやセキュリティポリシーを統合できる。

■メリット(6):統一されたポリシー
「場所」や「エンドポイント」に依存することなく、統一されたポリシーを適用できる。また、“これまでアクセス制御されていなかった拠点間の通信”についても、共通のポリシーを適用してアクセス制御することができる。

 これらの課題やメリットを踏まえて、どのような組織や企業がSASEを導入すべきなのでしょうか。これまで紹介してきた課題が複数該当する場合には、導入を検討するべきでしょう。一方で、一部の課題しか当てはまらない場合でも、ITシステムの環境は目まぐるしく変化しており、予測できないセキュリティ上の弱点が発生する可能性があるため、SASEを導入するメリットは極めて高いと言えます。

 ここからは、具体的にどのような企業が導入メリットが高いのか、事例を交えて紹介していきます。読者の皆さんは、導入すべき企業に該当するでしょうか。

【次ページ】どのような企業がSASEは導入すべきか?導入効果の高い3つの企業タイプとは…?

お勧め記事

セキュリティ総論 ジャンルのセミナー

セキュリティ総論 ジャンルのトピックス

セキュリティ総論 ジャンルのIT導入支援情報

ビジネス+IT 会員登録で、会員限定コンテンツやメルマガを購読可能、スペシャルセミナーにもご招待!