SASE（サシー）とは？

　SASE（Secure Access Service Edge、サシ―）とは、「セキュアなアクセスをエッジで提供する」ことを指します。これまで、別々の製品サービスとして提供されてきた「ネットワーク機能（たとえば、MPLS/VPN、SD-WAN…など）」と「セキュリティ機能（たとえば、CASB、FWaaS、SWG…など）」を、一体となった1つのプラットフォームとして提供するのがSASEです。

　すでにいくつかのベンダーから提供されており、多くの場合、ネットワーク機能とセキュリティ機能を統合したクラウド上のサービスとして提供されています。

　そんなSASEは、ゼロトラストと呼ばれるセキュリティ対策の考え方を実現する手段としても注目を集めています。ゼロトラストとは、境界防御モデルと呼ばれる従来のセキュリティ対策に代わる新しいセキュリティ対策の考え方です。



　境界防御モデルでは社内と社外といったネットワーク境界を設置し、境界の内側のネットワークを安全とみなして暗黙的に信頼していました。ところが、攻撃者は社内に入り込んで攻撃を行いますし、クラウドサービスの利活用推進やテレワークの急激な普及などのITシステムの環境変化によって、暗黙の信頼に基づいた対策では不十分になってきました。

　そこで、登場したのが「暗黙の信頼を”ゼロ”にして、すべての信頼性を確認する」という考え方に基づく「ゼロトラスト（Zero Trust）」のセキュリティ対策です。このゼロトラストを実現するためのインフラストラクチャとしてSASEがあるわけです。

　ゼロトラストによってネットワーク境界が不要になるわけではありません。後ほど詳しく説明しますが、SASEはネットワーク境界に他なりませんが、ネットワーク境界をこれまでになかった場所にも設置し、これまで以上にエンドポイントに近づけていくことになります。これにより、ゼロトラストを実現する上で必要なセキュリティ機能とネットワーク機能を、統合して提供するインフラストラクチャの1つがSASEなのです。

　さて、そうしたSASEのネットワーク機能とセキュリティ機能を統合するとは、具体的にどういうことでしょうか。また、なぜネットワーク機能とセキュリティ機能を統合した方が良いのでしょうか。

SASE登場のキッカケとなった「3つの環境変化」

　SASE登場の背景には、ITシステムの環境変化が大きく関係しています。どのような変化があったのでしょうか。まずは、従来のITシステムの環境を整理しておきましょう。

　これまで企業のITシステムは、データセンター集約型が主流でした。データはデータセンター内のサーバに保存されており、オフィスからはWAN回線やインターネットVPN経由でデータセンターにアクセスしてシステムを利用していました。また、インターネットにアクセスするときは、データセンターのインターネット回線のみを使用していました。このようなシステムでは、ネットワークはすべてデータセンターに集約されているため、比較的シンプルなネットワーク構成となります。

　セキュリティ機能はどうでしょうか。データセンター集約型では、インターネットからの通信に対してはネットワークの境界にFWを設置し、NGFWやIDS/IPSを使用して攻撃などから保護していました。インターネット向けの通信では、IDS/IPSやSWG（Secure Web Gateway）、アンチウイルスなどにより安全にアクセスしていました。ネットワークと同様に、セキュリティ機能もデータセンターに集約されており、期待通りに機能していました。


　しかし、今やITシステムは大きく変化しており、基盤となる“ネットワーク”と“セキュリティ”がリスクに晒されるようになりました。どのようなITシステムの変化があったのでしょうか。主に、下記の3点が関係しています。

SASEのメリット

　ここまで解説してきたITシステム環境の変化に伴い浮上してきた課題を受け、「ゼロトラスト」と呼ばれるセキュリティ対策の考え方が浸透しはじめています。その具体的な解決手段としてSASEに注目が集まっています。

　SASEは、ここまで解説してきた課題を根本的に解決しますが、具体的にどうやって解決するのでしょうか。それは、「セキュアなアクセスをエッジで提供する」こと、つまりネットワークへアクセスするのと同時にセキュリティも提供するのです。これは、「ネットワークとセキュリティの統合」と言い換えることができます。

　これまで別々で提供していたネットワークとセキュリティを、複数の技術を使用して、統合されたプラットフォームとして提供するのがSASEです。すでにSASEは複数のベンダーが提供していますが、基本的にはクラウドで提供されるサービスとなっています。端末にエージェント、拠点にVPNまたはSD-WANルーターを導入して、クラウドでサービスを提供します。


　SASEで実現される機能は非常に多岐にわたり、それぞれのソリューションごとに機能は異なりますが、これまで挙げてきた課題を解決してくれることは間違いありません。それでは、具体的にどのようなメリットがあるのでしょうか。


　これらの課題やメリットを踏まえて、どのような組織や企業がSASEを導入すべきなのでしょうか。これまで紹介してきた課題が複数該当する場合には、導入を検討するべきでしょう。一方で、一部の課題しか当てはまらない場合でも、ITシステムの環境は目まぐるしく変化しており、予測できないセキュリティ上の弱点が発生する可能性があるため、SASEを導入するメリットは極めて高いと言えます。

　ここからは、具体的にどのような企業が導入メリットが高いのか、事例を交えて紹介していきます。読者の皆さんは、導入すべき企業に該当するでしょうか。

SASEがないとマズイ理由

　このようなITシステムの変化によって、ネットワークとセキュリティはリスクに晒されることになりました。具体的には、どのようなリスクに晒されるようになったのでしょうか。

どのような企業がSASEを導入すべきか？

　それでは、特に導入の効果が高いと思われるユースケースを考えてみましょう。

■事例（1）：海外なども含む多拠点を持つ大企業
　ここ数年の間で、海外に拠点を持つ日本企業において、セキュリティインシデントが複数発生しています。攻撃者はセキュリティ対策が不十分な海外の拠点や子会社を最初に狙い、海外拠点を踏み台にして本丸であるデータセンターや本社のデータを狙っているからです。

　海外拠点や子会社はデータセンターや本社と違い、独自のインターネット接続を行っており、セキュリティ対策もほとんど行われていないなど、攻撃者が付け入る隙があります。したがって、本丸のセキュリティ対策を強化しても、ネットワークで接続されている「弱い」拠点を改善しなければ意味がありません。

　SASEであれば海外の拠点や子会社にも導入が容易であり、本丸と同じレベルのセキュリティ機能を提供することができます。

■事例（2）リモートワークを推進している企業
　リモートワークを推進している企業では、従業員の端末からインターネット経由でデータセンターにVPN接続して、データセンターからオンプレミスやクラウドのシステムを利用することが多いでしょう。これにより、インターネット回線がひっ迫し、端末でローカルブレイクアウトを行い、クラウドサービスなどのトラフィックはデータセンターを迂回させることがあります。

　これにより、データセンターで提供していたセキュリティ機能が提供されなくなり、リモートワークで使用している端末のリスクが高くなります。これらの端末が踏み台となり、VPNで接続しているデータセンターや本社のシステムが侵害を受ける可能性があります。

　SASEであれば、どこに居ても端末からVPN経由でクラウドに接続して、これまでと同様のセキュリティ機能が提供できます。

■事例（3）クラウドネイティブな企業
　最近はオンプレミスにはほとんどシステムを置かずに、クラウド上のシステムやSaaSのみを利用しているクラウドネイティブな企業が増えています。この場合、端末からシステムへのアクセス制御などは、端末やシステム上のファイアウォールなどで実現することになります。

　しかし、端末や複数のシステムでのアクセス制御は煩雑になりがちで、適切なポリシーで運用することは困難です。そのため、実際にはアクセス制御をほとんど行っておらず、ログの取得や監視が行われていないことがあります。

　SASEであれば単一のプラットフォームかつクラウド上で、統一されたポリシーを適用して管理することができます。ログの取得や監視もクラウドサービス上で実施されるため、クラウドネイティブの環境に適したソリューションと言えます。

SASEを導入する際の注意点

　SASEは複数の技術を用いたソリューションであり機能も多岐にわたるため、自社に適したソリューションを選定するために、以下の点に注意してください。自社に適したソリューションを選定し、SASEが提供する機能を生かしきることで、ネットワークとセキュリティの課題を解決しましょう。

■注意点（1）：導入する機能を選定する
　SASEは既存の複数製品と重複する機能を持っているため、既存の各機能を新規・置換・廃止することを検討します。その上で、ターゲットを絞ってPoV(注2)を実施して、コストの増減を正しく算出します。

※注2：Proof of Valueの略で、新しいシステムやサービスを短い期間だけ使用して既存と比較することで、投資に対する価値を実証すること。


■注意点（2）：リソースの共有有無
　SASEはクラウドで提供されるため、各種のリソースがテナント間で共有されることがあります。共有でも問題がないことが大半ですが、たとえばIPアドレスが共有されている場合には、外部のシステムにおけるIPアドレスでのアクセス制限に影響がある可能性があります。どういったリソースが共有され、自組織のITシステムにどのような影響があるかを見極めます。


■注意点（3）：エンドポイントの機能
　モバイル端末などのエンドポイントからSASEを利用する場合には、SASEをプロキシとして使用する方法と、エージェントを導入してIPsecなどでSASEにトラフィックを転送する方法があります。エンドポイントで提供される機能は、使用するOSによって機能差異があり、ほかのエージェントと競合するなど、SASEを利用する上で最も影響が起こりやすい部分です。そのため、エンドポイントで提供される機能は、使用しているすべてのOSでしっかりと評価する必要があります。


■注意点（4）：柔軟性と拡張性
　SASEソリューションは複数のサブスクリプションの種類と、購入するサブスクリプションの数で使用できる機能が変わります。SASEを導入する際には、一般的には段階を踏んで導入します。そのため、自組織で想定しているフェーズに対して、サブスクリプションなどのライセンス体系が適合しており、今後の拡張に対応できるか確認します。