今回のブログは、Gartnerの新しい市場カテゴリーであるセキュリティサービスエッジ(SSE)を3回にわたって取り上げるシリーズの第2回目です。第1回目のブログでは、プラットフォームとしてのSSEについて探っており、第3回目では、SSEプラットフォームを選択する際に注目すべき特徴について説明します。

Gartnerの新しいセキュリティ・サービスエッジ(SSE)とは何かを明確にしたところで、それがどのように組織に適用され、どのようなメリットがあるのかを探ることにしましょう。SSEを推進しているのは「ユーザー」と「接続先」という2つの概念で、これらはビジネスにおいてSSEを実際にどう活用できるかを示しています。実際のところ、ユーザーや接続先は企業のネットワーク上に存在しなくなっているため、ネットワークセキュリティの概念は廃れつつあります。

SSEは、セキュリティをネットワークから抜き取り、どこにでも存在してユーザーや接続先を追跡するフォームファクターにする手段として捉えることができます。その際、SSEはセキュアWebゲートウェイ(SWG)、クラウドアクセスセキュリティブローカー(CASB)、ゼロトラストネットワークアクセス(ZTNA)を使用します。クラウドプラットフォームとして提供されるSSEは、接続先がインターネット、SaaSアプリケーション、プライベートアプリケーションのいずれであっても、ユーザーを容易に追跡し、接続先への接続をプロキシすることができます。SSEの主なユースケースには、以下のようなものがあります。

脅威の検出と低減

クラウドとモビリティが主流となっている現在、インターネットとクラウドアプリケーションを介してビジネスが行われることが多くなっています。インターネットが企業のネットワークとなり、企業はリスクを低減するための安全なアプローチを必要としています。侵入者やランサムウェアは複数の手段を駆使して組織に侵入する可能性があるため、多層防御が成功の鍵となります。旧来のアプローチの問題点は、異なるソリューションが互いに組み合わさって機能することが難しく、セキュリティがポイント製品から別の製品へと渡される際にギャップが生じること、また、従来型のアプライアンスのアップデートが面倒で見落とされがちなため、セキュリティが古くなり、脆弱性が高まることにあります。

ここで役立つのがSSEです。SWG、CASB、ZTNAを1つの専用プラットフォームに統合したSSEは、以下の機能を備えた最高品質の多層防御を提供します。

高度な脅威対策：フィッシング、マルウェア、その他の外部からの脅威を阻止。
クラウドファイアウォールと侵入防止システム(IPS)：アクセスを制御し、支店との接続を保護。
クラウドサンドボックス：新たな脅威や未知の脅威を制御。
ブラウザ分離：悪意のあるアクティブなWebコンテンツにアクセスする、非管理対象のデバイスの保護をサポート。
クラウドの脅威インテリジェンス：脅威の共有を改善することで、プラットフォーム全体で検出された新たな脅威を迅速に特定、阻止。

SSEはクラウドで提供されるため、対象範囲と検査の両方においてスケーラビリティを実現できます。理想的なSSEプラットフォームであれば、全世界を総合的に網羅して、すべてのユーザーに高速なローカル接続を提供し、すべての脅威を検出できる制限のないスケーラブルなSSLインスペクションを実施できます。

リモートワーカーの接続と保護

ハイブリッドワークの増加に伴い、企業は業務の遂行方法だけでなく、ユーザーやデータのセキュリティを確保する方法についても再考する必要に迫られています。しかし、この変革においては従来型のVPNが問題となります。従来型のVPNは、需要の増加に対応できないだけでなく、アーキテクチャーに致命的な欠陥があるのです。

VPNの脆弱性が企業を危険にさらすものとして、より頻繁かつ大々的に報道されるようになっているのは偶然ではありません。VPNはインターネット上で検出可能なため、パッチを適用する必要がありますが、この点は見落とされがちです。またVPNでは、アプリケーションへのアクセスを許可するためにネットワーク上にユーザーを配置します。こうした欠点により、リスクは著しく増大します。

SSEは、ZTNAの概念において定義された、より優れた最新のゼロトラストアプローチを提供します。ZTNAは、ユーザーをネットワーク上に配置することなく、ユーザーからアプリへのアクセスを可能にします。また、インターネットからは不可視化されるように設計されており、SSEのクラウドプラットフォームがユーザーとアプリケーションの接続を仲介する、内側から外側へのネットワーク接続を実現できます。

SSEを推進する2つの主な概念であるユーザーと接続先について改めて目を向けると、ZTNAがSSEの重要な要素である理由が明らかになります。SaaSであれプライベートなものであれ、アプリケーションは接続先であり、ユーザーは企業ネットワークから離れているものの、接続は安全で常に有効な状態である必要があります。ZTNAをSSEアーキテクチャーに統合することで、企業はユーザー間、ユーザーとアプリ間の安全なゼロトラスト接続を非常にシンプルな方法で実現することができます。同時に、脅威やデータ保護のために企業が必要とする他のセキュリティサービスとも緊密に統合することが可能です。

機密データの特定と保護

データは企業の生命線ですが、サイバー脅威や攻撃者がますます巧妙になっていくなか、貴重な資産を守ることは困難になっています。さらに、データはかつてないほど分散しており、複雑さが増しています。こうした動きにより、以下のような課題が生じています。

データの制御 - クラウドアプリケーションはビジネスに役立つものである一方、それらが機能するためには企業のデータが必要であり、多くの企業ではSaaSにおけるデータの制御がまだ不十分です。
リモートワーク - ユーザーは場所を問わずにデータにアクセスできる体制を必要としています。
コラボレーション - SaaSアプリケーションはデータを共有するように設計されており、従来のデータやセキュリティの制御の可視性からかけ離れた、かつてない規模でデータが共有されています。
BYOD - 在宅勤務により、ユーザーは非管理対象である可能性のあるデバイスからデータにアクセスするようになっています。このような非管理対象のデバイスにも、多くの場合データへの正当なアクセスが付与されていますが、デバイスにダウンロードされた時点でデータは制御できなくなります。

このような困難な現実とデータの課題により、企業は、データをデータセンターから取り出してクラウドに移行する必要があると認識するようになってきています。ここで活用できるのがSSEのクラウドプラットフォームで、転送中データと保存データの両方を完全に制御することが可能になります。機能の一つであるクラウドDLPは、転送中データを処理し、機密性の高いコンテンツを特定、ブロックします。また、DLPとCASBを組み合わせることで、SaaSアプリケーションにおいて同じレベルのセキュリティと制御が可能となり、危険な共有をモニタリングして防止するとともに、機密データを制御、保護することができます。そして、理想的なSSEプラットフォームを用いることで、複雑さを伴わずにBYODデバイスを保護することが可能です。クラウドブラウザー分離を活用し、データの制御を失うことなく、BYODのデータの可視性を実現できるSSEプラットフォームを使用するようにしましょう。

まとめ

SASEと混同されたり、単なる業界用語の1つに過ぎないと思われがちですが、SSEには数多くのメリットがあるため、企業はこれに注目すべきです。SWG、CASB、ZTNAが持つ機能を結集し、専用に構築されたクラウドSSEプラットフォームは、進化を続ける攻撃の情勢における脅威の検知と影響低減、場所を問わずに働くユーザーの接続と保護、そして機密データの特定と保護を実現することで、企業のセキュリティ確保をサポートします。

SSEに関するブログシリーズの最終回では、SSEのクラウドプラットフォームを選択する際のポイントを紹介しますので、そちらもご確認ください。