SASEとは?
Secure access service edge (SASE), 発音は「サシー」) は、ユーザー、システム、エンドポイントデバイスなどのエンティティを、どこからでもアプリケーションやサービスに安全に接続する手段として、Gartnerが認定したフレームワークです。重要なポイントとして、SASEは1つの技術ではないということが挙げられます。Gartnerは、2019年版レポート「The Future of Network Security is in Cloud 」において、SASEフレームワークを「デジタル企業のセキュアアクセスに対する多様なニーズをサポートする、総合的なネットワークセキュリティ機能(SWG,CASB,FWaaS ,ZTNAなど)による、クラウドベースのサイバーセキュリティソリューション」と定義しています。
SASEは、セキュリティ・サービス・エッジ(SSE )とは異なります。Gartnerの定義によれば、ASEクラウドプラットフォームに必要なセキュリティサービスのみに焦点を当てたSSEのサブセットです。
。
SASEの仕組み
SASEアーキテクチャは、Software-Defined Wide Area Network (SD-WAN) 、またはその他のWANと複数のセキュリティ機能(クラウドアクセスセキュリティブローカー、アンチマルウェアなど)を組み合わせ、それらの機能の総体としてネットワークトラフィックを確保します。
データセンターのファイアウォールにMPLS(Multiprotocol Label Switching)サービスを介してトラフィックを転送するなど、従来の検査・検証アプローチは、ユーザーが同じロケーションにいる場合には効果的です。しかし、今日、多くのユーザーが遠隔地やホームオフィスにいるため、この「ヘアピン」(リモートユーザーのトラフィックをデータセンターに転送し、それを検査してから返送する)処理は、生産性を下げ、エンドユーザーエクスペリエンスを損なう傾向にあります。
SASEとポイントソリューションや他の安全なネットワーク戦略の違いは、安全でありながらダイレクトであることです。データセンターのセキュリティに頼るのではなく、ユーザーの端末からのトラフィックを近くのプレゼンスポイント(執行ポイント)で検査し、そこから送信先に送ります。それにより、アプリケーションやデータへのアクセスがより効率的になり、クラウド上の分散したワークフォースやデータを保護するためのはるかに優れた選択肢となるのです。
SASEは単なる流行ものなのか?
SASEは、ネットワークやセキュリティを専門とするベンダーやメディアから注目を集めていますが、SASEフレームワークの主な原理はデータセンターに注目したセキュリティやネットワークアーキテクチャはもはや有効でなくなったという考え方であり、そこが最も説得力を持つ要素です。この考え方は、単なるトレンドやマーケティングのキャッチフレーズではなく、業界では広く受け入れられています。では、プライベートネットワークでオフィスを接続し、安全なWebゲートウェイやファイアウォールを介してトラフィックをルーティングする従来の企業ネットワークセキュリティと比較して、SASEソリューションはどのような価値を提供するのでしょうか?
Gartnerが指摘するように、接続性とセキュリティがデータセンターに集中する従来のモデルから脱却し、代わりにユーザーとデバイスのアイデンティティに焦点を当てるべきです。前出のレポートによると、「今日のクラウド中心のデジタルビジネスでは、ユーザー、デバイス、そしてこれらがセキュアにアクセスする必要があるアプリケーションはあらゆる場所にあります」。言い換えるなら、ハブ&スポーク型ネットワークが考案された当時と現在とでは、ワークフローもトラフィックパターンもユースケースも大きく異なっているのです。その理由は...
- より多くのユーザー・トラフィックがデータセンターよりもクラウド・サービスに向かっている
- オンネットワークよりオフネットワークで実行される作業の方が多い
- より多くのワークロードがデータセンターよりもクラウドサービスで遂行されている
- ローカルホスティングのアプリケーションよりSaaSアプリケーションが多く利用されている
- 企業ネットワーク内よりも、クラウドサービスに格納されている機密データの方が多い
Lawrence Orans、Joe Skorupa、Neil MacDonald共著
SASEモデルの構成要素
SASEは、その機能と技術から、6つの必須要素に分解することができます。
ソフトウェア定義型広域ネットワーク(SD-WAN)
SD-WAN は、インターネット、クラウドアプリ、データセンターへのトラフィックに対して最適な経路を選択することで、複雑度を下げ、ユーザー体験を最適化するオーバーレイアーキテクチャです。新しいアプリケーションやサービスの迅速な展開も可能になり、多数の拠点にまたがるポリシー管理にも役立ちます。
2.セキュアウェブゲートウェイ(SWG)
SWGは、安全でないインターネットトラフィックが内部ネットワークに侵入するのを防ぎます。また悪意のあるウェブトラフィック、脆弱性を持つウウェブサイト、インターネットを介したウイルスやマルウェアなどのサイバー脅威に、従業員やユーザーがアクセスし感染するのを防ぎます。
3.クラウドアクセスセキュリティブローカー(CASB)
CASBは、クラウドアプリケーションやサービスの安全な利用を保証し、データ漏洩、マルウェア感染、規制へのノンコンプライアンス、可視性の欠如を防止します。クラウドアプリケーションが、パブリッククラウド(IaaS)、プライベートクラウド、SaaSのいずれによるホスティングかにかかわらず、クラウドアプリケーションのセキュリティを確保します。
ファイアウォール・アズ・ア・サービス(FWaaS)
FWaaS はURLフィルタリングなどのアクセス制御、高度な脅威防御、侵入防御システム(IPS)、DNSセキュリティなどの高度なレイヤー7/次世代ファイアウォール(NGFW)機能を提供するクラウドファイアウォールによる従来の物理的なファイアウォールアプライアンスの置き換えをサポートします。
5.ゼロトラストネットワークアクセス(ZTNA)
ZTNA 製品およびサービスにより、リモートユーザーは社内アプリに安全にアクセスすることができます。ゼロトラストモデルでは、信頼を前提とせず、きめ細かなポリシーに基づいて最小限のアクセス権を付与します。ZTNAは、リモートユーザーをネットワーク上に置いたり、アプリケーションをインターネットに公開することなく、安全な接続を提供します。
集中型管理
これらすべてを単一コンソールから管理することで、変更管理、パッチ管理、障害ウィンドウの調整、ポリシー管理などの多くの課題を排除し、ユーザーがどこに接続しても組織全体で一貫したポリシーを提供することができます。
SASEの3つのメリット
このような共通の現実に直面しながら、企業はどのようにしてアクセス制御とセキュリティを強化すればよいのでしょうか?そこで、WAN機能(SD-WAN)と総合的なセキュリティサービスであるSASEプラットフォームが効果を発揮します。クラウドベースのSASEは、従来のオンプレミス型企業ネットワークインフラとセキュリティをはるかに超えてた効果を実現し、クラウドサービスやモビリティなどデジタル変革の利点を活用したい組織に大きなメリットをもたらします。
1.SASEはITコストを削減し複雑なシステムを簡素化する
クラウドサービスへの安全なアクセス、リモートユーザーやデバイスの保護、その他セキュリティギャップの解消に取り組む中で、企業はさまざまなセキュリティソリューションの導入を余儀なくされ、コストと管理オーバーヘッドが大きくかさみます。そうした投資にもかかわらず、オンプレミス型のネットワーク・セキュリティ・モデルは、はっきり言ってデジタルの世界では全く有効ではありません。SASEは、古い概念で現在の問題を解決するのではなく、セキュリティモデルに革命をもたらします。SASEはセキュアな境界線ではなく、ユーザーなどのエンティティに焦点を当てます。エッジコンピューティングとは、情報を必要とする人やシステムの近傍で処理するという概念で、SASEサービスは、セキュリティとアクセスをユーザーの近くで提供します。SASEは、組織のセキュリティ・ポリシーを使用して、アプリケーションやサービスへの接続を動的に許可または拒否します。
2.SASEモデルは、高速でシームレスなユーザーエクスペリエンスを提供します
ユーザーがネットワーク上にいて、IT部門がアプリとインフラを所有し管理していた時代では、ユーザーエクスペリエンスを制御し予測するのは簡単でした。マルチクラウド環境が分散している今日でも、多くの企業ではいまだにセキュリティのためにユーザーとネットワークの接続にVPNを利用しています。しかし、VPNはユーザーにとって使い勝手が悪く、またIPアドレスを公開することで組織の攻撃対象範囲が広がってしまいます。マイナス面が目立つこのようなシステムの代わりに、SASEは最適化されたシステムを提供します。具体的には、セキュリティが必要な主体の近傍でセキュリティを強化すること、つまり、ユーザーをセキュリティ機能に送り込むのではなく、セキュリティをユーザーに届けるということです。SASEは、インターネットエクスチェンジでの接続をリアルタイムにインテリジェントに管理し、クラウドアプリケーションやサービスへの接続を最適化して遅延発生頻度の低下を実現するクラウドセキュアなソリューションです。
3.SASEによるリスク軽減
クラウドネイティブなソリューションであるSASEは、ユーザーとアプリケーションが分散している新しい現実に伴うリスクというユニークな課題に対応するために設計されたものです。脅威に対する防御やデータ損失防止(DLP)などのセキュリティを、独立した機能ではなく接続モデルの中核部分として定義することで、ユーザーのロケーション、アクセスしようとするアプリ、使用する暗号の種類にかかわらず、すべてのアクセスを検査しセキュリティを確保します。SASEフレームワーク の主要コンポーネントの一つであるロトラストネットワークアクセス(ZTNA)は、モバイルユーザー、リモートワーカー、ブランチオフィスに安全なアプリケーションアクセスを提供するとともに、ネットワーク上の攻撃対象や横移動のリスクを排除することができます。
なぜSASEがデジタルトランスフォーメーションのカギとなるのか?
デジタルビジネストランスフォーメーションは、より高い敏捷性と拡張性、そして複雑性の軽減を求めるようになりました。企業は、ユーザーの場所やデバイスに関係なく、自社のデータ、アプリケーション、サービスへの一貫した安全でグローバルなアクセスを提供する必要があることに気づき始めています。Zscaler SASEソリューション は、ユーザーとデバイスを接続するための全く新しいモデルで、高速、柔軟、シンプル、かつ安全な接続を企業に提供します。クラウドネイティブなSASEサービスプロバイダーのサポートにより、SASEを採用した企業は、未来のデジタル時代への変革に必要なスピードと敏捷性を手に入れることができます。
Lawrence Orans、Joe Skorupa、Neil MacDonald共著
ZscalerとSASE
Zscalerは、パフォーマンスとスケーラビリティのために構築された完全な SASEソリューション :Zscaler Zero Trust Exchange™ を提供します。自動化されたクラウドサービスとして容易に導入・管理でき、グローバルに分散されたプラットフォームにより、ユーザーは常にアプリケーションからわずかな時間でアクセスすることができます。どのユーザーやアプリケーションも本質的に信頼はされず、その代わりにポリシーエンジンが接続前に信頼性を確立し、ユーザー、デバイス、アプリケーション、場所、コンテンツに基づいて適切なレベルのアクセスと制限を決定し、ユーザーとデータの安全を確保します。
他のソリューションにはないSASEのメリット
- 需要に合わせて動的に拡大・縮小できる、ネイティブでマルチテナントのクラウドアーキテクチャ
- 大量の暗号化されたトラフィックの完全インスペクションを可能にする、プロキシベースのアーキテクチャ
- セキュリティやポリシーをユーザに近づけることで、不要なバックホールを排除
- ゼロトラストネットワークアクセス (ZTNA) がアクセスを制限し、ネイティブアプリケーションのセグメンテーションを実現
- 攻撃対象領域ゼロ:接続元のネットワークやアイデンティティがインターネットに公開されないため、標的型攻撃を防止
数百に上る世界の主要インターネットエクスチェンジパートナーとの提携により、ユーザーに最適なパフォーマンスと信頼性を保証します。
参考資料
- ブログ記事 真のSASEソリューションにはクラウドファーストのアーキテクチャが必要
- Gartnerのレポート:2021年版SASEコンバージェンスの戦略的ロードマップ
- 概要: Zscaler SASE の概説
- ブログ記事: ネットワークセキュリティの未来はクラウドにあり
- ウェブページ:Zscaler Secure Access Service Edge (SASE)
- オンデマンドウェビナー: Gartnerを迎えての業界トーク:ネットワーク・セキュリティの未来はSASEにあり
- オンデマンドウェビナー: GartnerのSASEは2020年のセキュリティをどう変えるか