Zscalerが提供するSASEが、どのような形でビジネスに役立つかをご自身でお確かめください。
SASE (サッシー)は、特定のテクノロジーではなくフレームワーク全体を指します。Gartnerは、2019年版レポート「The Future of Network Security is in the Cloud」において、SASEフレームワークを「デジタル企業の安全なアクセスに対する動的なニーズをサポートする、総合的なネットワーク セキュリティ機能(SWG、CASB、FWaaS、ZTNAなど) を備えた包括的WAN機能」を提供する、クラウドベースのサイバー セキュリティ ソリューションであると定義しています。
SASEは、GartnerがSASEクラウド プラットフォームに必要なセキュリティ サービスのみに焦点を当てた、SASEのサブセットとして定義する セキュリティ サービス エッジ(SSE)とは異なります。
SASEアーキテクチャーは、ソフトウェア定義のワイド エリア ネットワーク(SD-WAN)、またはその他のWANと複数のセキュリティ機能(クラウド アクセス セキュリティ ブローカー、アンチ マルウェアなど)を組み合わせ、それらの機能を統合することでネットワーク トラフィックの安全を確保します。
データ センターのファイアウォールにマルチプロトコル ラベル スイッチング(MPLS)サービスを介してトラフィックを転送するなど、従来の検査、検証アプローチは、ユーザーが同じロケーションにいる場合には効果的です。しかし、今日、多くのユーザーがリモートの場所やホーム オフィスにいるため、この「ヘアピン」(リモート ユーザーのトラフィックをデータ センターに転送し、検査してから返送すること)処理は、生産性を下げ、エンドユーザー エクスペリエンスを損なう傾向にあります。
SASEがポイント ソリューションや他のセキュア ネットワーク戦略と異なる点は、安全でありながらダイレクトであることです。データ センターのセキュリティに頼るのではなく、ユーザー デバイスからのトラフィックを近くのポイント オブ プレゼンス(施行ポイント)で検査し、そこから宛先に送ります。これにより、アプリケーションやデータへのアクセスがより効率的になるため、クラウド上の分散した従業員やデータを保護するうえで優れた選択肢といえます。詳細はこちら。
SASEは、ネットワークやセキュリティを専門とするサービス プロバイダーやメディアから注目を集めましたが、最も説得力があるのは、SASEフレームワークの主要な原則である「データ センターに焦点を当てたセキュリティやネットワーク アーキテクチャーは、もはや通用しない」という考えです。この考え方は、単なるトレンドやマーケティングのキャッチフレーズではなく、業界で広く受け入れられてきています。
では、プライベート ネットワークでオフィスを接続し、セキュアWebゲートウェイやファイアウォールを介してトラフィックをルーティングする、従来型の企業ネットワーク セキュリティと比較した際、SASEソリューションはどのような点でより優れた価値を提供するのでしょうか。
Gartnerが指摘するように、接続性とセキュリティがデータ センターに集中する従来のモデルは、代わりにユーザーとデバイスのアイデンティティーに焦点を当てる必要があります。レポートでは「現代のクラウド中心のデジタル ビジネスでは、ユーザー、デバイス、そしてそれらが安全にアクセスする必要があるアプリケーションはあらゆる場所に存在する」と述べられています。
つまり、ハブ&スポーク型ネットワークが考案された当時と現在とでは、ワークフローやトラフィック パターン、ユース ケースが大きく異なっているのです。その理由は以下のとおりです。
Gartner、The Future of Network Security Is in the Cloud, 2019年8月30日 Lawrence Orans氏、Joe Skorupa氏、Neil MacDonald氏
SASEは、機能とテクノロジーの観点から6つの重要な要素に分けられます。
1. ソフトウェア定義のワイド エリア ネットワーク(SD-WAN)
SD-WANは、インターネット、クラウド アプリ、データ センターへのトラフィックに対して最適な経路を選択することで、複雑性を軽減し、ユーザー エクスペリエンスを最適化するオーバーレイ型のアーキテクチャーです。また、新しいアプリやサービスも迅速に導入でき、多数の拠点にまたがるポリシー管理にも役立ちます。
2. セキュアWebゲートウェイ(SWG)
SWGは、セキュリティで保護されていないインターネット トラフィックが内部ネットワークに入るのを防ぎます。悪意のあるウェブ トラフィックや脆弱なウェブサイト、インターネットを介したウイルス、マルウェア、その他のサイバー脅威などに、従業員やユーザーがアクセスして感染しないよう保護する機能があります。
3. クラウド アクセス セキュリティ ブローカー(CASB)
CASBは、クラウド アプリやサービスを安全に使用できるようにすることで、データ漏洩、マルウェア感染、規制違反、可視性の欠如などの問題を防ぎます。パブリック クラウド(IaaS)、プライベート クラウドでホストされているクラウド アプリ、もしくはSoftware as a Service (SaaS)として提供されるクラウド アプリを保護します。
4. Firewall as a Service (FWaaS)
FWaaSはURLフィルタリングなどのアクセス制御、高度な脅威防御、侵入防御システム(IPS)、DNSセキュリティなどの高度なレイヤー7/次世代ファイアウォール(NGFW)機能を提供するクラウド ファイアウォールによる従来の物理的なファイアウォール アプライアンスの置き換えをサポートします。
5. ゼロトラスト ネットワーク アクセス(ZTNA)
ZTNAの製品およびサービスにより、リモート ユーザーは社内アプリに安全にアクセスできます。ゼロトラスト モデルでは、「何も信頼しない」を原則とし、きめ細かなポリシーに基づいた最小特権アクセスのみが付与されます。リモート ユーザーをネットワーク上に配置したりアプリをインターネットに公開することなく、安全な接続を提供します。
6. 一元管理
これらすべてを単一のコンソールから管理することで、変更の管理、パッチの管理、サービス停止期間の調整、ポリシーの管理などの多くの課題を排除し、ユーザーがどこに接続しても組織全体で一貫したポリシーを提供することができます。
このような状況が一般的ななか、企業はどうすればアクセス制御やセキュリティを強化できるのでしょうか。ここで効果を発揮するのが、WAN機能(SD-WAN)と総合的なセキュリティ サービスであるSASEプラットフォームです。クラウドベースのSASE製品には大きなメリットがあります。従来のオンプレミス型企業ネットワーク インフラとセキュリティをはるかに超えた効果を実現し、クラウド サービスやモビリティーなどデジタル トランスフォーメーションの他の側面を活用する組織に大きな恩恵をもたらします。
クラウド サービスへの安全なアクセス、リモート ユーザーやデバイスの保護、その他のセキュリティ ギャップの解消に取り組むには、さまざまなセキュリティ ソリューションを導入せざるを得ません。その結果、多額の費用や作業負荷が発生しますが、オンプレミスのネットワーク セキュリティ モデルはデジタル環境では有効ではありません。
SASEは、従来型の概念で現在の問題を解決しようとするのではなく、セキュリティ モデルを一新させ、安全な境界線の代わりに、ユーザーなどのエンティティーに焦点を当てます。エッジ コンピューティングとは、情報の利用者やシステムの近くで処理するという概念で、SASEサービスは、セキュリティとアクセスをユーザーの近くで提供します。組織のセキュリティ ポリシーを使用して、アプリケーションやサービスへの接続を動的に許可または拒否します。
ユーザーがネットワーク上に存在し、IT部門がアプリとインフラを所有、管理していた時代には、ユーザー エクスペリエンスを制御して予測を立てるのは簡単でした。マルチクラウド環境が分散している今日でも、多くの企業ではいまだにセキュリティのためにユーザーとネットワークの接続にVPNを利用しています。しかし、VPNはユーザー エクスペリエンスの低下を招くうえ、IPアドレスを公開することで組織の攻撃対象領域を拡大させます。
デメリットが多いこのようなシステムの代わりに、SASEは最適化されたシステムを提供します。具体的には、ユーザーを保護された領域に送り込むのではなく、保護が必要なものの近くでセキュリティを強化する、つまりセキュリティの方をユーザーに届けるのです。SASEは、インターネット エクスチェンジでの接続をリアルタイムで効果的に管理し、クラウド アプリケーションやサービスへの接続を最適化して低レイテンシーを実現する、安全なクラウド ソリューションです。
クラウド ネイティブなソリューションであるSASEは、ユーザーとアプリケーションが分散している現代ならではのリスクに対応するよう構築されています。脅威対策や情報漏洩防止(DLP)などを含むセキュリティを接続モデルの中核部分として定義することで、場所やアプリ、暗号化の有無に関係なく、すべての接続を検査および保護します。
SASEフレームワークの主要な構成要素のひとつであるゼロトラスト ネットワーク アクセス(ZTNA)は、モバイル ユーザー、リモート ワーカー、拠点に安全なアプリケーション アクセスを提供するとともに、ネットワーク上の攻撃対象領域や水平移動のリスクを排除します。
デジタル ビジネス トランスフォーメーションを実現するには、複雑性の軽減やセキュリティの改善だけでなく、俊敏性とスケーラビリティーの向上が求められます。さらに、ユーザーがどこからでも最善のエクスペリエンスを得られるよう対処する必要があります。
このような状況が、SASEを「あればより助かる」という存在から「必要不可欠なもの」へと変化させています。その理由には以下の4つがあります。
これらにより、ネットワーク ベンダーやセキュリティ ベンダーは、独自のSASEアーキテクチャーを作り出すようになりました。これらのベンダーの多くはクラウド配信型の製品と謳っていますが、実際は従来型のハードウェアを基に構築された、クラウド プラットフォームとは名ばかりの製品にすぎない場合がほとんどです。
本当の意味でのクラウド配信型SASEモデルを提供できるベンダーは、クラウドに向けて、クラウド上でプラットフォームを構築しているZscalerだけです。
Gartner, The Future of Network Security is in the Cloud
Zscaler Zero Trust Exchange™はSASEソリューションであり、ユーザーとデバイスを接続するための高速かつ柔軟でシンプル、そして安全なモデルを提供します。Zscalerのプラットフォームは、自動化されたクラウド型サービスとして簡単に展開、管理できるほか、グローバルに分散されているためユーザーは常にアプリケーションに最短距離でアクセスできます。
Zscalerが提供するSASEには、以下の特徴があります。
世界中の主要なインターネット エクスチェンジに所在する多くのパートナーと連携することで、Zero Trust Exchangは最適なパフォーマンスと信頼性を提供します。
Zscalerが提供するSASEが、どのような形でビジネスに役立つかをご自身でお確かめください。
真のSASEソリューションにクラウド ファーストのアーキテクチャーが必要な理由
ブログを読む(英語)業界トーク - Gartner:ネットワーク セキュリティの未来はSASEにあり
動画を見る(英語)Zscaler SASE:クラウドとモバイル ファーストの世界に向けた現代的なアーキテクチャー
詳細はこちら