セキュアアクセスサービスエッジ (SASE) とは

SASEとは

セキュアアクセスサービスエッジ (SASE) とは、特にクラウドネイティブセキュリティ技術であるSWGCASBZTNAFWaaSを組み合わせ、さらに広域通信網 (WAN) 機能を併用することで、ユーザやシステム、エンドポイントをどこからでも安全にアプリケーションとサービスに接続するためのネットワークアーキテクチャフレームワークです。現代の社会で求められるアジャイルな運用をサポートするため、クラウドからサービスとして提供され、一元的に管理することができます。

 

SASEの意味

SASE (発音: サッシー) は、特定の技術ではなく、フレームワーク全体を指します。Gartnerは、2019年版レポート「The Future of Network Security is in Cloud 」の中で、SASEフレームワークを「デジタル企業の安全なアクセスに対する多様なニーズをサポートする、総合的なネットワークセキュリティ機能 (SWG、CASB、FWaaS、ZTNAなど) を備えた包括的なWAN機能」を提供する、クラウドベースのサイバーセキュリティソリューションと定義しています。

SASEを理解する上で、GartnerがSASEのサブセットとして定義する「SASEクラウドプラットフォームから必要なセキュリティサービスのみに焦点を当てたセキュリティサービスエッジ (SSE)」と区別する必要があります。

 

SASEの仕組み

SASEアーキテクチャは、ソフトウェア定義のワイドエリアネットワーク (SD-WAN)、またはその他のWANと複数のセキュリティ機能 (クラウドアクセスセキュリティブローカ、アンチマルウェアなど) を組み合わせ、それらの機能を統合することでネットワークトラフィックの安全を確保します。

データセンタのファイアウォールにMPLSサービスを介してトラフィックを転送する従来の検査や検証は、ユーザが同じ場所にいる場合には効果的ですが、多くのユーザがオフィス外から作業する現代においては、この「ヘアピン処理 (リモートユーザのトラフィックをデータセンタに転送し、それを検査してから返送する)」では、生産性やエンドユーザエクスペリエンスの低下につながる可能性があります。

SASEがポイントソリューションや他のセキュアネットワーク戦略と異なる点は、安全でありながらダイレクトであることです。データセンタのセキュリティに頼るのではなく、ユーザデバイスからのトラフィックを近くのプレゼンスポイント (執行ポイント) で検査し、そこから送信先に送ります。これにより、アプリケーションやデータへのアクセスがより効率的になり、クラウド上の分散したワークフォースやデータを保護する優れた選択肢となるのです。

SASEは一過性のブームなのか

SASEは、ネットワークやセキュリティを専門とするサービスプロバイダやメディアから注目を集めましたが、最も説得力があるのは、SASEフレームワークの主要な原則である「データセンタに焦点を当てたセキュリティやネットワークアーキテクチャは、もはや通用しない」という考えです。この考え方は、単なるトレンドやマーケティングのキャッチフレーズではなく、業界で広く受け入れられてきています。

では、プライベートネットワークでオフィスを接続し、安全なWebゲートウェイやファイアウォールを介してトラフィックをルーティングする従来型の企業ネットワークセキュリティと比較したときに、SASEソリューションはどういった点でより優れた価値を提供するのでしょうか。

Gartnerが指摘するように、接続性とセキュリティがデータセンタに集中する従来のモデルは、代わりにユーザとデバイスのアイデンティティに焦点を当てる必要があります。そして、レポートで「現代のクラウド中心のデジタルビジネスでは、あらゆる場所にユーザ、デバイス、そして安全にアクセスする必要があるアプリケーションが存在する」と述べています。

つまり、ハブ&スポーク型ネットワークが考案された当時と現在とでは、ワークフローもトラフィックパターンも、さらにはユースケースも大きく異なっているのです。その理由は、以下のとおりです。

  • 多くのユーザトラフィックがデータセンタよりもクラウドサービスに向かっている
  • 多くの作業がオンネットワークよりもオフネットワークで行われている
  • 多くのワークロードがデータセンタよりもクラウドで稼働している
  • 多くのSaaSアプリケーションがローカルでホストされているアプリケーションよりも利用されている
  • 多くの機密データが企業ネットワーク内よりもクラウドサービスに格納されている

 

セキュリティの境界が、データセンタのエッジにある箱に組み込まれるのではなく、企業が必要とするあらゆる場所、すなわち、動的に作成されたポリシーベースのセキュアアクセスサービスエッジに存在するようになりました
Gartner、The Future of Network Security Is in the Cloud、2019年8月30日、Lawrence Orans氏、Joe Skorupa氏、Neil MacDonald氏

SASEモデルの構成要素

SASEは、機能と技術の観点から6つの重要な要素に分けられます。
 

1. ソフトウェア定義のワイドエリアネットワーク (SD-WAN)

SD-WANは、インターネット、クラウドアプリ、データセンタへのトラフィックに対して最適な経路を選択することで、複雑性を軽減し、ユーザーエクスペリエンスを最適化するオーバーレイ型のアーキテクチャです。また、新しいアプリやサービスも迅速に展開でき、多数の拠点にまたがるポリシー管理にも役立ちます。
 

2. セキュアWebゲートウェイ (SWG)

SWGは、安全性の低いインターネットトラフィックが内部ネットワークに侵入するのを防ぎます。悪意のあるWebトラフィック、脆弱なWebサイト、インターネットを介したウイルス、マルウェア、その他のサイバー脅威などに従業員やユーザがアクセスして感染しないように防波堤として機能します。
 

3. クラウドアクセスセキュリティブローカ (CASB)

CASBは、クラウドアプリやサービスを安全に使用できるようにすることで、データ漏洩、マルウェア感染、規制違反、可視性の欠如などの問題を防ぎます。パブリッククラウド (IaaS)、プライベートクラウドでホストされているクラウドアプリ、そしてサービスとしてのソフトウェア (SaaS) として提供されるクラウドアプリを保護します。
 

4. ファイアウォールアズアサービス (FWaaS)

FWaaSは、URLフィルタリング、高度な脅威防御、侵入防御システム (IPS) 、DNSセキュリティなどのアクセス制御を含む、高度なレイヤー7/次世代ファイアウォール (NGFW) 機能を提供するクラウドファイアウォールによる物理ファイアウォールアプライアンスの置き換えをサポートします。
 

5.ゼロトラストネットワークアクセス (ZTNA)

ZTNA製品およびサービスは、リモートユーザが社内アプリに安全にアクセスできるようにします。ゼロトラストモデルでは、「何も信頼しない」を原則とし、きめ細かなポリシーに基づいた最小特権アクセスのみが付与されます。リモートユーザをネットワーク上に配置したり、アプリをインターネットに公開することなく、安全な接続を提供します。
 

6. 集中型管理

上記のすべてを単一のコンソールで管理することで、変更の制御、パッチやポリシーの管理、システム停止期間の調整などの課題の多くを解消するほか、ユーザがどこから接続しても組織全体に一貫したポリシーを提供できます。

 

SASEの3つのメリット

このような共通の現実に直面しながら、企業はどのようにアクセス制御やセキュリティを強化できるのでしょうか。その答えとなるのが、WAN機能 (SD-WAN) とセキュリティサービスを包括したSASEプラットフォームです。クラウドベースのSASEこそが、従来のオンプレミス型企業ネットワークインフラやセキュリティから脱却し、クラウドサービスやモビリティなどのデジタルトランスフォーメーションを推進する組織を成功に導きます。
 

1. ITコストと複雑性の低減

クラウドサービスへの安全なアクセス、リモートユーザやデバイスの保護、その他のセキュリティギャップの解消に取り組むには、さまざまなセキュリティソリューションを導入せざるを得ません。その結果、多額の費用や作業負荷が発生しますが、オンプレミスのネットワークセキュリティモデルはデジタル環境では有効ではありません。

SASEは、従来の概念で現在の問題を解決しようとするのではなく、セキュリティモデルに新しい風を吹き込む形で、安全な境界線の代わりに、ユーザなどのエンティティに焦点を当てます。エッジコンピューティングとは、情報の利用者やシステムの近くで処理するという概念で、SASEサービスは、セキュリティとアクセスをユーザの近くで提供します。組織のセキュリティポリシーを使用して、アプリケーションやサービスへの接続を動的に許可または拒否します。
 

2. 高速でシームレスなユーザエクスペリエンス

ユーザがネットワーク上にいて、IT部門がアプリとインフラを所有し管理していた時代では、ユーザエクスペリエンスを制御し予測するのは簡単でした。マルチクラウド環境が分散している今日でも、多くの企業ではいまだにセキュリティのためにユーザとネットワークの接続にVPNを利用しています。しかし、VPNはユーザにとって使い勝手が悪く、またIPアドレスを公開することで組織の攻撃対象領域を拡大します。

マイナス面が多いこのようなシステムの代わりに、SASEは最適化されたシステムを提供します。具体的には、ユーザをセキュリティのあるエリアに送り込むのではなく、セキュリティが必要なものの近くでセキュリティを強化する、つまりセキュリティの方をユーザに届けるという形になります。SASEは、インターネットエクスチェンジでの接続をリアルタイムで効果的に管理し、クラウドアプリケーションやサービスへの接続を最適化して低レイテンシを実現する安全なクラウドソリューションです。
 

3. リスクの低減

クラウドネイティブなソリューションであるSASEは、ユーザとアプリケーションが分散している現代のリスクに対応するためにデザインされています。脅威対策や情報漏洩防止 (DLP) などを含むセキュリティを接続モデルの中核部分として定義することで、場所やアプリ、暗号化の有無に関係なく、すべての接続を検査および保護します。

SASEフレームワークの主要コンポーネントのひとつであるゼロトラストネットワークアクセス (ZTNA) は、モバイルユーザ、リモートワーカー、支店に安全なアプリケーションアクセスを提供するとともに、ネットワーク上の攻撃対象領域や水平移動のリスクを排除します。

SASEが必要な理由

デジタルビジネストランスフォーメーションを実現するには、複雑性の軽減やセキュリティの改善だけでなく、敏捷性と拡張性の向上が求められます。そして、ユーザがどこからでも最高のエクスペリエンスを得られるよう考慮する必要があります。

このような状況が、SASEを「あればより助かる」という存在から「必要不可欠なもの」へと変化させています。その理由を4つ紹介します。

  • SASEはビジネスに合わせて拡張できる: 企業の成長に伴い増加するネットワークとセキュリティ双方における需要に対応できる必要があります。SASEは、クラウド型モデルを通じて、ビジネスやネットワーク、セキュリティを合わせて拡張できます。
  • SASEは場所を問わない作業を可能にする: 従来のハブ&スポークアーキテクチャでは、リモートで仕事をする従業員が生産性を維持するための柔軟性を提供するのに必要な帯域幅に対応できません。SASEは、すべてのユーザとデバイスに対して任意の場所にあるエンタープライズレベルのセキュリティを維持しながら、上記を達成できます。
  • SASEはサイバー脅威の進化に対応する: セキュリティ部門は常に警戒態勢を敷き、最新の脅威から組織を守るのが仕事ですが、SASEは優れたセキュリティを提供して管理も簡単に行えるため、セキュリティ部門はさまざまな高度な脅威に対処できるようになります。
  • SASEはIoT導入のための基盤を提供する:モノのインターネットは世界中の企業にとって利点を生み出していますが、その技術と機能を効果的に引き出すには、IoTエコシステムを構築するための強力なプラットフォームが必要です。SASEを使用することで、これまでにない接続性とセキュリティが確保され、IoTがもたらす可能性をフル活用できるようになります。

これらすべての要素により、ネットワークベンダやセキュリティベンダは、独自のSASEアーキテクチャを作り出す方向に舵を取りました。これらのベンダの多くはクラウド型の製品と謳っていますが、実際は、従来のハードウェア上に構築された単なる「クラウドプラットフォーム」にすぎない場合がほとんどです。

本当の意味でのクラウド型SASEモデルを提供できるベンダは、Zscalerだけです。その理由は、Zscalerはクラウドのために、クラウド上でプラットフォームを構築しているからなのです。

2024年までに、少なくとも40%の企業がSASEを採用する明確な戦略を持つと予測されており、この数字は2018年末の1%未満から大きく増加しています。
Gartner、The Future of Network Security Is in the Cloud、2019年8月30日、Lawrence Orans氏、Joe Skorupa氏、Neil MacDonald氏

ZscalerとSASE

Zero Trust Exchange™ZscalerのSASEソリューションであり、ユーザとデバイスを接続するための高速かつ柔軟でシンプル、そして安全なモデルを提供します。Zscalerのプラットフォームは、自動化されたクラウド型サービスとして簡単に展開、管理できます。そして、グローバルに分散されているため、ユーザは常にアプリケーションに最短距離でアクセスできます。

クラウドベースのSASEプラットフォームが企業にもたらす大きなメリットを示す図

Zscalerが提供するSASEには、以下の特徴があります。

  • 需要に合わせて動的に拡張するネイティブなマルチテナントクラウドアーキテクチャ
  • 暗号化されたトラフィックを大規模に精査するプロキシベースのアーキテクチャ
  • セキュリティやポリシーをユーザに近づけて不要なバックホールを排除
  • アクセスを制限してネイティブアプリをセグメント化するゼロトラストネットワークアクセス (ZTNA)
  • 攻撃対象領域ゼロ (接続元のネットワークやアイデンティティはインターネットに非公開) で標的型攻撃を防止

世界中の主要なインターネットエクスチェンジに所在する多くのパートナーと連携することで、Zero Trust Exchangは最適なパフォーマンスと信頼性を提供します。

Zscalerが提供するSASEが、どのような形でビジネスに役立つかをご自身の目でお確かめください。