セキュアアクセスサービスエッジ (SASE)はネットワークアーキテクチャーのフレームワークで、特に SWG 、 CASB 、 ZTNA 、 FWaaS といったクラウドネイティブのセキュリティテクノロジーをワイドエリアネットワーク(WAN)機能と組み合わせ、ユーザーやシステム、エンドポイントがどこからでも安全にアプリケーションとサービスに接続できるようにします。現代の社会で求められる俊敏な運用をサポートするため、これらはクラウドからサービスとして提供され、一元的に管理することができます。詳細はこちら。

SASE (サッシー)は、特定のテクノロジーではなく、フレームワーク全体を指します。Gartnerは、2019年版レポート「 The Future of Network Security is in Cloud 」において、SASEフレームワークを「デジタル企業のセキュアアクセスに対する動的なニーズをサポートする、総合的なネットワークセキュリティ機能(SWG、CASB、FWaaS、ZTNAなど) を備えた包括的WAN機能」を提供する、クラウドベースのサイバーセキュリティソリューションであると定義しています。詳細はこちら。

SASEはITコストと複雑さを軽減 SASEモデルは高速でシームレスなユーザーエクスペリエンスを提供 SASEはリスクを軽減詳細はこちら。

SASEがデジタルトランスフォーメーションの鍵となる理由

デジタルビジネストランスフォーメーションによって、俊敏性とスケーラビリティーの向上と同時に、複雑性の軽減が求められるようになりました。企業は、ユーザーの場所やデバイスに関係なく、自社のデータ、アプリケーション、サービスへの一貫した安全でグローバルなアクセスを提供する必要があることに気づき始めています。 Zscaler SASEソリューションは、ユーザーとデバイスを接続するための新しいモデルで、高速で柔軟、シンプルかつ安全な接続を企業に提供します。クラウドネイティブなSASEサービスプロバイダーのサポートにより、SASEを採用した企業は、未来のデジタル時代への変革に必要なスピードと俊敏性を得られます。詳細はこちら。

Zscaler SASEのメリット

Zscalerは、卓越したパフォーマンスとスケーラビリティーを実現する完全な SASEソリューション、 Zscaler Zero Trust Exchange™ を提供しています。自動化されたクラウドサービスとして容易に導入、管理でき、グローバルに分散されたプラットフォームであるため、ユーザーはアプリケーションから常にスピーディーにアクセスできます。需要に合わせて動的に拡張できる、ネイティブでマルチテナントのクラウドアーキテクチャーを提供大量の暗号化されたトラフィックの完全な検査を可能にする、プロキシーベースのアーキテクチャーを実現セキュリティやポリシーをユーザーに近づけることで、不要なバックホールを排除ゼロトラストネットワークアクセス ( ZTNA )がアクセスを制限し、ネイティブアプリケーションのセグメンテーションを実現攻撃対象領域を排除することで、接続元のネットワークやアイデンティティーがインターネットに露出されなくなり、標的型攻撃を防止数百に上る世界の主要インターネットエクスチェンジパートナーとの連携により、ユーザーに最適なパフォーマンスと信頼性を提供します。詳細はこちら。

SASEモデルの6つの構成要素

SASEは機能とテクノロジーの面において、6つの必須要素に分けて考えることができます。ソフトウェア定義のワイドエリアネットワーク(SD-WAN) セキュアWebゲートウェイ(SWG) クラウドアクセスセキュリティブローカー(CASB) Firewall as a service (FWaaS) ゼロトラストネットワークアクセス(ZTNA) 一元管理これらすべてを単一のコンソールから管理することで、変更の管理、パッチの管理、サービス停止期間の調整、ポリシーの管理などの多くの課題を排除し、ユーザーがどこに接続しても組織全体で一貫したポリシーを提供することができます。詳細はこちら。

セキュアアクセスサービスエッジとは

SASEの意味

SASE (サッシー)は、特定のテクノロジーではなくフレームワーク全体を指します。Gartnerは、2019年版レポート「The Future of Network Security is in the Cloud」において、SASEフレームワークを「デジタル企業の安全なアクセスに対する動的なニーズをサポートする、総合的なネットワークセキュリティ機能(SWG、CASB、FWaaS、ZTNAなど) を備えた包括的WAN機能」を提供する、クラウドベースのサイバーセキュリティソリューションであると定義しています。

SASEは、GartnerがSASEクラウドプラットフォームに必要なセキュリティサービスのみに焦点を当てた、SASEのサブセットとして定義するセキュリティサービスエッジ(SSE)とは異なります。

SASEの仕組み

SASEアーキテクチャーは、ソフトウェア定義のワイドエリアネットワーク(SD-WAN)、またはその他のWANと複数のセキュリティ機能(クラウドアクセスセキュリティブローカー、アンチマルウェアなど)を組み合わせ、それらの機能を統合することでネットワークトラフィックの安全を確保します。

データセンターのファイアウォールにマルチプロトコルラベルスイッチング(MPLS)サービスを介してトラフィックを転送するなど、従来の検査、検証アプローチは、ユーザーが同じロケーションにいる場合には効果的です。しかし、今日、多くのユーザーがリモートの場所やホームオフィスにいるため、この「ヘアピン」(リモートユーザーのトラフィックをデータセンターに転送し、検査してから返送すること)処理は、生産性を下げ、エンドユーザーエクスペリエンスを損なう傾向にあります。

SASEがポイントソリューションや他のセキュアネットワーク戦略と異なる点は、安全でありながらダイレクトであることです。データセンターのセキュリティに頼るのではなく、ユーザーデバイスからのトラフィックを近くのポイントオブプレゼンス(施行ポイント)で検査し、そこから宛先に送ります。これにより、アプリケーションやデータへのアクセスがより効率的になるため、クラウド上の分散した従業員やデータを保護するうえで優れた選択肢といえます。詳細はこちら。

SASEは一過性のブームなのか

SASEは、ネットワークやセキュリティを専門とするサービスプロバイダーやメディアから注目を集めましたが、最も説得力があるのは、SASEフレームワークの主要な原則である「データセンターに焦点を当てたセキュリティやネットワークアーキテクチャーは、もはや通用しない」という考えです。この考え方は、単なるトレンドやマーケティングのキャッチフレーズではなく、業界で広く受け入れられてきています。

では、プライベートネットワークでオフィスを接続し、セキュアWebゲートウェイやファイアウォールを介してトラフィックをルーティングする、従来型の企業ネットワークセキュリティと比較した際、SASEソリューションはどのような点でより優れた価値を提供するのでしょうか。

Gartnerが指摘するように、接続性とセキュリティがデータセンターに集中する従来のモデルは、代わりにユーザーとデバイスのアイデンティティーに焦点を当てる必要があります。レポートでは「現代のクラウド中心のデジタルビジネスでは、ユーザー、デバイス、そしてそれらが安全にアクセスする必要があるアプリケーションはあらゆる場所に存在する」と述べられています。

つまり、ハブ＆スポーク型ネットワークが考案された当時と現在とでは、ワークフローやトラフィックパターン、ユースケースが大きく異なっているのです。その理由は以下のとおりです。

データセンターへのユーザートラフィックよりも、クラウドサービスへのユーザートラフィックの方が多い
オンネットワークよりも、オフネットワークで行われる業務の方が多い
データセンターよりもクラウドで実行されるワークロードの方が多い
ローカルでホストされているアプリケーションよりも、使用されているSaaSアプリケーションの方が多い
企業ネットワーク内よりも、クラウドサービスに格納されている機密データの方が多い

セキュリティの境界がデータセンターのエッジにある箱に組み込まれるのではなく、企業が必要とするあらゆる場所、すなわち、動的に作成されたポリシーベースのセキュアアクセスサービスエッジに存在するようになりました。

Gartner、The Future of Network Security Is in the Cloud, 2019年8月30日 Lawrence Orans氏、Joe Skorupa氏、Neil MacDonald氏

SASEモデルのコンポーネント

SASEは、機能とテクノロジーの観点から6つの重要な要素に分けられます。

1. ソフトウェア定義のワイドエリアネットワーク(SD-WAN)

SD-WANは、インターネット、クラウドアプリ、データセンターへのトラフィックに対して最適な経路を選択することで、複雑性を軽減し、ユーザーエクスペリエンスを最適化するオーバーレイ型のアーキテクチャーです。また、新しいアプリやサービスも迅速に導入でき、多数の拠点にまたがるポリシー管理にも役立ちます。

2. セキュアWebゲートウェイ(SWG)

SWGは、セキュリティで保護されていないインターネットトラフィックが内部ネットワークに入るのを防ぎます。悪意のあるウェブトラフィックや脆弱なウェブサイト、インターネットを介したウイルス、マルウェア、その他のサイバー脅威などに、従業員やユーザーがアクセスして感染しないよう保護する機能があります。

3. クラウドアクセスセキュリティブローカー(CASB)

CASBは、クラウドアプリやサービスを安全に使用できるようにすることで、データ漏洩、マルウェア感染、規制違反、可視性の欠如などの問題を防ぎます。パブリッククラウド(IaaS)、プライベートクラウドでホストされているクラウドアプリ、もしくはSoftware as a Service (SaaS)として提供されるクラウドアプリを保護します。

4. Firewall as a Service (FWaaS)

FWaaSはURLフィルタリングなどのアクセス制御、高度な脅威防御、侵入防御システム(IPS)、DNSセキュリティなどの高度なレイヤー7/次世代ファイアウォール(NGFW)機能を提供するクラウドファイアウォールによる従来の物理的なファイアウォールアプライアンスの置き換えをサポートします。

5. ゼロトラストネットワークアクセス(ZTNA)

ZTNAの製品およびサービスにより、リモートユーザーは社内アプリに安全にアクセスできます。ゼロトラストモデルでは、「何も信頼しない」を原則とし、きめ細かなポリシーに基づいた最小特権アクセスのみが付与されます。リモートユーザーをネットワーク上に配置したりアプリをインターネットに公開することなく、安全な接続を提供します。

6. 一元管理

これらすべてを単一のコンソールから管理することで、変更の管理、パッチの管理、サービス停止期間の調整、ポリシーの管理などの多くの課題を排除し、ユーザーがどこに接続しても組織全体で一貫したポリシーを提供することができます。

SASEの3つのメリット

このような状況が一般的ななか、企業はどうすればアクセス制御やセキュリティを強化できるのでしょうか。ここで効果を発揮するのが、WAN機能(SD-WAN)と総合的なセキュリティサービスであるSASEプラットフォームです。クラウドベースのSASE製品には大きなメリットがあります。従来のオンプレミス型企業ネットワークインフラとセキュリティをはるかに超えた効果を実現し、クラウドサービスやモビリティーなどデジタルトランスフォーメーションの他の側面を活用する組織に大きな恩恵をもたらします。

1. ITコストと複雑性の低減

クラウドサービスへの安全なアクセス、リモートユーザーやデバイスの保護、その他のセキュリティギャップの解消に取り組むには、さまざまなセキュリティソリューションを導入せざるを得ません。その結果、多額の費用や作業負荷が発生しますが、オンプレミスのネットワークセキュリティモデルはデジタル環境では有効ではありません。

SASEは、従来型の概念で現在の問題を解決しようとするのではなく、セキュリティモデルを一新させ、安全な境界線の代わりに、ユーザーなどのエンティティーに焦点を当てます。エッジコンピューティングとは、情報の利用者やシステムの近くで処理するという概念で、SASEサービスは、セキュリティとアクセスをユーザーの近くで提供します。組織のセキュリティポリシーを使用して、アプリケーションやサービスへの接続を動的に許可または拒否します。

2. 高速でシームレスなユーザーエクスペリエンスの実現

ユーザーがネットワーク上に存在し、IT部門がアプリとインフラを所有、管理していた時代には、ユーザーエクスペリエンスを制御して予測を立てるのは簡単でした。マルチクラウド環境が分散している今日でも、多くの企業ではいまだにセキュリティのためにユーザーとネットワークの接続にVPNを利用しています。しかし、VPNはユーザーエクスペリエンスの低下を招くうえ、IPアドレスを公開することで組織の攻撃対象領域を拡大させます。

デメリットが多いこのようなシステムの代わりに、SASEは最適化されたシステムを提供します。具体的には、ユーザーを保護された領域に送り込むのではなく、保護が必要なものの近くでセキュリティを強化する、つまりセキュリティの方をユーザーに届けるのです。SASEは、インターネットエクスチェンジでの接続をリアルタイムで効果的に管理し、クラウドアプリケーションやサービスへの接続を最適化して低レイテンシーを実現する、安全なクラウドソリューションです。

3. リスクの低減

クラウドネイティブなソリューションであるSASEは、ユーザーとアプリケーションが分散している現代ならではのリスクに対応するよう構築されています。脅威対策や情報漏洩防止(DLP)などを含むセキュリティを接続モデルの中核部分として定義することで、場所やアプリ、暗号化の有無に関係なく、すべての接続を検査および保護します。

SASEフレームワークの主要な構成要素のひとつであるゼロトラストネットワークアクセス(ZTNA)は、モバイルユーザー、リモートワーカー、拠点に安全なアプリケーションアクセスを提供するとともに、ネットワーク上の攻撃対象領域や水平移動のリスクを排除します。

SASEが必要な理由

デジタルビジネストランスフォーメーションを実現するには、複雑性の軽減やセキュリティの改善だけでなく、俊敏性とスケーラビリティーの向上が求められます。さらに、ユーザーがどこからでも最善のエクスペリエンスを得られるよう対処する必要があります。

このような状況が、SASEを「あればより助かる」という存在から「必要不可欠なもの」へと変化させています。その理由には以下の4つがあります。

SASEはビジネスに合わせて拡張できる：企業の成長に伴って増加する、ネットワークとセキュリティ双方における需要に対応できる必要があります。SASEは、クラウド配信型のモデルを通じて、ビジネスやネットワーク、セキュリティを併せて拡張できます。
SASEは場所を問わない働き方を可能にする：従来型のハブ＆スポークアーキテクチャーでは、リモートで働く従業員が生産性を維持できるよう、求められる柔軟性を提供するのに必要な帯域幅に対応できません。SASEであれば、あらゆる場所のすべてのユーザーとデバイスに対してエンタープライズレベルのセキュリティを維持しながら、この課題を解決できます。
SASEはサイバー脅威の進化に対応する：セキュリティ部門は常に警戒態勢を貫き、最新の脅威から組織を守っています。SASEは優れたセキュリティを提供して管理も簡単に行えるため、セキュリティ部門はさまざまな場所で生じる高度な脅威に対処できるようになります。
SASEはIoT導入のための基盤を提供する：モノのインターネットは世界中の企業にとってメリットを生んでいますが、そのテクノロジーと機能を効果的に活用するには、IoTエコシステムを構築するための強力なプラットフォームが必要です。SASEを使用することで、これまでにない接続性とセキュリティが確保され、IoTにおけるビジネス目標を達成できるようになります。

これらにより、ネットワークベンダーやセキュリティベンダーは、独自のSASEアーキテクチャーを作り出すようになりました。これらのベンダーの多くはクラウド配信型の製品と謳っていますが、実際は従来型のハードウェアを基に構築された、クラウドプラットフォームとは名ばかりの製品にすぎない場合がほとんどです。

本当の意味でのクラウド配信型SASEモデルを提供できるベンダーは、クラウドに向けて、クラウド上でプラットフォームを構築しているZscalerだけです。

「2024年までに、少なくとも40％の企業がSASEを採用する明確な戦略を持つと予測されており、この数字は2018年末の1％未満から大きく増加しています」

Gartner, The Future of Network Security is in the Cloud

Zscaler SASE

Zscaler Zero Trust Exchange™はSASEソリューションであり、ユーザーとデバイスを接続するための高速かつ柔軟でシンプル、そして安全なモデルを提供します。Zscalerのプラットフォームは、自動化されたクラウド型サービスとして簡単に展開、管理できるほか、グローバルに分散されているためユーザーは常にアプリケーションに最短距離でアクセスできます。

Zscalerが提供するSASEには、以下の特徴があります。

需要に合わせて動的に拡張できる、ネイティブでマルチテナントのクラウドアーキテクチャーを提供
暗号化されたトラフィックを大規模に検査するプロキシーベースのアーキテクチャーを実現
セキュリティやポリシーをユーザーに近づけることで、不要なバックホールを排除
アクセスを制限し、ネイティブなアプリケーションセグメンテーションを提供するZTNA (ゼロトラストネットワークアクセス)を活用
攻撃対象領域を排除(接続元のネットワークやアイデンティティーはインターネットに非公開)で標的型攻撃を防止

世界中の主要なインターネットエクスチェンジに所在する多くのパートナーと連携することで、Zero Trust Exchangは最適なパフォーマンスと信頼性を提供します。

Zscalerが提供するSASEが、どのような形でビジネスに役立つかをご自身でお確かめください。