ファイアウォールの新たなゼロデイ脆弱性が話題になっています。ファイアウォールやVPNについて不安をお持ちの場合は、Zscalerの特別オファーをご活用ください。

詳細はこちら
Zpedia / SASE (セキュア アクセス サービス エッジ)とは

SASE (セキュア アクセス サービス エッジ)とは

セキュア アクセス サービス エッジ(SASE)はネットワーク アーキテクチャーのフレームワークで、特にSWG、CASB、ZTNA、FWaaSといったクラウド ネイティブのセキュリティ テクノロジー を広域ネットワーク(WAN)機能と組み合わせ、ユーザーやシステム、エンドポイントがどこからでも安全にアプリケーションとサービスに接続できるようにします。

SASEとSSEの違いに関するブログはこちら(英語)

SASEの意味

SASE (サッシー)は、Secure Access Service Edgeの頭文字を取ったもので、2019年のGartnerのレポート「The Future of Network Security is in the Cloud」で初めて定義されました。WAN機能とネットワーク セキュリティ機能の融合により、優れた敏捷性、強力で信頼性の高いネットワーク パフォーマンス、ヘテロジニアスなIT環境全体にわたる詳細かつきめ細かい可視性と制御などを提供することを目的としています。

なお、SASEは、GartnerがSASEのサブセットとして定義するセキュリティ サービス エッジ(SSE)とは異なるものです。SSEは、SASEのクラウド プラットフォームに必要なセキュリティ サービスのみに焦点を当てています。

SASEの仕組み

SASEアーキテクチャーは、ソフトウェア定義型広域ネットワーク(SD-WAN)、またはその他のWANと複数のセキュリティ機能(クラウド アクセス セキュリティ ブローカー、アンチ マルウェアなど)を組み合わせ、それらの機能を統合することでネットワーク トラフィックの安全を確保します。

データ センターのファイアウォールにMPLSサービスを介してトラフィックを転送する従来の検査や検証は、ユーザーが同じ場所にいる場合には効果的です。しかし、多くのユーザーがリモートで業務を行う現代においては、この「ヘアピン処理(リモート ユーザーのトラフィックをデータ センターに転送し、それを検査してから返送する)」では、生産性やエンド ユーザー エクスペリエンスの低下につながる可能性があります。

SASEがポイント ソリューションや他のセキュア ネットワーク戦略と異なる点は、安全でありながらダイレクトであることです。データ センターのセキュリティに頼るのではなく、ユーザー デバイスからのトラフィックを近くのポイント オブ プレゼンスで検査し、そこから宛先に送ります。これにより、アプリケーションやデータへのアクセスがより効率的になるため、クラウド上の分散した従業員やデータを保護するうえで優れた選択肢といえます。

SASEは一過性のブームなのか

SASEは、ネットワークやセキュリティを専門とするサービス プロバイダーやメディアから注目を集めましたが、最も説得力があるのは、SASEフレームワークの主要な原則である「データ センターに焦点を当てたセキュリティやネットワーク アーキテクチャーは、もはや通用しない」という考えです。この考え方は、単なるトレンドやマーケティングのキャッチフレーズではなく、業界で広く受け入れられてきています。

では、プライベート ネットワークでオフィスを接続し、セキュアWebゲートウェイやファイアウォールを介してトラフィックをルーティングする、従来型の企業ネットワーク セキュリティと比較した際、SASEソリューションはどのような点でより優れた価値を提供するのでしょうか。

Gartnerが指摘するように、接続性とセキュリティがデータ センターに集中する従来のモデルは、代わりにユーザーとデバイスのアイデンティティーに焦点を当てる必要があります。レポートでは「現代のクラウド中心のデジタル ビジネスでは、ユーザー、デバイス、そしてそれらが安全にアクセスする必要があるアプリケーションはあらゆる場所に存在する」と述べられています。

つまり、ハブ&スポーク型ネットワークが考案された当時と現在とでは、ワークフローやトラフィック パターン、ユース ケースが大きく異なっているのです。その理由は以下のとおりです。

  • データ センターへのユーザー トラフィックよりも、クラウド サービスへのユーザー トラフィックの方が多い
  • オンネットワークよりも、オフネットワークで行われる業務の方が多い
  • データ センターよりもクラウドで実行されるワークロードの方が多い
  • ローカルでホストされているアプリケーションよりも、使用されているSaaSアプリケーションの方が多い
  • 企業ネットワーク内よりも、クラウド サービスに格納されている機密データの方が多い

セキュリティの境界がデータ センターのエッジにある箱に組み込まれるのではなく、企業が必要とするあらゆる場所、すなわち、動的に作成されたポリシーベースのセキュア アクセス サービス エッジに存在するようになりました。

Gartner、The Future of Network Security Is in the Cloud, 2019年8月30日、Lawrence Orans氏、Joe Skorupa氏、Neil MacDonald氏

SASEモデルのコンポーネント

SASEは、機能とテクノロジーの観点から6つの重要な要素に分けられます。

1. ソフトウェア定義型広域ネットワーク(SD-WAN)

SD-WANは、インターネット、クラウド アプリ、データ センターへのトラフィックに対して最適な経路を選択することで、複雑性を軽減し、ユーザー エクスペリエンスを最適化するオーバーレイ型のアーキテクチャーです。新しいアプリやサービスの迅速な導入、多数の拠点にわたるポリシーの管理にも役立ちます。

2. セキュアWebゲートウェイ(SWG)

SWGは、セキュリティで保護されていないインターネット トラフィックが内部ネットワークに入るのを防ぎます。悪意のあるWebトラフィックや脆弱なWebサイト、インターネットを介したウイルス、マルウェア、その他のサイバー脅威などに、従業員やユーザーがアクセスして感染しないよう保護する機能があります。

3. クラウド アクセス セキュリティ ブローカー(CASB)

CASBは、クラウド アプリやサービスを安全に使用できるようにすることで、データ漏洩、マルウェア感染、規制違反、可視性の欠如などの問題を防ぎます。パブリック クラウド(IaaS)、プライベート クラウドでホストされているクラウド アプリ、もしくはSoftware as a Service (SaaS)として提供されるクラウド アプリを保護します。

4. Firewall as a Service (FWaaS)

FWaaSはURLフィルタリングなどのアクセス制御、高度な脅威防御、侵入防御システム(IPS)、DNSセキュリティなどの高度なレイヤー7/次世代ファイアウォール(NGFW)機能を提供するクラウド ファイアウォールによる従来の物理的なファイアウォール アプライアンスの置き換えをサポートします。

5. ゼロトラスト ネットワーク アクセス(ZTNA)

ZTNAのソリューションにより、リモート ユーザーは社内アプリに安全にアクセスできます。ゼロトラスト モデルでは、「何も信頼しない」を原則とし、きめ細かなポリシーに基づいた最小特権アクセスのみが付与されます。リモート ユーザーをネットワーク上に配置したりアプリをインターネットに露出させたりすることなく、安全な接続を提供します。

6. 一元管理

これらすべてを単一のコンソールから管理することで、変更の管理、パッチの管理、サービス停止期間の調整、ポリシーの管理などの多くの課題を排除し、ユーザーがどこに接続しても組織全体で一貫したポリシーを提供することができます。

SASEの3つのメリット

このような状況が一般的ななか、企業はどうすればアクセス制御やセキュリティを強化できるのでしょうか。ここで効果を発揮するのが、WAN機能(SD-WAN)と総合的なセキュリティ サービスであるSASEプラットフォームです。クラウドベースのSASE製品には大きなメリットがあります。従来のオンプレミス型企業ネットワーク インフラとセキュリティをはるかに超えた効果を実現し、クラウド サービスやモビリティーなどデジタル トランスフォーメーションの他の側面を活用する組織に大きな恩恵をもたらします。

1. ITコストと複雑性の低減

クラウド サービスへの安全なアクセス、リモート ユーザーやデバイスの保護、その他のセキュリティ ギャップの解消に取り組むなかで、企業はさまざまなセキュリティ ソリューションを導入しており、コストと管理オーバーヘッドが大きくかさんでいます。しかし、それでもオンプレミス型のネットワーク セキュリティ モデルは、デジタル環境では有効ではありません。

SASEは、従来型の概念で現在の問題を解決しようとするのではなく、セキュリティ モデルを一新させ、安全な境界線の代わりに、ユーザーなどのエンティティーに焦点を当てます。エッジ コンピューティングとは、情報の利用者やシステムの近くで処理するという概念で、SASEサービスは、セキュリティとアクセスをユーザーの近くで提供します。組織のセキュリティ ポリシーを使用して、アプリケーションやサービスへの接続を動的に許可または拒否します。

2. 高速でシームレスなユーザー エクスペリエンスの実現

ユーザーがネットワーク上に存在し、IT部門がアプリとインフラを所有、管理していた時代には、ユーザー エクスペリエンスを制御して予測を立てるのは簡単でした。マルチクラウド環境が分散している今日でも、多くの企業ではいまだにセキュリティのためにユーザーとネットワークの接続にVPNを利用しています。しかし、VPNはユーザー エクスペリエンスの低下を招くうえ、IPアドレスを公開することで組織の攻撃対象領域を拡大させます。

デメリットが多いこのようなシステムの代わりに、SASEは最適化されたシステムを提供します。具体的には、ユーザーを保護された領域に送り込むのではなく、保護が必要なものの近くでセキュリティを強化する、つまりセキュリティの方をユーザーに届けるのです。SASEは、インターネット エクスチェンジでの接続をリアルタイムで効果的に管理し、クラウド アプリケーションやサービスへの接続を最適化して低レイテンシーを実現する、安全なクラウド ソリューションです。

3. リスクの低減

クラウド ネイティブなソリューションであるSASEは、ユーザーとアプリケーションが分散している現代ならではのリスクに対応するよう構築されています。脅威対策や情報漏洩防止(DLP)などを含むセキュリティを接続モデルの中核部分として定義することで、場所やアプリ、暗号化の有無に関係なく、すべての接続を検査および保護します。

SASEフレームワークの主要な構成要素のひとつであるゼロトラスト ネットワーク アクセス(ZTNA)は、モバイル ユーザー、リモート ワーカー、拠点に安全なアプリケーション アクセスを提供するとともに、ネットワーク上の攻撃対象領域やラテラル ムーブメントのリスクを排除します。

SASEが必要な理由

デジタル ビジネス トランスフォーメーションを実現するには、複雑性の軽減やセキュリティの改善だけでなく、俊敏性とスケーラビリティーの向上が求められます。さらに、ユーザーがどこからでも最善のエクスペリエンスを得られるよう対処する必要があります。

このような状況が、SASEを「あればより助かる」という存在から「必要不可欠なもの」へと変化させています。その理由には以下の4つがあります。

  • SASEはビジネスに合わせて拡張できる:企業の成長に伴って増加する、ネットワークとセキュリティ双方における需要に対応できる必要があります。SASEは、クラウド配信型のモデルを通じて、ビジネスやネットワーク、セキュリティを併せて拡張できます。
  • SASEは場所を問わない働き方を可能にする:従来型のハブ&スポーク アーキテクチャーでは、リモートで働く従業員が生産性を維持できるよう、求められる柔軟性を提供するのに必要な帯域幅に対応できません。SASEであれば、あらゆる場所のすべてのユーザーとデバイスに対してエンタープライズレベルのセキュリティを維持しながら、この課題を解決できます。
  • SASEはサイバー脅威の進化に対応する:セキュリティ部門は常に警戒態勢を貫き、最新の脅威から組織を守っています。SASEは優れたセキュリティを提供して管理も簡単に行えるため、セキュリティ部門はさまざまな場所で生じる高度な脅威に対処できるようになります。
  • SASEはIoT導入のための基盤を提供する:モノのインターネットは世界中の企業にとってメリットを生んでいますが、そのテクノロジーと機能を効果的に活用するには、IoTエコシステムを構築するための強力なプラットフォームが必要です。SASEを使用することで、これまでにない接続性とセキュリティが確保され、IoTにおけるビジネス目標を達成できるようになります。

これらにより、ネットワーク ベンダーやセキュリティ ベンダーは、独自のSASEアーキテクチャーを作り出すようになりました。これらのベンダーの多くはクラウド配信型の製品と謳っていますが、実際は従来型のハードウェアを基に構築された、クラウド プラットフォームとは名ばかりの製品にすぎない場合がほとんどです。

一方、Zscalerではクラウドを前提にしたプラットフォームをクラウド上で構築しています。Zscalerは、本当の意味でのクラウド配信型SASEモデルを提供できる唯一のベンダーです。

「SASEの導入に関する明確な戦略を持つ企業は2024年までに少なくとも40%に上ると見られています。1%未満だった2018年末から大幅に増加しています」

Gartner, The Future of Network Security is in the Cloud

Zscaler SASE

Zscaler Zero Trust Exchange™は、ZscalerのSASEソリューションであり、ユーザーとデバイスを接続するための高速かつ柔軟でシンプル、そして安全なモデルを提供します。Zscalerのプラットフォームは、自動化されたクラウド型サービスとして簡単に展開、管理できるほか、グローバルに分散されているため、ユーザーは常にアプリケーションに最短距離でアクセスできます。

クラウドベースのSASEプラットフォームが企業にもたらす大きなメリットを示す図

ZscalerのSASEには、以下の特徴があります。

  • 需要に合わせて動的に拡張できる、ネイティブでマルチテナントのクラウド アーキテクチャー
  • 暗号化されたトラフィックを大規模に検査するプロキシベースのアーキテクチャー
  • セキュリティやポリシーをユーザーに近づけることで、不要なバックホールを排除
  • アクセスを制限し、ネイティブなアプリケーション セグメンテーションを提供するZTNA (ゼロトラスト ネットワーク アクセス)を活用
  • 攻撃対象領域の排除(接続元のネットワークやアイデンティティーをインターネットに対して不可視化)による標的型攻撃の防止

Zero Trust Exchangは、世界中の主要なインターネット エクスチェンジのパートナーとの提携を通じ、最適なパフォーマンスと信頼性を提供します。

Zscalerが提供するSASEが、どのような形でビジネスに役立つかをご自身でお確かめください。

おすすめのリソース

  • 真のSASEソリューションにクラウド ファーストのアーキテクチャーが必要な理由

    ブログを読む(英語)

  • 業界トーク - Gartner:ネットワーク セキュリティの未来はSASEにあり

    動画を見る(英語)

  • Zscaler SASE:クラウドとモバイル ファーストの世界に向けた現代的なアーキテクチャー

    詳細はこちら

よくある質問

SD-WANとSASEの違いは何ですか?

ソフトウェア定義型広域ネットワーク(SD-WAN)技術は、複数のタイプのインターネット接続(ブロードバンド、MPLS、LTEなど)に対応したネットワーク オーバーレイで、リモート ユーザーや拠点を企業ネットワークに接続するために利用されます。また、ネットワークの一元的な管理および制御を可能にし、可視性と敏捷性を高めます。

セキュア アクセス サービス エッジ(SASE)は、SD-WANの機能と、ファイアウォール、セキュアWebゲートウェイ、CASB(クラウド アクセス セキュリティ ブローカー)などのセキュリティ サービスを、クラウドベースのプラットフォームに統合したものです。デバイスや場所を問わずに、ユーザーとアプリケーションの間で安全かつ効率的な接続を可能にします。SASEは、後付けのソリューションに頼ることなく、セキュリティ機能をネットワーク自体に統合することで、より総合的なネットワーク セキュリティ アプローチを実現します。

SASEは主に何を目的にしたものですか?

セキュア アクセス サービス エッジ(SASE)の主な目的は、デバイスや場所を問わず、ユーザーとアプリケーションの間で高速かつ安全な接続を提供することです。SASEは、クラウドの導入拡大、リモート ワークの普及、ますます複雑化するサイバー リスクなどといった現代の企業の課題に対応できるよう設計されています。さらに、セキュリティの効率性やスケーラビリティーが高まり、より一元的に管理できるようになるため、セキュリティ インフラストラクチャーの簡素化や、セキュリティ態勢の改善、コスト削減にも役立ちます。