リソース > セキュリティ用語集 > セキュリティ サービス エッジ(SSE)とは

セキュリティ サービス エッジ(SSE)とは

セキュリティサービスエッジ(SSE)とは

セキュリティ サービス エッジ(SSE)は、統合クラウド プラットフォームから提供される、ネットワーク セキュリティ サービスの集合体です。Gartner発行の「2021 Strategic Roadmap for SASE Convergence(2021年SASEコンバージェンスの戦略的ロードマップ)」で定義されているSSEは、以下のようなコア機能を備えた、Webおよびクラウドベースのアプリケーションに対する安全なアクセスのサポートに焦点を当てたセキュア アクセス サービス エッジのサブセットを指しています。

  1. 安全なインターネットアクセスのためのセキュアWebゲートウェイ(SWG)

  2. 安全なSaaSおよびクラウド アプリ アクセスのためのクラウド アクセス セキュリティ ブローカー(CASB)

  3. 安全なプライベート アプリ アクセスのためのゼロトラスト ネットワーク アクセス(ZTNA)

 

SSEのニーズが高まっている理由

SSEは、クラウド、セキュア エッジ コンピューティング、リモート ワークおよびデジタル トランスフォーメーションにおける基本的な課題に対するソリューションとして急速に成長しています。組織がインフラストラクチャー/サービスとしてのソフトウェア (IaaS、SaaS)の製品ならびにクラウド アプリを採用する中で、データがオンプレミスのデータ センターの外部により分散されるようになっています。さらに、モバイルおよびリモートで仕事をするユーザーは増え続けており、アプリやデータに接続する場所や接続の種類も多様化しています。

こうしたクラウド アプリやモバイル ユーザーを従来型のネットワーク セキュリティ アプローチで保護するのは、以下の理由により困難です。

  • データ センターに固定されている従来型のテクノロジーでは、ユーザーとクラウド アプリ間の接続を追跡できないため
  • 検査目的でユーザーのトラフィックを従来型のVPN経由でデータ センターに中継(「ヘアピン」)すると、すべての通信の速度が低下するため
  • 管理とハードウェアのメンテナンスにより、従来型のデータ センターのアプローチのコストが増大するため
  • VPNには、パッチの適用不足により悪用されやすいという欠点があるため

その上さらに、現在のデータ センターのセキュリティ スタックは有機的に成長を遂げた結果、複雑で統合が困難なポイント製品の集合体となってしまっています。このような複雑さが残ると、異なる種類のセキュリティ ソリューションの間にギャップが生まれ、ランサムウェア攻撃やその他の高度な脅威のリスクがさらに高まります。

こちらの動画は、従来型のセキュリティ アプローチと比較してSSEが持つメリットを簡単に説明しています。

 

セキュア アクセス サービスエッジ(SASE)とセキュリティ サービス エッジ(SSE)の違い

SASEフレームワークにおいては、ネットワーク サービスとセキュリティ サービスは統合されたクラウド提供型のアプローチによって利用されます。SASEソリューションのネットワークおよびセキュリティ面は、コストと複雑さを低減しながら、ユーザーによるアプリ使用のエクスペリエンスを向上させることに重点を置いています。

SASEプラットフォームは、SSEとWANエッジの2つの要素に分けて考えることができます。SSEの要素はSWG、CASB、ZTNAを含むすべてのセキュリティ サービスの統一を重視するのに対し、WANエッジの要素は、SD-WAN(Software-Defined WAN)、WAN最適化、QoS(Quality of Service)、クラウド アプリへのルーティングを改善するその他の方法などを含むネットワーク サービスの統一を重視します。

SWG、ZTNA、CASB(クラウド アクセス セキュリティ ブローカー)、データ保護とRBI(リモート ブラウザ分離)などの複数のセキュリティ機能を統合する、クラウドベースのセキュリティ プラットフォームを示すSSEの図。

出典:CXO REvolutionaries、「Security Service Edge (SSE) reflects a changing market: what you need to know

SSEが従来型のネットワーク セキュリティより優れている理由

クラウド中心の統合プラットフォームから提供されるSSEは、従来型のネットワーク セキュリティのさまざまな課題を解決できます。SSEの具体的なメリットは、以下の通りです。
 

1. リスクの低減

SSEを使用することで、ネットワークに縛られるのではなく、ユーザーとアプリの接続をどこでも追跡できるクラウド プラットフォームから、統一されたサイバー セキュリティ サービスを提供することが可能になります。これにより、ポイント製品間によく見られるセキュリティ ギャップを解消し、リスクを低減することができます。SSEはアクセスするチャネルに関係なく、あらゆる場所のユーザーとデータの可視性も向上させるほか、手動によるIT管理が引き起こすタイムラグを生じさせることなく、クラウド全体にわたってセキュリティ更新プログラムを自動的に適用します。

2. ゼロトラスト アクセス

SSEプラットフォームはSASEと並んで、ユーザー、デバイス、アプリケーション、およびコンテンツに基づく認証を使用して、ゼロトラスト ポリシーに準拠する最小特権アクセスのみを許可する必要があります。ネットワーク上ではなく、インターネット経由でユーザーとアプリを安全に接続することで、より安全なリモート エクスペリエンスが提供されます。それと同時に、脅威は水平移動を行えず、アプリはインターネットに露出しないため検出されることがなく、攻撃対象領域とリスクが削減されます。

3. ユーザー エクスペリエンス   

SSEアーキテクチャーは、IaaSでホストされるのではなく、全世界に配備されたデータ センターにわたって分散され、すべてのデータ センターで検査を行うことを目的に構築されることでその効果を発揮します。復号化とインスペクション(TLS/SSL検査を含む)をエンド ユーザーの近くで実行することで、パフォーマンスが向上してレイテンシーが短縮されます。またプラットフォーム全体のピアリングと組み合わせることで、モバイル ユーザーに最高のエクスペリエンスを提供し、VPNを回避しながらクラウド アプリへの高速でシームレスなアクセスを提供することが可能になります。

4. セキュリティ サービスの統合

統合されたクラウド配信プラットフォームは、コストと複雑さを低減します。SSEはSWG、CASB、ZTNA、クラウド ファイアウォール(FWaaS)、クラウド サンドボックス、クラウド 情報漏洩防止(DLP)、クラウド セキュリティ ポスチャー管理(CSPM)、クラウド ブラウザー分離(CBI)などの多くの主要なサービスを提供することが可能で、最初は不要なものに関しては後で有効化することもできます。最終的には、すべての保護を1つのポリシーでまとめて実現することで、ユーザーやデータが移動するすべてのチャネルで同じ保護を提供できるようになります。

市場の変化が反映されるSSE:知っておくべき情報

ブログを読む(英語)
市場の変化が反映されるSSE:知っておくべき情報

Zscaler SSEの概要

概要を読む
ゼットスケーラーのSASEの概要

Zscalerのセキュリティ サービス エッジのインフォグラフィック

資料を見る(英語)
ネットワークセキュリティの未来はクラウドにある

現代の企業を支援する包括的なセキュリティ

詳細を見る
今日の企業を支援する包括的なセキュリティ

Gartnerとの講演:ネットワーク セキュリティの未来はSASEにあり

ウェビナーを見る(英語)
Gartnerとの講演:ネットワーク セキュリティの未来はSASEにあり

SSEの主なユース ケース

1. クラウド サービスへのアクセスとWeb利用を保護

SSEの主要なユース ケースは、インターネットおよびクラウド アプリケーションへのユーザー アクセスの制御(従来はSWGによって実行されます)です。SSEによるポリシー制御は、エンド ユーザーがネットワーク内外のコンテンツにアクセスする際のリスクを軽減するのに役立ちます。コンプライアンスのために企業のインターネットおよびアクセス制御のポリシーを実施することも、このユース ケースの主な要素です。

もう1つの主要機能であるクラウド セキュリティ ポスチャー管理 (CSPM)は、侵害につながる可能性のある危険な設定ミスから組織を保護します。

2. 脅威を検知、軽減

脅威の検出とインターネットとクラウド サービス全体に対する攻撃の阻止は、SSEだけではなく、影響度は比較的小さいものの、SASEについても採用を促進する重要な要素です。エンド ユーザーがあらゆる場所からアプリやデータにアクセスするようになっている現在、組織はマルウェアやフィッシングをはじめとする脅威に対抗する強力なアプローチを必要としています。

SSEプラットフォームには、クラウド ファイアウォール、クラウド サンドボックス、マルウェア検出、CBIなどの高度な脅威対策機能が必須です。CASBを用いることで、SaaSアプリケーション内のデータのインスペクションが可能となり、被害が発生する前の段階で既存のマルウェアを特定して隔離することができます。また、エンド ユーザー デバイスのポスチャーを決定してアクセスを自動的に調整できる、適応型のアクセス制御対策も重要です。

3. リモートの従業員を安全に接続

現代のリモートの働き方には、クラウド サービスやプライベート アプリケーションへの、VPNに内在するリスクが伴わないリモート アクセスが必要です。ネットワークへのアクセスを有効化せずにアプリケーション、データ、およびコンテンツへのアクセスだけを有効にすれば、ユーザーをフラットなネットワークに配置することによるセキュリティ上の懸念が解消されます。

その際に、ファイアウォールACLを開いたりアプリをインターネットに公開したりすることなく、アプリへの安全なアクセスを提供することが鍵となります。SSEプラットフォームは内側から外側へのネイティブなアプリ接続を有効にして、アプリをインターネット上から不可視な状態に保つ必要があります。ZTNAアプローチは、アクセス ポイントの世界規模のネットワーク全体でスケーラビリティを提供し、接続要求に関係なくすべてのユーザーに最速のエクスペリエンスを提供します。

4. 機密データを特定して保護

SSEを用いることで、あらゆるデータ チャネルでの高い可視性を活かし、主要なデータ保護テクノロジーを統合してあらゆる場所の機密データを見つけて制御することができます。また、クラウドDLPは機密データの検出や分類、保護を容易にし、業界の標準やその他のコンプライアンス ポリシーをサポートします。一度DLPポリシーを作成すれば、CASBを介してクラウド アプリのインライン トラフィックと保存データに適用できるため、SSEではデータ保護も簡素化されます。

最も効果的なSSEプラットフォームは、暗号化されたトラフィック(すなわち、ほとんどの転送中のデータ)に対処する高性能なTLS/SSLインスペクションも提供します。また、このユース ケースの鍵となるのはシャドーITの検出であり、これによってすべてのエンド ポイントでリスクの高いアプリケーションや未認可のアプリケーションをブロックすることができます。

 

最適なSSEソリューションの条件

ゼロトラストに基づき、高速でスケーラブルなセキュリティーとシームレスなユーザー エクスペリエンスを実現するには、以下の条件を満たすSSEプラットフォームが必要となります。

高速のユーザー/クラウド アプリ エクスペリエンスを前提に構築

高速で安全なアクセスには、全世界の分散されているデータ センターを用いたクラウド ネイティブなアーキテクチャーが必要です。IaaSクラウドでホストされているだけでなく、すべてのデータ センターでの検査に向けて構築されたSSEプラットフォームであれば、リアルタイムでコンテンツを検査してセキュリティを確保し、ユーザーの場所に関わらず利用速度を低下させることもありません。また、SSEベンダーからの強力なサービス プロバイダー ピアリングを確立することで、クラウド アプリのエクスペリエンスが常に最適化された状態に保たれるようにする必要もあります。

ゼロトラスト アーキテクチャーを使用してゼロから構築

アクセスはアイデンティティーによって管理され、ユーザーがネットワーク上に配置される状態は避ける必要があります。そのためには、すべてのユーザー、デバイス、IoT、クラウド アプリ、およびワークロードへのゼロトラスト アクセスをサポートするクラウド ネイティブのベンダーを探すことが重要です。全世界の数多くのデータ センターを活用するベンダーであれば、VPNの弊害を生じさせることなく強力なユーザー エクスペリエンスを提供できるでしょう。リモート ユーザーの生産性にはスケーラビリティーが不可欠であるため、SSEに対するZTNAのアプローチにおいて世界規模の大規模な導入の実績があるベンダーを採用する必要があります。

スケーラブルなインラインのプロキシー検査が可能

プロキシー インスペクションでは、デバイスとクラウド アプリの両方からの接続を終了させ、従来型のパススルー ファイアウォールとは異なり、すべてのトラフィックを完全に検査してから通過を許可できます。重要になるのが、世界規模でのコンテンツ配信やTLS/SSLインスペクションを可能にするSSEプラットフォームを採用することです。インライン検査は通常、ビジネスにおいて極めて重要なトラフィックに対して実行されるため、中断は深刻な影響を及ぼす可能性があります。SSEベンダーの選択にあたっては、強力なサービスレベル契約(SLA)を提示し、大規模なグローバル企業のインライン トラフィックの検査の実績があるベンダーであることを確認しましょう。

SSEの成長におけるさらなるイノベーションを推進

導入が容易なクラウド配信型の新しいセキュリティ機能とサービスがあれば、効果的なSSEプラットフォームが将来的にも機能することとなるでしょう。たとえば、デジタル エクスペリエンスのモニタリングは、IT部門がユーザーとクラウド アプリ間における接続の問題を迅速に特定するための手段としてSSEに移行してきています。

SASEアーキテクチャーで定義されているように、SSEプラットフォームと並んで重要なのはネットワーク サービスの統合です。これには、SD-WANサービス、ローカルの支店の接続、マルチクラウド接続における強力な接続のサポートが含まれます。SSEのイノベーションを推進するSASEサービス プロバイダーを活用することで、クラウド エコシステムが成熟しても、複雑化することなく環境の成長に対応できます。

 

ZscalerとSSE

Zscalerは、SSEとその先の時代に対応する革新的なプラットフォームで、クラウドとモビリティの課題を解決します。ゼロトラストでコストと複雑さを軽減し、攻撃対象領域を排除することで、優れたユーザー エクスペリエンスを提供します。

Zscaler SSEの詳細については、こちらを参照してください。

当社は2022年のGartner セキュリティ・サービス・エッジ(SSE)のMagic Quadrantでリーダーの1社と評価され、「実行能力」において最も高いポジションに位置付けられました。