リソース > セキュリティ用語集 > セキュリティサービスエッジ(SSE)とは?

セキュリティサービスエッジ(SSE)とは?

セキュリティサービスエッジ(SSE)とは?

セキュリティ・サービス・エッジ (SSE) は、Gartnerの定義によると、専用のクラウドプラットフォームから提供される、ネットワークセキュリティサービスの融合です。SSEは、SASE(Secure Access Service Edge)フレームワークのサブセットです。SSEのアーキテクチャは、セキュリティサービスに特化しています。SSEは、3つのコアサービスで構成されます。

  1. セキュアWebゲートウェイ(SWG)経由のインターネットやWebへの安全なアクセス
  2. クラウドアクセスセキュリティブローカ(CASB)経由のSaaSやクラウドアプリケーションへの安全なアクセス
  3. ゼロトラストネットワークアクセス(ZTNA)経由のプライベートアプリへの安全なリモートアクセス

 

SSEに対するニーズの推進要素

成長する業界トレンドであるSSEは、リモートワーク、クラウド、セキュアエッジコンピューティング、デジタルトランスフォーメーションに関連して直面する根本的な課題を解決します。ソフトウェアやインフラストラクチャをサービスとして提供するソリューション(SaaS、IaaS)やその他のクラウドアプリの採用の拡大に伴い、オンプレミスのデータセンタの外側にデータが分散することになります。さらには、増加するユーザの多くは、あらゆる場所からあらゆる方法でクラウドアプリやデータに接続するモバイルユーザやリモートユーザです。

クラウドアプリとモバイルユーザを従来のネットワークセキュリティアプローチで保護するのは、以下の理由により困難です。

  • データセンタに繋がれた従来型のテクノロジは、ユーザとクラウドアプリの間の接続を追いかけることができません。
  • ユーザトラフィックをインスペクションの目的で従来のVPN経由でデータセンタにリレー(「ヘアピン」)すると、すべての速度が低下します。
  • 管理とハードウェアのメンテナンスにより、従来型のデータセンタアプローチのコストが増大します。
  • VPNは、パッチ適用の欠如により、簡単に悪用されてしまいます。

さらには、今日のデータセンタのセキュリティスタックが複雑化し、統合が困難なポイント製品の集まりになってしまったことで問題が深刻化し、この複雑さによって、本質的に異種であるセキュリティソリューション間にギャップが残され、高度な脅威やランサムウェアの攻撃のリスクがさらに増大しています。

 

セキュアアクセスサービスエッジ(SASE)とセキュリティサービスエッジ(SSE)は何が違うのか

SASEフレームワークでは、ネットワークサービスとセキュリティサービスが統一されたクラウド提供型のアプローチで使用されます。SASEソリューションのネットワーキングとセキュリティの側面は、コストと複雑さを軽減しつつ、ユーザ対クラウドアプリのエクスペリエンスが重視されます。SASEプラットフォームは、2つのスライスに分けて考えることができ、SASEのスライスは、SWG、CASB、ZTNAを含むすべてのセキュリティサービスの統一を重視するのに対し、WANエッジのスライスは、SD-WAN(Software-Defined WAN)、WAN最適化、QoS(Quality of Service)、クラウドアプリへのルーティングを改善するそれ以外の手段などネットワーキングサービスの統一を重視します。

SSEの図は、SWG、ZTNA、クラウドアクセスセキュリティブローカ(CASB)、データ保護、リモートブラウザ隔離(RBI)などの複数のセキュリティ機能を統合するクラウドベースのセキュリティプラットフォームを示しています。

出典:CXO REvolutionaries, "Security Service Edge (SSE) reflects a changing market: what you need to know"

従来のネットワークセキュリティに対するSSEの優位性

統一されたクラウド中心のプラットフォームから提供されるSSEにより、従来のネットワークセキュリティのさまざまな課題を解決できます。SSEの最大の優位性は、以下の4点に集約されます。

1. リスクの低減

SSEは、ネットワークに縛られることなくサイバーセキュリティを提供できます。セキュリティはクラウドプラットフォームから提供され、ユーザ対アプリの接続を場所の制限なく追いかけます。すべてのセキュリティサービスを統一された方法で提供することで、ポイント製品に多く見られるギャップを解消し、リスクを軽減します。SSEではさらに、アクセスするチャネルやユーザの場所に関係なく、データの可視性が向上し、手動のIT管理のようなタイムラグを発生させることなく、セキュリティアップデートを自動的にクラウドに適用します。

2. ゼロトラストアクセス

SSEプラットフォームは(SASEと連携し)、ユーザ、デバイス、アプリケーション、コンテンツという4つの要素に基づく強力なゼロトラストポリシーにより、ユーザからクラウドやプライベートアプリケーションへの最小特権アクセスを可能にするものでなければなりません。いかなるユーザも本質的に信頼することなく、アイデンティティとポリシーに基づいてアクセスを許可する必要があります。ビジネスポリシーを使用してインターネット経由でユーザとアプリを安全に接続すれば、ユーザがオンネットワークにならないため、安全性の高いリモートユーザエクスペリエンスが実現します。さらには、脅威の水平移動を防止し、アプリケーションがSSEプラットフォームの背後で保護された状態を維持できます。インターネットに公開されないためにアプリが発見されるリスクがなくなり、結果として攻撃対象領域が少なくするため、セキュリティの強化とビジネスリスクのさらなる最小化が可能になります。

3. ユーザエクスペリエンス   

ガートナーの定義によれば、SSEは世界中のデータセンタに完全に分散されたものでなければなりません。最良のSSEアーキテクチャは、ベンダがSSEプラットフォームをIaaSインフラストラクチャでホスティングするのではなく、すべてのデータセンタでインスペクションを実行することを前提に構築されています。分散アーキテクチャでは、TLS/SSLの復号やインスペクションを含むコンテンツインスペクションが、エンドユーザがSSEクラウドに接続する場所で実行されるため、パフォーマンスが向上し、レイテンシが短縮します。SSEプラットフォームでのピアリングと組み合わせることで、モバイルユーザに最高のユーザエクスペリエンスを提供できます。低速のVPNを使用する必要がなくなり、パブリッククラウドやプライベートクラウドのアプリケーションへの高速かつシームレスなアクセスが可能になります。

4. 統合のメリット

すべての重要なセキュリティサービスを統合することで、コスト削減と複雑さの軽減が実現します。SSEにより、SWG、CASB、ZTNA、クラウドファイアウォール(FWaaS)、クラウドサンドボックス、クラウド情報漏洩防止(DLP)、クラウドセキュリティポスチャ管理(CSPM)、クラウドブラウザ隔離(CBI)などの重要な多数のセキュリティサービスの1つのプラットフォームでの提供が可能になります。さらには、すぐに必要ではないサービスがある場合も、組織の成長に合わせてサービスを簡単に追加できます。すべての保護を1つのポリシーで統一することで、ユーザとデータが行き来するすべてのチャネルに一貫性ある同一の保護が提供されます。

ガートナー社のレポート:2021年版SASEコンバージェンスの戦略的ロードマップ

レポートを読む
ガートナー社のレポート:2021年版SASEコンバージェンスの戦略的ロードマップ

SSEには変化する市場が反映される:知っておくべき事実

ブログ記事を読む
SSEには変化する市場が反映される:知っておくべき事実

ゼットスケーラーのSASEの概要

概要を読む
ゼットスケーラーのSASEの概要

Zscaler Security Service Edgeのインフォグラフィック

詳細はこちら
ネットワークセキュリティの未来はクラウドにある

今日の企業を支援する包括的なセキュリティ

詳細はこちら
今日の企業を支援する包括的なセキュリティ

ガートナーを迎えて開催された講演:The future of network security is SASE

ウェビナーを見る(英語)
ガートナーを迎えて開催された講演:The future of network security is SASE

SSEの主なユースケース

1. クラウドサービスへのアクセスとWeb利用を保護する

インターネット、Web、クラウドアプリケーションへのユーザアクセスに対する(これまではSWGで実行されてきた)ポリシーコントロールの適用は、セキュリティサービスエッジの主なユースケースの1つです。SSEポリシーコントロールは、オン/オフネットワークのエンドユーザによるコンテンツのアクセスにおけるリスクの軽減に役立ちます。コンプライアンスを目的にインターネットやアクセスコントロールの企業ポリシーを適用できる点も、IaaS、PaaS、SaaSでのこのユースケースの大きな動機となります。

もう1つの重要な機能であるCSPM(クラウドセキュリティポスチャ管理)は、侵害につながるリスクのある構成ミスから組織を保護します。

2. 脅威を検知し、軽減する

インターネット、Web、クラウドサービスにおいて脅威を検知し、攻撃の成功を阻止できる点は、SSE、さらにはSASEを採用する大きな動機となります。エンドユーザがあらゆる接続方法やデバイスを利用してコンテンツにアクセスするようになっていることから、マルウェアやフィッシングなどの脅威に対する強固な防御のアプローチが必要です。

SSEプラットフォームには、クラウドファイアウォール(FWaaS)、クラウドサンドボックス、マルウェア検知、クラウドブラウザ隔離などの高度な脅威防御機能が必要です。CASBは、SaaSアプリケーション内のデータのインスペクションを可能にし、既存のマルウェアを被害に発展する前に特定し、隔離することができます。エンドユーザのデバイスポスチャを判断し、それに合わせてアクセスを調整するアダプティブアクセスコントロールも、重要な要素です。

3. リモートワーカーを接続し、保護する

リモートワーカーは今日、VPNに起因するリスクなくクラウドサービスやプライベートアプリケーションにリモートアクセスする手段を必要としています。ネットワークへのアクセスを可能にすることなく、アプリケーション、データ、コンテンツへのアクセスを許可することも、ゼロトラストアクセスに不可欠な要素と言えます。この方法であれば、ユーザをオンネットワークにすることに伴うセキュリティの影響が排除されます。

ファイアウォールACLを開いたりアプリをインターネットに公開したりすることなく、プライベートアプリやクラウドアプリへの安全なアクセスを可能にすることが重要になるため、SSEプラットフォームは、内側から外側へのアプリの接続をネイティブに可能にし、アプリをインターネットから見えなくできるものでなければなりません。ZTNAアプローチは、アクセスポイントのグローバルネットワークでスケーラビリティを提供し、接続の需要に関係なく、すべてのユーザに最速のエクスペリエンスを提供するものでなければなりません。

4. 機密データを識別し、保護する

SSEは、あらゆる場所の機密データの特定とコントロールを可能にします。SSEプラットフォームは、主要データ保護テクノロジの統一により、すべてのデータチャンネルで優れた可視性とシンプルな運用を提供します。クラウドDLPは、機密データ(PII(個人特定情報)など)の容易な特定、分類、保護を可能にすることで、PCI(Payment Card Industry)標準を始めとするコンプライアンスポリシーをサポートします。DLPポリシーを一度作成するだけで、インライントラフィックとCASB経由のクラウドアプリケーションの保存データにポリシーを適用できるため、SSEによってデータ保護が簡素化されます。

最も効果的なSSEプラットフォームであれば、高パフォーマンスのTLS/SSLインスペクションも提供されるため、暗号化されたトラフィック(すなわち、移動中のほとんどのデータ)にも対応します。このユースケースでは、シャドーITの特定も重要な要素であり、この機能により、すべてのエンドポイントでリスクのあるアプリケーションや制裁アプリケーションをブロックできます。

正しいSSEソリューションの選択

ゼロトラストに基づく高速でスケーラブルなセキュリティとシームレスなユーザエクスペリエンスを実現するには、次のようなSSEプラットフォームが必要です。

高速のユーザ/クラウドアプリエクスペリエンスを前提にした設計

高速かつ安全なアクセスには、大規模かつグローバルに分散するデータセンタを活用するクラウドネイティブのアーキテクチャが必要です。インスペクションを前提に構築されたSSEプラットフォームは、リアルタイムのコンテンツインスペクションの需要を考慮して構築されていないIaaSクラウドでホスティングされているSSEプラットフォームでは実現できない優位性を提供します。すべてのデータセンタがインスペクションノードである場合、あらゆる場所のユーザに高速かつローカルのセキュリティが提供されます。SSEベンダの採用にあたっては、高速かつ強力なピアリングにより、クラウドアプリケーションのユーザエクスペリエンスが最適化されることを確認します。

ゼロトラストアーキテクチャでゼロから構築

アクセスコントロールはアイデンティティによって管理されるべきであり、ユーザをオンネットワークにするべきではありません。ゼロトラストアクセスをすべてのユーザ、デバイス、IoT、クラウドアプリ、ワークロードで広範にサポートする、クラウドネイティブのベンダを採用することが重要であり、グローバルかつスケーラブルなデータセンタを運用しているベンダであれば、VPNに悩まされることなく、常に高速のユーザエクスペリエンスが実現します。SSEに対するZTNAアプローチには、リモートユーザの生産性の向上を可能にするスケーラビリティが不可欠であるため、グローバルかつスケーラブルな導入の実績があるベンダを採用する必要があります。

スケーラブルなインラインプロキシインスペクション

プロキシインスペクションは、デバイスとクラウドアプリの両方からの接続を終端させ、両者の間で完全SSLインスペクションを実行することで、接続の「パススルー」を防止します。これにより、従来のパススルー型ファイアウォールより優れたセキュリティとインスペクションが可能になります。そこで重要になるのが、コンテンツ配信やTLS/SSLインスペクションをグローバルに可能にするSSEプラットフォームを採用することです。インラインインスペクションは通常、ビジネスクリティカルトラフィックに対して実行されるため、スケーラビリティの問題による中断が深刻な影響を及ぼす可能性があります。SSEベンダの選択にあたっては、強力なサービスレベル契約(SLA)を提示し、グローバルな大規模企業のインライントラフィックのインスペクションの実績があるベンダであることを確認します。

SSEの成長におけるさらなるイノベーションの推進

SSEを統一プラットフォームとして採用することで、セキュリティ機能やサービスが追加され、SSEプラットフォームの将来にわたっての利用が可能になります。SSEへと移行されるようになっているサービスの1つであるデジタルエクスペリエンス監視は、ITによるユーザとクラウドアプリケーションの接続の問題の迅速な特定を可能にします。

SASEアーキテクチャの定義にあるように、SSEプラットフォームに併せてネットワークサービスの統合を進めることも重要であり、これには、SD-WANサービスの強力な接続のサポート、ローカルブランチオフィス接続、マルチクラウド接続が含まれます。SSEのイノベーションを推進するSASEサービスプロバイダに注目することで、クラウドエコシステムが成熟しても、複雑化することなく、環境の成長に対応できます。

 

ゼットスケーラーとSSE

ゼットスケーラーは、SSEとその先の時代に対応する革新的なプラットフォームで、クラウドとモビリティの課題を解決します。ゼロトラストでコストと複雑さを軽減し、攻撃対象領域を排除することで、優れたユーザエクスペリエンスの提供を支援します。

Zscaler SSEの詳細についてはこちらを参照してください

2022年のガートナーのSSE(セキュリティサービスエッジ)についてのマジック・クアドラントをご覧ください。ゼットスケーラーは「実行能力」で、リーダーの1社に位置付けられ、最も高く評価されました。