セキュリティ サービス エッジ(SSE)とは Gartnerはセキュリティ サービス エッジ(SSE)を専用のクラウド プラットフォームから提供されるネットワーク セキュリティ サービスの集合体と定義しています。SSEは、セキュリティ サービスに特化したアーキテクチャーを備えたセキュア アクセス サービス エッジ(SASE)フレームワークのサブセットと捉えることができます。SSEは、セキュアWebゲートウェイ(SWG)、クラウド アクセス セキュリティ ブローカー(CASB)、ゼロトラスト ネットワーク アクセス(ZTNA)フレームワークの3つの中核サービスで構成されています。

Gartner SSEのMQを入手(英語)
SSEインサイト:データ侵害を防ぐには
見る

SSEのニーズが高まっている理由

業界のトレンドとなりつつあるSSEは、リモート ワーク、クラウド、セキュア エッジ コンピューティング、デジタル トランスフォーメーションの根本的な課題を解決します。多くの組織がソフトウェアやインフラをサービスとして提供するソリューション(SaaS、IaaS)やその他のクラウド アプリを採用するに従い、データはオンプレミスのデータ センターの外側に分散し始めています。そして、あらゆる場所からあらゆる方法でクラウド アプリやデータに接続するモバイル ユーザーやリモート ユーザーが増加しています。

こうしたクラウド アプリやモバイル ユーザーは従来のネットワーク セキュリティ アプローチでは簡単には保護できません。その理由は次のとおりです。

  • データ センターに備えられた従来の技術ではユーザーとクラウド アプリ間の接続を追跡できない
  • 検査目的でユーザーのトラフィックを従来のVPN経由でデータ センターに中継(「ヘアピン」)すると、すべての通信の速度が低下する
  • 管理とハードウェアのメンテナンスにより、従来のデータ センターのアプローチのコストが増大する
  • VPNはセキュリティ パッチが十分適用されないため、簡単に悪用されてしまう

これに加えて、現代のデータ センターのセキュリティ スタックが複雑で、統合が困難なポイント製品の集合体になってしまったことが問題をより深刻化させています。この複雑性が本質的に異なる種類のセキュリティ ソリューション間にギャップを残し、高度な脅威とランサムウェア攻撃のリスクをさらに増大させています。

セキュア アクセス サービスエッジ(SASE)とセキュリティ サービス エッジ(SSE)の違い

SASEは、ネットワーク サービスとセキュリティ サービスを一体化させたクラウド提供型のアプローチです。SASEソリューションが提供するネットワーク機能とセキュリティ機能は、コストと複雑性を軽減しながら、ユーザーとクラウド アプリ間のエクスペリエンスを向上させることに焦点を当てています。

SASEプラットフォームは、SSEとWANエッジの2つの要素に分けて考えることができます。SSEの要素はSWG、CASB、ZTNAを含むすべてのセキュリティ サービスの統一を重視するのに対し、WANエッジの要素はソフトウェア定義のワイド エリア ネットワーキング(SD-WAN)、WAN最適化、サービス品質(QoS)、クラウド アプリへのルーティングを改善するその他の方法などを含むネットワーク サービスの統一を重視します。

SWG、ZTNA、CASB(クラウド アクセス セキュリティ ブローカー)、データ保護とRBI(リモート ブラウザ分離)などの複数のセキュリティ機能を統合する、クラウドベースのセキュリティ プラットフォームを示すSSEの図。

出典:CXO REvolutionaries、「Security Service Edge (SSE) reflects a changing market: what you need to know

SSEが従来のネットワーク セキュリティより優れている理由

クラウド中心の統合プラットフォームから提供されるSSEは、従来のネットワーク セキュリティのさまざまな課題を解決します。SSEには以下の4つのメリットがあります。

1. より効果的なリスク低減

SSEは、ネットワークに縛られることなくサイバーセキュリティを提供します。セキュリティはクラウド プラットフォームから提供され、場所の制限なくユーザーとアプリ間の接続を追跡します。また、すべてのセキュリティ サービスが一元的なアプローチで提供されるため、リスクが軽減され、ポイント機能の製品に多く見られるギャップは存在しません。

SSEはアクセスするチャネルや場所に関係なく、ユーザーとデータの可視性を改善させるほか、手動によるIT管理に見られるタイムラグを発生させることなく、クラウド全体にセキュリティ更新プログラムを自動適用します。

2. ゼロトラスト アクセス

SSEプラットフォームはSASEとともに、ユーザーからクラウドまたはプライベート アプリへの最小権限アクセスを可能にします。アクセスはアイデンティティーとポリシーに基づいて付与され、ユーザー、デバイス、アプリケーション、コンテンツの4つの要素で強力なゼロトラスト ポリシーが構成されます。いかなるユーザーも、本質的に信頼されることはありません。

ビジネス ポリシーを使用してインターネット経由でユーザーとアプリを安全に接続することで、ユーザーがネットワークに配置されないため、より安全なリモート エクスペリエンスが保証されます。同時に、脅威は水平移動できず、アプリケーションはSSEプラットフォームの背後で常に保護されます。インターネットからアプリを不可視化することで、発見されるリスクがなくなり、結果として攻撃対象領域が少なくなるため、セキュリティの強化やビジネス リスクの軽減につながります。

3. ユーザー エクスペリエンス

Gartnerの定義によれば、SSEは世界中のデータ センターに分散されている必要があります。最良のSSEアーキテクチャーは、ベンダーがSSEプラットフォームをIaaSインフラでホストするのではなく、すべてのデータ センターで検査することを前提に構築されています。

分散型アーキテクチャーはエンド ユーザーがSSEクラウドに接続する場所でコンテンツを検査(TLS/SSLの復号化と検査を含む)するため、パフォーマンスの向上とレイテンシーの削減が可能になります。SSEプラットフォーム全体においてピアリングと組み合わせることで、モバイル ユーザーに最高のエクスペリエンスを提供します。スピードの遅いVPNを使用する必要がなくなり、パブリック クラウドやプライベート クラウド内のアプリに高速かつシームレスに接続できるようになります。

4. セキュリティ サービスの統合

すべての主要なセキュリティ サービスが一元化されるため、コスト削減と複雑さを軽減できます。SSEは、SWG、CASB、ZTNA、クラウド ファイアウォール(FWaaS)、クラウド サンドボックス、クラウド情報漏洩防止(DLP)、クラウド セキュリティ ポスチャ―管理(CSPM)、クラウド ブラウザー分離(CBI)など、多くの主要なセキュリティ サービスを1つのプラットフォームで提供します。すぐに必要ではないサービスがある場合は、組織の成長に合わせてサービスを簡単に追加することも可能です。

すべての保護が1つのポリシーに一元化されるため、ユーザーとデータが通過するすべてのチャネルで同一レベルの一貫した保護が提供されます。

SSEの主なユース ケース

1. クラウド サービスへのアクセスとWeb利用の保護

インターネット、Web、クラウド アプリケーションへのユーザー アクセスに対するポリシー制御の適用(これまではSWGで実行)は、セキュリティ サービス エッジの主なユース ケースの1つです。SSEのポリシー制御は、オン/オフネットワークのエンド ユーザーがコンテンツにアクセスする際に発生するリスクの軽減に役立ちます。コンプライアンスを目的にインターネットやアクセス制御の企業ポリシーを適用できる点も、IaaS、PaaS、SaaSでのこのユース ケースの大きな動機となります。

もう1つの重要な機能であるクラウド セキュリティ ポスチャー管理(CSPM)は、侵害につながる可能性のある危険な設定ミスから組織を保護します。

2. 脅威の検知と軽減

インターネット、Web、クラウド サービスの脅威を検知し、攻撃を阻止できる点は、SSE、さらにはSASEを採用する大きな動機となります。エンド ユーザーがあらゆる接続方法やデバイスでコンテンツにアクセスするいま、マルウェアやフィッシングなどの脅威に対する強固な防御のアプローチが求められています。

SSEプラットフォームには、クラウド ファイアウォール(FWaaS)、クラウド サンドボックス、マルウェア検出、クラウド ブラウザー分離などの高度な脅威対策が不可欠です。CASBはSaaSアプリ内のデータを検査し、すでに侵入しているマルウェアがダメージを加える前に識別して隔離します。また、エンド ユーザーのデバイス態勢を決定して、それに応じてアクセスを調整する適応型アクセス制御も重要な要素になります。

3. リモートの従業員を安全に接続

現代のリモート ワークには、クラウド サービスやプライベート アプリケーションにVPN特有のリスクを伴わずに、リモートでアクセスできる手段が必要です。ネットワークへのアクセスを許可せずに、アプリケーション、データ、コンテンツにアクセスできることがゼロトラスト アクセスには不可欠です。この方法であれば、ユーザーをフラットなネットワークに配置することで発生するセキュリティの問題を排除できます。

ファイアウォールACLを開いたり、アプリをインターネットに公開したりすることなく、プライベート アプリやクラウド アプリに安全にアクセスできるようにすることが、ここでの重要なポイントになります。SSEプラットフォームは内側から外側へのネイティブなアプリ接続を有効にして、アプリをインターネット上から「見えない」状態に保つ必要があります。ZTNAアプローチは、アクセス ポイントのグローバル ネットワーク全体にスケーラビリティーを提供し、接続要求に関係なく、すべてのユーザーに最速のエクスペリエンスを実現します。

4. 機密データを特定して保護

SSEでは、あらゆる場所の機密データの特定と制御が可能になります。主要なデータ保護技術を一元化することで、SSEプラットフォームはすべてのデータ チャネルで優れた可視性とシンプルな運用を提供します。クラウドDLPは機密データ(個人情報[PII]など)を簡単に特定、分類、保護し、PCI (Payment Card Industry)標準をはじめとするコンプライアンス ポリシーをサポートします。一度DLPポリシーを作成すれば、CASBを介してクラウド アプリのインライン トラフィックと保存データに適用できるため、SSEではデータ保護も簡素化されます。

最も効果的なSSEプラットフォームは、暗号化されたトラフィック(つまり、転送中のほとんどのデータ)に対処する高性能なTLS/SSLインスペクションも提供します。このユース ケースでは、シャドーITの検知も重要な要素であり、これにより組織はすべてのエンドポイントにわたってリスクの高い、もしくは企業が許可していないアプリケーションをブロックできます。

最適なSSEソリューションの条件

ゼロトラストに基づき、高速でスケーラブルなセキュリティとシームレスなユーザー エクスペリエンスを実現するには、以下の条件を満たすSSEプラットフォームが必要となります。

高速のユーザー エクスペリエンスやクラウド アプリ エクスペリエンスのために構築されている

高速で安全なアクセスには、大規模なデータ センターのフットプリント全体にわたってグローバルに分散されたクラウド ネイティブのアーキテクチャーが必要です。リアルタイムでのコンテンツ検査を主な目的として構築されていないIaaSクラウドでホストされるSSEプラットフォームに比べて、検査用に構築されたSSEプラットフォームの方が優れています。すべてのデータ センターがインスペクション ノードである場合、ユーザーがどこにいてもセキュリティは常に高速でローカルに行われます。また、クラウド アプリのエクスペリエンスが最適な状態で維持されるように、SSEベンダーからの高速かつ強力なピアリングを確保することが重要です。

ゼロトラスト アーキテクチャーでゼロから構築されている

アクセス制御はアイデンティティーで管理されるべきであり、ユーザーをネットワークに配置すべきではありません。ゼロトラスト アクセスをすべてのユーザー、デバイス、IoT、クラウド アプリ、ワークロードで広範にサポートするクラウドネイティブのベンダーを採用することが重要です。グローバルかつスケーラブルなデータ センターを運用しているベンダーであれば、VPNに悩まされることなく、常に高速のユーザー エクスペリエンスが実現します。リモート ユーザーの生産性にはスケーラビリティーが不可欠であるため、SSEに対するZTNAのアプローチにおいてグローバルかつ大規模な導入の実績があるベンダーを採用する必要があります。

スケーラブルなインラインのプロキシー検査ができる

プロキシー インスペクションは、デバイスとクラウド アプリの両方からの接続を終了させます。両者の間でフルSSLインスペクションを実行することで、接続の「パススルー」を防止します。これにより、従来のパススルー型ファイアウォールより優れたセキュリティと検査が可能になります。そこで重要になるのが、コンテンツ配信やTLS/SSLインスペクションをグローバルに可能にするSSEプラットフォームを採用することです。インライン検査は通常、業務上不可欠なトラフィックに対して実行されるため、スケーラビリティーの問題による中断が深刻な影響を及ぼす可能性があります。SSEベンダーを選択する際は、強力なサービスレベル契約(SLA)があり、大規模なグローバル企業のインライン トラフィックの検査の実績があることを確認してください。

SSEの成長におけるさらなるイノベーションを推進する

SSEを一元的なプラットフォームとして採用することでセキュリティ機能やサービスが追加され、SSEプラットフォームを継続的に活用できるようになります。SSEへの移行が始まったサービスの1つであるデジタル エクスペリエンス モニタリングにより、IT部門はユーザーとクラウド アプリ間の接続の問題を迅速に特定できます。

SASEアーキテクチャーの定義にあるように、SSEプラットフォームに併せてネットワーク サービスの統合を進めることも重要であり、これにはSD-WANサービスの強力な接続のサポート、ローカル拠点の接続、マルチクラウド接続が含まれます。SSEのイノベーションを推進するSASEサービス プロバイダーに注目することで、クラウド エコシステムが成熟しても、複雑化することなく、環境の成長に合わせて対応できます。

ZscalerとSSE

Zscalerは、SSEとその先の時代に対応する革新的なプラットフォームで、クラウドとモビリティーの課題を解決します。ゼロトラストでコストと複雑さを軽減し、攻撃対象領域を排除することで、優れたユーザー エクスペリエンスを提供します。

Zscaler SSEの詳細はこちら

また、2023年 セキュリティ サービス エッジ(SSE)のGartner Magic Quadrantもご覧ください。この度再度SSEのリーダーに選出されたことを誇りに思います。

おすすめのリソース

  • SSEソリューションの選択時に避けるべき7つの落とし穴

    Read the ebook
  • インフォグラフィック:Zscaler Security Service Edge

    Take a look
  • ユーザーにとどまらないSSEの拡張

    Learn more
  • Gartnerとの講演:ネットワーク セキュリティの未来はSASEにあり

    Watch the webinar
  • 市場の変化が反映されるSSE:知っておくべき情報

    Read our blog post