新時代のネットワークセキュリティについて考える(SASE)

#セキュリティ

schedule 2022/10/05  refresh 2023/11/09

 

ネットワークセキュリティについて考える上で、キーワードとなるのが「SASE(サッシー)」です。

 

そんなSASEですが、「実のところどんなもの?」という方も多いのではないでしょうか。

SASEとはネットワークセキュリティに関するフレームワークの一種で、「これがSASE」のような明確な定義は存在しません。なかなか理解するのが難しい概念ですが、この記事で噛み砕いて解説するので、ぜひ参考にしてみてください。

SASEとは?

近年テレワークやDX推進の影響で企業のテレワーク化が急速に進み、オフィス以外にも自宅やモバイルデバイスからクラウドにアクセスする人が増加しています。そのためファイヤーウォールやUTMなど従来型の仕組みだけではセキュリティ対策が難しくなり、アクセスする場所にかかわらず、すべてを一元的に管理できるような仕組みが必要となっています。

 

そのような背景から注目され始めたSASEは、「Secure Access Service Edge」の頭文字を取って名付けられたものです。

 

もともと米国の調査会社ガートナーが提唱したもので、主にセキュリティに関する機能(CASB,FWaas SWG,ZTNAなど)とネットワークに関する機能(MPLS/VPN,SD-WANなど)を包括した概念であり、セキュリティに関する考え方「ゼロトラスト」にも通ずるもので、簡単に言うと、ネットワークやセキュリティの仕組みをクラウドを使ってシンプルにしましょう、というものです。

 

なぜSASEが注目されているのか?

あらゆるサービスのクラウド化やテレワークの普及により、働き方やネットワークの利用形態が激変したことで、社員同士が同じ空間で仕事をする機会が減った反面、クラウドサービスのおかげで社員は場所を選ばずに仕事ができるようになりました。

 

そんな便利なクラウドサービスですが、課題も常時存在しています。

利便性が向上すると、相応のセキュリティ対策が必要となり、新しいシステムやサービスの導入を繰り返します。それによって潜在的なリスクの増加と管理の複雑化を招いてしまう。こんな悪循環を引き起こしてしまっています。

 

この課題を解決するひとつの手段がSASEなのです。

 

SASEを提唱するガートナーは、ネットワークとネットワークセキュリティの設計は前時代的で今の時代に即していないとしています。

 

企業が複数のクラウドサービスを使うことが当たり前となった今、すべての社員が安全にクラウドサービスを利用できる環境が求められます。

 

そのような背景で登場したのがSASEであり、SASEの概念に基づくことで、単一のクラウドからネットワーク機能とセキュリティ機能が提供され、すべてのクラウドサービスを同一のセキュリティポリシーで運用することで、アクセスする場所に関係なく、すべてを一元的に管理する仕組みを構築することができます。

 

つまり、ネットワークとセキュリティの関係をシンプルにすることで、セキュリティの強度が確保されるだけでなく、管理コストも減り、複雑だった運用もシンプルにできるというわけです。

 

SASEでゼロトラストを実現

SASEの概念のひとつに、前回の記事で紹介したゼロトラストと呼ばれるセキュリティの考え方がありますが、ゼロトラストとは、境界防御モデルという従来のセキュリティモデルに代わる新しいソリューションで、ゼロトラスト(何も信頼しない)という意味の通り、どこからのアクセスも信頼しないというものです。

 

境界防御モデルでは社外からのアクセスのみを疑っていましたが、ゼロトラストでは内部のネットワークに関しても信用しないという前提に立っています。

 

SASEでは、このセキュリティの境界を設けないゼロトラストの考え方を受け、ネットワーク機能とセキュリティ機能をクラウド上で一元化して、社内外を問わず全てのアクセスをチェックします。

 

これによって管理が簡素化されるだけでなく、セキュリティも強化できるので、SASEはクラウド時代に即したセキュリティの仕組みといえるでしょう。

 

SASEの具体的な例

ここまで、SASEの概要や、なぜ今SASEが必要なのかについて解説してきましたが、ぼんやりとしていて、まだイメージが掴めないという方もいるでしょう。

 

そこで具体的なイメージを掴んでいただくために、実際にどのようなものがSASEと呼ばれるのか、当社のSeciossLink(セシオスリンク)を例にご紹介します。

 

セシオスリンクの機能でいうと、「CASB機能」や「Secure Web Gateway」が該当します。

CASB機能は、SASE同様にガートナーが提唱したもので、主に以下のような機能の総称です。

 

      • ユーザの利用状況やどのようなサービスを利用しているか可視化する機能
      • 不正アクセスなどのセキュリティ脅威の検知機能
      • 機密データの保護や情報漏洩リスクを分析するコンプライアンス機能
      • クラウドサービスへのアクセス制御や多要素認証機能

 

またSecure Web Gatewayは、Secure(安全な)の名の通り、安全なWebアクセスを提供する仕組みです。この仕組みはアクセスポリシーに従っていない操作を拒否したり、IT管理者が把握していないクラウドの利用(シャドーIT)を防いだりするものです。

 

まとめ

最近、SASEの概念に基づいたセキュリティ機能を実装した製品がさまざま登場していますが、実のところメーカーごとにSASEの解釈が微妙に異なっており、正直「言ったもの勝ち」のようなところもあるので、製品ごとの機能は、評価版等を利用して直接確かめてみる必要がありそうです。

 

セシオスリンクでは、1ヶ月間の無料トライアル版をご用意していますので、実際に製品をお使いいただいて、お客様の環境にマッチしているかどうか直接ご確認をいただけたらと思います。