近年のテレワーク推進に伴い、クラウド環境下で仕事をしている人は多いのではないでしょうか。そのようなクラウド環境での仕事が増えるにつれて、社内ネットワークのセキュリティレベルを上げたいと考えている担当者も増えています。
本記事では、クラウド時代の新しいネットワークセキュリティのフレームワークである「SASE」という概念について解説します。仕組みや必要性、導入するメリットについても解説しますので、システム担当者の方は是非参考にしてください。
SASE とは
SASE とは、ネットワークとセキュリティを1つのプラットフォームで提供するフレームワークを指す言葉です。米ガートナー社では、SASE サービスを以下のように定義しています。
ネットワーク:SD-WAN、CDN、WAN 最適化、回線品質、安定した帯域
セキュリティ:CASB、クラウド SWG、ZTNA、VPN、FWaaS、DNS、WAF、RBI
これらのフレームワークを実現する製品は、SaaS・クラウドでのサービス提供を基本とし、ネットワーク機能とセキュリティ機能の両方を提供します。そのため、SASE 実現のためには、企業や組織はアクセスニーズに応える豊富な機能を持つ製品・サービスを選定する必要があるでしょう。
SASE を導入する場合はフレームワークの製品すべてを導入することが目的ではなく、フレームワークを使い抜け漏れがないかを確認しながら、自組織で必要な製品やサービスを選択して導入していくことが必要になります。
SASE で実現できること
多くの企業・組織内におけるネットワーク構成は、従来から変わらずデータセンターを中心境界型のセキュリティ体制をとる構成となっています。そのため、自社内での業務のクラウド化が促進されれば、回線圧迫はもちろん深刻なセキュリティホールが発生するリスクがあります。
しかし、SASE フレームワークを実現すれば、端末や利用者は環境に依存しないセキュリティが実現可能になります。
SASE が必要とされるようになった理由
ここでは、SASE が必要とされるようになった背景について解説します。
社内システムのクラウド移行
これまで企業のネットワークは、トラフィックをデータセンターに集約し、必要に応じて分散させるという設計方針で運用されていました。しかし、事業のデジタル化により、システム数が増大した上、システムを柔軟に追加/変更するスピード感が必要になったため管理コストが大きくなっていました。
そのような管理コストの増大、ネットワーク負荷の増加、または遅延による業務生産性への影響を解決するために SaaS/IaaS といったクラウドサービスの利用が進みました。
そうなると、企業の重要資産はオンプレミスではなくクラウド上に多く存在するようになり、クラウドに対するセキュリティを確保する必要が生じたため、SASE が求められるようになったのです。
従来型ネットワークとの衝突
従来のネットワーク環境では、海外出張や外部ネットワークからアクセスを行おうとすると、セキュリティへの不安から VPN でデータセンターへ接続してからクラウドサービスやオンプレミスシステムへのアクセスを行う必要があり、回線の負荷や状況により生産性が低くなるケースが多発していました。
しかし、SASE であればクラウドサービスへ直接アクセスしても安全性が確保されているため、回線の遅延による生産性低下の弊害は解決されます。
SASE の仕組みとセキュリティコンセプトの違い
ここでは、SASE の仕組みに加え、そのセキュリティコンセプトの違いについて解説します。
SASE の仕組み
SASE では、使用デバイスや接続環境に依存することのないセキュリティを提供する仕組みを目指しています。
従来のセキュリティ機構は、社内ネットワークや各拠点のオンプレミスによって提供されていました。そのため、セキュリティは拠点やシステム毎に境界で行っていました。しかし、SASE であればセキュリティをネットワークで実現するため、システムがクラウドであってもオンプレミスであっても一貫したセキュリティポリシーの適用が可能になることに加え、パフォーマンスの低下を起こさずにサービスの提供が可能になります。
SASE とゼロトラストの違い
SASE とゼロトラストは明確に異なる属性を持つわけではありません。ゼロトラストはセキュリティの概念であり、その概念をもとに社内外への安全なネットワークアクセスを実現するフレームワークが SASE です。
つまり、SASE はゼロトラストの実現も想定したフレームワークといえます。そのため、ゼロトラストだけでは組織内全体の SASE の実現はできないということになり、SASE とゼロトラストは密接な関係があると言えるでしょう。
CASB について
「CASB(キャスビー)」とは、2012年に米ガートナー社によって提唱された、SASE の中心となるコンセプトです。CASB の基本的な考え方は、多数のクラウド利用においてユーザーの行動可視化や統一したアクセス制御を行い、全体として一貫性のあるポリシーを適用できるようにすることにあります。
CASB は基本的には単独製品を指しますが、現在では CASB とともに SASE 実現の中核機能の一つであるセキュア Web ゲートウェイ(クラウド型プロキシ)と統合して CASB が提供されていることも少なくありません。
DLP とは
「DLP」とは機密情報や重要データの紛失や外部への漏えいを防ぐシステムを指します。データに着目した情報漏えい対策の一つであり、特定の情報を常に監視しデータベースをスキャンすることで、重要情報のデータ移動を監視/ブロックすることを目的としています。
現在では、クラウド上で DLP を実現する仕組みが進んできており、DLP は CASB と同様に、SASE において必要とされるセキュリティ機能の一つであると定義されています。
SASE を導入するメリット
ここでは、企業や組織が SASE を導入することのメリットを紹介します。
情報システム部門の負荷を軽減できる
企業で使用されているネットワークやセキュリティサービスには様々なものがありますが、その全てが包括的に機能提供されているわけではありません。
しかし、SASE を効果的に実現すれば、ネットワーク構成の簡素化やセキュリティ管理の一元化が可能になるため、コストの削減はもちろん業務の効率化を大きく図ることも可能になります。
ネットワークの遅延を防ぐことができる
従来のデータセンター中心のネットワーク構築では、大量のトラフィックを想定して設計していないことが多いため、遅延が発生することも珍しくはありませんでした。
しかし、SASE の仕組みでは SD-WAN が含まれており、必要に応じて社内向けクラウドサービスのみ拠点から直接インターネットへ接続する(ローカルブレークアウト)機能があり、データセンター側の回線の負荷が下がるため快適なクラウド利用が可能になります。接続先選定により、通信量の増加に伴う通信速度の低下、通信品質の劣化などを防ぐことができるため、業務効率向上に大きく繋げることができるのです。
サイバー攻撃からのリスクを軽減できる
リモートワークの普及に伴い、自宅や外出先などから社内ネットワークやクラウドサービスにアクセスする機会が増加していることは言うまでもありません。そのため、企業側は常に不正アクセスだけでなく、外部からのサイバー攻撃も視野に入れつつセキュリティ構築を行う必要がありました。
しかし SASE では、事前または許可された後にもアクセスごとに認証(挙動の監視)を行い、脅威を検知した場合、ブロックするなどの対処を行うことが可能です。そのため、社外からのアクセスでも許可されたユーザーであれば、利用可能な許可されたアプリケーションを快適・安全に使うことができます。
SASE を導入する前に知っておくべき注意点
企業や組織が SASE を導入する前に知っておくべき注意点を解説します。
SASE 単一のクラウドサービスは現時点では存在しない
現段階では、SASE の「単一クラウドサービス」は存在しません。
SASE 定義を踏襲した製品は多くあるものの、それぞれ機能の違いがあるため、現時点では要件に応じて組み合わせや構成は適宜必要なものを取捨選択して考える必要があります。
既存システムを一斉に切り替えるのは現実的ではない
SASE を導入したいからといって、既存システムを一斉に移行することは、大規模なシステム移行になるためとあまり現実的ではありません。
SASE 導入時に移行計画を企画する場合は、コスト面でのリスクの高さと、自社システムの重要資産を考慮し、優先順位をつけながら取り組むことをおすすめします。
まとめ
ネットワークセキュリティのフレームワークである「SASE」という概念について、そしてその仕組みや必要性、導入するメリットについて解説しました。解説した通り、SASE 実現のためにはアクセスニーズに応えるための豊富な機能を持つ製品・サービスを選定する必要があります。導入にも多くのコストがかかるため、一概に全てを移行させるような導入方法は現実的ではありません。
しかし、SASE であれば現代ニーズにマッチするセキュリティ構築ができるため、テレワークが推進されている現環境においては導入することが望ましいセキュリティ体制であるとも言えるでしょう。セキュリティ体制を改善したい・再構築を考えている担当者の方は、是非参考にしてください。
もし、SASE 導入に不安がある場合は、SBテクノロジーにお任せください。SBテクノロジーのマネージドセキュリティサービス(MSS)であれば、SASE の実現を可能にするために様々な業種の豊富な導入実績から、御社の状況や目的に合わせたシステムの導入を支援いたします。
自社内のセキュリティを強固にしつつ、効率的な運用を行うための施策を検討しているなら、SBテクノロジーの活用をぜひご検討ください。
