記事カテゴリ
MENU

ネットワーク・サーバー

SASEとは? 導入メリットやゼロトラストとの違いをわかりやすく紹介

このエントリーをはてなブックマークに追加

ネットワーク機能とセキュリティ機能とを組み合わせ、まとめて提供する「SASE(サシー)」。ゼロトラストの考え方にもとづいたハイブリッドワーク時代の新たなソリューションとして注目されています。今回はSASEとは何か、注目される背景を解説します。

この記事で紹介している
サービスはこちら

セキュアアクセスゲートウェイサービスサービスネットワーク・セキュリティ機能を一括提供!

目次

SASE(サシー)とは?

SASE(Secure Access Service Edge)は米国のIT専門調査会社ガートナーが2019年に提唱した新たなセキュリティとネットワークのフレームワークです(日本語での読み方は「サシー, サッシー」)。
コロナ禍をきっかけとして自宅や外出先でのリモートワークが普及しました。現在は、ポストコロナ時代を迎え、会社と自宅で業務をするハイブリッドワークが定着しており、社内と社外の境界線のみにUTMなどのセキュリティ対策をするという境界型セキュリティでは十分な対応ができなくなりました。
加えて、DX化の推進により、チャット、Web会議、勤怠、会計管理、経費精算など、業務において複数のクラウドアプリ(SaaS)の利用が急速に拡大しました。
このように、ハイブリッドワークの普及とクラウド利用の拡大によって、社内外を問わずどこからでも安全かつ快適にクラウドサービスにアクセスできるように「セキュリティ機能」と「ネットワーク機能」をまとめて提供するSASEというフレームワークに対応したサービスが注目されているのです。

図版:SASE

SASEとゼロトラストの違い

SASEと同時に語られることの多いキーワードに「ゼロトラスト」があります。
簡単にいうと、SASEに対応したサービスが、「ゼロトラスト」というセキュリティ対策の考え方を実現します。
従来のセキュリティは、ネットワークを社内と社外の2つに分け、内側を「信用できるもの」、外側を「信用できないもの」とし、境界線上にファイアウォールなどのセキュリティ装置を配置して社内を守る、いわゆる「境界型セキュリティ」というものでした。
それに対し、「ゼロトラスト」は、社内、社外を区別せず、すべての通信を信用できないものととらえる考え方を指します。当然、従来よりも厳格なユーザー認証やネットワーク監視などのセキュリティ対策を施す必要がありますが、これを具体的に提供する仕組みがSASEなのです。
ゼロトラストとSASEの違いについて詳しくは「ゼロトラストとSASEの違いやメリット、おすすめサービスを紹介」、ゼロトラストと従来型セキュリティの違いについては「ゼロトラストとは?従来型セキュリティとの違い・導入ポイントを紹介」を参照してください。

SASEとCASBとの違い

「CASB(Cloud Access Security Broker、キャスビー)」という言葉をお聞きになったことがあるかもしれません。CASBは従業員のクラウド利用状況の可視化と制御(クラウドへのアクセス許可・遮断)などを一元的に管理できるセキュリティサービスです。
具体的には、従業員のクラウドサービスの利用状況を把握し制御する「可視化 / 制御」、機密データの漏えいを防止する「データセキュリティ」、異なるサービスに同一のセキュリティポリシーを適用する「コンプライアンス」、マルウェア感染や目的外利用などを検出し防御する「脅威防御」の4つの働きを持ちます。SASEの中には、CASBの機能を提供しているものもあります。

SASEを構成しているソリューション

では、SASEでは、具体的には次のようなネットワークとセキュリティをまとめて提供するフレームワークを指しています。
ここではSASEが包含する代表的な機能を紹介します。

ネットワーク:SD-WAN(Software-Defined WAN、ソフトウェア定義のWAN)

SD-WAN(Software-Defined WAN、読み方はエスディーワン)は、直訳すると「ソフトウェア定義のWAN」です。既存の物理的な回線の上にソフトウェアにより仮想的なWANを構築(定義)する技術です。
従来のWANでは、各拠点とセンター拠点とを結び、各拠点が外部と通信を行う際にはセンター拠点を経由する、いわゆる「センター拠点集約型」が主流でした。しかし、この方式では通信量が増大すると輻輳(ふくそう)や遅延などの問題が発生してしまいます。
一方、SD-WANでは仮想化により通信を可視化し一元管理することが可能です。そのため、ネットワーク運用における管理負担を軽減したり、WANを効率的に運用しコストを削減したりといったことが可能となります。
また、各拠点から直接インターネットに接続できるSD-WANの「インターネットブレイクアウト機能」により、Web会議など帯域を使うクラウドサービスを使う際にもセンター拠点でのボトルネックが発生せず、快適に利用することができます。

セキュリティ機能:ZTNA(ゼロトラストネットワークアクセス)

ZTNA(Zero Trust Network Access、ゼロトラストネットワークアクセス)は、ゼロトラストの考え方にもとづいたアクセス方式です。ゼロトラストの「すべての通信を信用しない」という方針のもと、アプリケーションやデータにアクセスするたびに認証を行い、アクセスを管理します。
従来のセキュリティ機能では、リモートワークなどの際、一度認証を受ければ社内ネットワーク内のアプリケーションやデータには自由にアクセスすることができました。しかし、この方式では万一不正に侵入された場合に被害が広範囲におよぶこととなります。
一方、ZTNAではアクセスが特定のアプリケーションなどに限られるため、より高いセキュリティを維持できます。

セキュリティ機能:CASB

CASBに「可視化」「コンプライアンス」「データセキュリティ」「脅威防御」の4つの機能があることをご紹介しました。
「可視化」機能は、従業員が会社で許可されていないクラウドサービスなどを利用していないかを監視する機能です。この機能によりいわゆる「シャドーIT」問題を解決できます。
「コンプライアンス」機能は、クラウドサービスの利用が自社の規定に沿っているかを監視する機能です。この機能により不正な利用を防止することができます。
「データセキュリティ」は、ユーザー毎にデータの利用権限を設定する機能です。この機能によりデータの不正流出を防止することができます。
そして「脅威防御」はクラウドサービス上のマルウェアを検知する機能です。この機能により社内のマルウェア感染リスクを低下させることができます。

セキュリティ機能:FWaaS(Firewall as a Service、クラウド型ファイアウォール)

FWaaS(Firewall as a Service)は、クラウド上でファイアウォール機能を提供する機能で、クラウド型ファイアウォールと呼ばれます。一元的にFWaaSを経由して通信を行うことで、従来のファイアウォールと同様、外部からの攻撃や不正なアクセスを防ぐことができます。
従来の機器型やソフトウェア型のファイアウォールと比較して、リモートワークなどアクセス地点に関わらずセキュリティを確保できる、アップデートの必要がない、ネットワーク構成の変更に柔軟に対応できる、などの利点があります。
さらにIPS(侵入防止システム)、アプリケーション制御などの機能を備えた次世代ファイアウォール(NGFW)も登場しています。

セキュリティ機能:SWG(Secure Web Gateway)

SWG(Secure Web Gateway、セキュアWebゲートウェイ)は、クラウド上でインターネットへの接続を中継し代行するプロキシサーバーの役割を提供する機能です。SWGによりWeb通信の可視化やアプリケーション制御が可能になります。社内に設置するプロキシサーバーとは異なり、従業員がどこからインターネットにアクセスする場合にも安全な接続環境を提供します。
具体的にはURLフィルタリングにより危険なWebサイトへのアクセスを防止するほか、未知のマルウェアにも対応可能なサンドボックス機能などでマルウェア感染を防止することができます。
SWGのうち、特にクラウドに特化したものをCloud SWGと呼びます。

SASEが普及している背景

SASEの普及している背景には、セキュリティ対策への社会的要請の高まりがあります。
ハイブリッドワークが定着した現在においてはZTNAやSWG 、FWaaSなどを活用したセキュリティの向上が必要となります。
また、クラウドサービスの利用拡大にともない、CASBやSSO(Single Sign On、シングルサインオン)、多要素認証などのニーズも増加しています。
こうしたニーズをまとめて解決できるソリューションとしてSASEが注目されているため、急速に普及しているのです。
また、大企業をターゲットとしたランサムウェアなどのマルウェアによる被害が大々的に報じられたことにより、社会全体としてサイバーセキュリティ対策への意識が高まったことも背景にあるでしょう。

SASE導入のメリット

管理負荷の軽減

ネットワーク、セキュリティは様々なサービスが提供されていますが、それらはバラバラに存在しており、包括的に機能提供されているものではありません。
複数のネットワーク、セキュリティ(ハードウェア・ソフトウェアを問わず)を導入している場合、それらの運用・管理が煩雑になっているケースが散見されます。
SASEはネットワーク機能、セキュリティ機能を一体で提供するため、ネットワーク構成の簡素化やセキュリティ管理の一元化が可能となります。
そのため、情報システム部門の運用管理負荷を軽減でき、生産性の向上やコストの削減が期待できます。

テレワーク・クラウドの利用拡大によるネットワーク遅延の防止

SD-WANには前述のインターネットブレイクアウト機能のほかにも様々な機能があります。
複数種類の回線を使用した「ハイブリッドWAN」では、より通信品質の高いアクセス回線を判定してネットワーク回線を切り替えるなどの設定ができます。
また、トラフィックを可視化することもできるため、トラフィックの増減や傾向を分析してアクセス回線の増速計画などに役立てることができます。こうした機能により、テレワークやクラウドの利用が拡大した現在においてもネットワークを快適に利用することができます。

サイバー攻撃、情報漏えい対策の強化

従来は業務に必要な機密データはすべて社内ネットワークのなかに保存されており、そうした機密データを守るため境界型セキュリティを強化する、という方針が一般的でしたが、ハイブリッドワークの普及にともない、自宅やクラウドサーバーなど業務に必要な機密データを社外に配置する機会が増えています。
SASEではFWaaSやSWGなどのセキュリティ機能によりサイバー攻撃を防止することができますし、またZTNAやCASBなどの機能により情報漏えいを未然に防止することもできます。これにより、社外に配置した機密データに関しても、許可された従業員のみが快適・安全に使う環境を整えることができます。

SASE導入の注意点

ハイブリッドワークワークの定着、クラウドサービス利用の拡大に合わせたセキュリティソリューションにふさわしいと言えるSASEですが、導入する際には注意点もあります。
それは、「SASEには様々なサービスがある」ということです。前述のようにSASEは「ネットワーク機能」と「ネットワークセキュリティ機能」をまとめて提供するものですが、それぞれについて何を提供するかはベンダーの選択に委ねられています。中には複数のサービスを組み合わせてSASEを実現できるよう、一部のセキュリティ機能のみを提供している場合もあります。
導入を検討する場合には、自社に合わせたサービスを慎重に見極めましょう。

SASEを導入するプロセス

SASE環境への移行は既存のネットワークやセキュリティ対策をすべてに影響します。一気に導入すれば既存のワークフローが大きく変更され、業務の継続が困難になってしまう危険性があります。移行に際しては数年単位で段階的にシステムを変更していく計画を立てる必要があるでしょう。
まずは自社のネットワーク、セキュリティ対策に対するニーズを把握することから始めます。クラウドサービスの利用状況やリモートワークの利用割合などから必要なネットワーク機能を決定します。また、取り扱う個人情報など機密情報の多寡、インターネット決済の規模などに応じて必要とされるセキュリティ対策を割り出します。
必須条件が決定したら、導入するソリューションの検討に入ります。複数のサービスを組み合わせる方向も検討し、SASEの全体像をイメージしましょう。
導入するソリューションが決まったら、ロードマップの作成に着手します。導入する機能に優先順位をつけ、自社にとって重要度の高い順に導入するようなロードマップが良いでしょう。ロードマップが完成したら、各段階についての具体的な導入計画を策定します。
具体的な導入においては「スモールスタート」が妥当でしょう。各機能について、支社単位・部署単位などで、テストを行いながら段階的な導入を図ります。いきなり完全移行を目指すのではなく、既存のソリューションを残しておき、並行して使用するのも良いでしょう。

ネットワークセキュリティ強化なら、NTTPCのSecure Access Gateway

NTTPCのSecure Access Gatewayは、ゼロトラストの考え方を前提として「ネットワーク機能」と「セキュリティ機能」をまとめて提供するフレームワークで、クラウドサービスへの快適なアクセスと、ハイブリッドワーク時代のセキュリティ対策を提供します。また、クラウド型の提供形態のため機器導入も不要ですから、ネットワークセキュリティ対策に関する運用負荷を軽減し、コストも削減できます。
セキュリティ機能として、DNSの名前解決を利用してインターネット上の脅威からユーザーを最前線で防御する「DNSセキュリティ」機能を実装。リモートワーク中でも悪意のあるサイトへのアクセスをブロックし、ユーザーとデバイスを保護します。また、本稿でも紹介したセキュアWebゲートウェイに加え、マルウェアからの防御を実現するEDR/EPP機能、社内システムやSaaSへの接続をセキュアかつ簡単に実現するシングルサインオン機能なども備えています。
ネットワーク機能としてはSD-WAN機能を提供。既存の回線を変更することなく、仮想のWANを構成することで通信を制御し、トラフィックの集中を回避することが可能となります。
ニーズや環境に合わせて1機能から個別で契約できますので、SASEへの段階的な移行をお考えの方におすすめのフレームワークです。

セキュアアクセスゲートウェイサービスサービスネットワーク・セキュリティ機能を一括提供!

まとめ

今回はネットワーク機能とセキュリティ機能とを組み合わせてクラウドサービスとして提供するSASE(サシー)について解説しました。
ゼロトラストの考え方にもとづいたSASEはネットワーク機能の「SD-WAN」、セキュリティ機能の「ZTNA」「CASB」「FWaaS」「SWG」などで構成されます。
ハイブリッドワークの定着、クラウド利用の拡大、サイバーセキュリティ対策への意識の高まりなどを背景として、「管理負担の軽減」「ネットワーク遅延の防止」「サイバー攻撃、情報漏えい対策の強化」「SASE導入の注意点」などのメリットからSASEの存在意義が高まっています。
ただし、SASEを導入するには自社にとって必要なサービスを見極め、数年にわたる緻密な導入計画を立てる必要となります。SASEの導入を検討する際には、慎重な検討を心掛けましょう。

※ICT Digital Columnに記載された情報は、リリース時点のものです。
商品・サービスの内容、お問い合わせ先などの情報は予告なしに変更されることがありますので、あらかじめご了承ください。

この記事で紹介している
サービスはこちら

セキュアアクセスゲートウェイサービスサービスネットワーク・セキュリティ機能を一括提供!

関連するおすすめ記事