ゼロトラストとSASEの違いやメリットについてわかりやすく解説します。

SASEは
ゼロトラストを実現する
手段の一つ

ゼロトラストとは

「ゼロトラスト」とは社内・社外のネットワークを区別せず、情報資産への全てのアクセスを信頼しないことを前提とし、社内外からのアクセスを等しく疑ってセキュリティを強化するという考え方です。
ゼロトラストの意味が示す通り「全てを信頼しない」という考え方から、社外はもちろん、社内からのアクセスに対してもID認証の検証、通信経路の暗号化、不正な通信の監視や阻止といったセキュリティ対策を実施します。

ゼロトラストが注目される背景

これまで情報資産へのアクセスは社内環境からの場合がほとんどであったため、社内ネットワークを閉域網のIP-VPNで構築し、社内は安全で社外は危険という前提の下、社内と社外の境界線のみにUTMやファイアウォールなどのセキュリティ対策をするという境界型セキュリティという方法が一般的でした。
しかし、これが最近のクラウドサービスの利用拡大とテレワークの普及により、情報資産にアクセスする方法が一変しました。
現在クラウドサービスの業務利用は当たり前となり、社内の機密情報をクラウド上で保存することも増えています。加えて、テレワークの普及によって社外の自宅や外出先の端末から社内システムにリモートアクセスしたりする機会も多く、社内だけを守っていればよいという従来の境界防御のセキュリティアーキテクチャは既に限界を迎えています。
このため、社内外を区別せずにセキュリティ対策を講じるゼロトラストという考え方が注目されているのです。

SASEとは

テレワークとクラウド利用の急速な普及に伴い、社内のセンター拠点を中心としたネットワーク構成は限界を迎えています。これまでは、重要なデータやシステムはUTMやファイアウォール等で守られた社内にあり、業務利用時には社内からアクセスさせるのが一般的でした。
これが、現在では社外の自宅や外出先でのテレワークが普及すると共に、クラウド/SaaSでの業務利用が広がったため、社内外から安全にクラウドサービスにアクセスできるように「ネットワーク機能」と「セキュリティ機能」をまとめて提供するSASE（Secure Access Service Edge、読み方は「サシー, サッシー」）というフレームワークに対応した製品が注目されています。
※SASEはIT調査会社のガートナー(Gartner社)が2019年に提唱

ゼロトラストとSASEとの違い

ゼロトラストは社内外からのアクセスの全てを信用しないことを前提とした、セキュリティ対策の考え方/ポリシーになります。
一方で、SASEは社内外から安全にクラウドサービスにアクセスできるように「ネットワーク機能」と「セキュリティ機能」をまとめて提供するフレームワークになります。
現在の市場ではSASEのフレームワークに対応した製品が提供されており、SASE製品/ソリューションを活用してゼロトラストのセキュリティモデルを実現することができます。

ゼロトラストのメリット

ゼロトラストでは、情報資産などへの統合的なアクセスログの監視や、多要素認証の利用などによるユーザー認証の強化、通信経路の暗号化などによってセキュリティ対策を実施します。
このようなゼロトラストモデルのネットワークセキュリティ対策により、働く場所を問わず、安全かつ快適にクラウドサービスや社内業務システムの利用が可能となります。

SASEのメリット

1. クラウドサービスへの安全・快適なアクセス

クラウドサービス利用拡大やテレワークやWeb会議の定着化に伴い、業務における通信トラフィックは増大しています。これまでのネットワーク構成ではインターネットへの接続口がセンター拠点に集約されているため、クラウド利用やWeb会議でトラフィックが増加すると通信が集中して混雑してしまい、通信品質の悪化が発生しています。
これがSASEの仕組みならば、センター拠点からまとめてインターネットに接続するのではなく、会社の各拠点や自宅・外出先の各端末から直接インターネットに接続して通信を分散させる「インターネットブレイクアウト」を活用できます。「インターネットブレイクアウト」を使えば、インターネットへのアクセスが分散されるため、クラウドサービスやWeb会議を快適に利用できます。

2. 社外リモートワーク時のセキュリティ対策強化

コロナ対策をきっかけに始まったテレワークもハイブリッドワークも含め広く普及しており、社外の自宅や外出先からクラウド上や社内ネットワークにある機密情報にアクセスする機会が増加しています。
これまでは閉じられた社内ネットワークだけのセキュリティを確保していれば良かったのですが、社外の自宅・外出先での業務や社外クラウドでの機密データのアクセスが増えることにより、マルウェアやランサムウェアなど、社外端末に対するサイバー脅威のリスクが高まっています。
これをSASEのセキュリティ機能では、社内・社外の場所を問わず、同じセキュリティ対策を適用することができます。具体的には、不正サイトへのアクセスを遮断するWebフィルタリングやクラウドサービスのアクセス制御や機密データの漏洩防止などをすることで、サイバー攻撃や情報漏洩などのセキュリティ対策を強化することができます。

3. 運用負荷の軽減、コスト削減

SASEでは、SASEサービスからCASB(Cloud Access Security Broker, キャスビー)機能で複数のクラウドへのアクセスポリシーの設定ができ、セキュアWebゲートウェイ(SWG)機能で有害サイトへのアクセス制御などを一元的に管理・適用することができます。このため、デバイス毎の管理や監視が不要となり、運用担当者の負荷を大幅に軽減できます。
加えて、SASEのセキュリティ機能はクラウド型で提供されるため、利用量の増加に伴うスケールアップやスケールアウトも容易に自動化することが可能です。社内オンプレミス環境にUTMなどのアプライアンス機器を設置する必要も無く、機器購入のコストが発生しません。機器の運用に伴う構築作業やファームアップデート作業も発生しないため、障害対応などの作業負荷も軽減することができます。

SASEの構成要素と
NTTPCのSASEサービス

NTTPCのSASEサービス「Secure Access Gateway」のおすすめポイント

NTTPCのSASEサービスは、SASEを構成するサービスごとに部分導入が可能です。このため、NTTPCではSASEサービスのステップごとの段階的な導入をおすすめしています。

STEP1：テレワークに伴う自宅・外出先などのセキュリティ強化

現在、自宅・外出先の端末にもアンチウィルスソフトが導入されていると思いますが、インターネットに晒されている端末の防御としてセキュリティを強化する必要性が高まっています。近年では、ランサムウェアやマルウェア(Emotet)など、サイバー攻撃も巧妙化・多様化しており、アンチウィルスだけでは不十分であり、DNSセキュリティ(Cisco Umbrella)やセキュアWebゲートウェイも導入することで、セキュリティの脅威に対する多層防御が実現できます。
NTTPCのDNSセキュリティ(Cisco Umbrella)は月額550円（税込）/ユーザーから、セキュアWebゲートウェイは月額880円（税込）/ユーザーから利用することができ、安価な費用でSASEセキュリティを導入することができます。

STEP2：クラウドに最適な企業ネットワークの構築

IP-VPNを中心とする従来型の企業ネットワークはセンター拠点にあるUTMからインターネットに接続する方法が一般的ですが、接続口が集約されているため、トラフィック増加時には通信品質が悪化してしまい、クラウドやWeb会議の利用が普及した現在では限界を迎えています。
これが、NTTPCのSD-WANサービスである「Master’sONE CloudWAN」ならば、各拠点からインターネットに直接接続するインターネットブレイクアウトを利用でき、ネットワーク輻輳を発生させず、クラウドへの快適なアクセスを実現します。
Master’sONE CloudWANは月額18,700円（税込）/拠点から利用でき、安全で快適なSD-WANを導入することができます。

STEP3：ゼロトラストアクセスでID管理もラクラク

SASE製品を利用して、快適に利用できるクラウドサービスが増える一方で、インターネットというオープンな環境下で利用するため、セキュリティ脅威や情報漏洩のリスクが高くなります。
このため、情報資産にアクセスするIDの管理や認証の強化が必要となり、NTTPCのゼロトラストアクセス(ZTA)ならば、クラウドや社内サーバーへのシングルサインオンやID管理を一元的に管理でき、認証情報の漏洩やサイバー攻撃への対策が可能になります。
クラウドを利用するのと同様に、社内業務システムへもアクセスするリモートアクセス機能も装備しており、社内外のシームレスな認証を実現します。