セキュリティ
SASE(サシー)とは? ゼロトラストとの違い・関係も解説
オフィス以外の場所で働くリモートワークの普及によって企業を取り巻くビジネス環境は大きく変わり、IT部門はそれにあわせてセキュリティ対策も変えていく必要性が高まっています。特に、複数の拠点を持つ企業にとって、ネットワーク・セキュリティの構築・運用は複雑化する一方です。そうした中で、これらの問題を解決する新しい方法として注目を集めているものが「SASE(サシー)」です。今後、企業のセキュリティ対策の要として、SASEの重要性はますます高まっていくことが予想されます。
この記事では、SASEの概要からその仕組み、導入のメリット・デメリットとあわせて、SASEの必要性やゼロトラストとの違い、関係性などについて、具体的な活用事例も交えながら詳しく解説・紹介します。
SASE(サシー)とは
SASEは「Secure Access Service Edge」の略称であり、ネットワークの機能とセキュリティの機能を1つのプラットフォームとして一体的に提供するクラウドサービス、またはその考え方・概念を表す言葉です。
近年では、SaaSに代表されるクラウドサービスの業務利用やリモートワークの普及によって、従来のセキュリティモデルでは十分な対策が難しくなりました。そこで2019年に米国ガートナー社がSASEを提唱し、企業のITインフラにおける新しいネットワーク・セキュリティのあり方として注目されるようになったのです。
このモデルの中心は、ユーザーやデバイスがどこに存在していても、安全なアクセスを保証することにあります。これにより、従来のデータセンター中心のネットワーク構成が抱えていた、クラウド時代におけるパフォーマンスや管理上の課題を解決し、ユーザーが利用するアプリケーションへの接続を最適化します。
SASEとゼロトラストの違い・関係
SASEとよく比較される考え方として「ゼロトラスト」が挙げられます。ゼロトラストとは、「社内外のネットワークの境界という概念を廃し、守るべき情報資産(データ)にアクセスするものはどのようなものであっても全て信用せず、その安全性を都度検証することで脅威から防御する」というセキュリティの考え方・概念モデルです。
従来は、社内ネットワーク(LAN)を「安全な領域」、社外のインターネットなどを「危険な領域」として明確に区別し、その境界線上にファイアウォール、IDS/IPS、プロキシといった複数のセキュリティ製品を設置して脅威の侵入を防ぐ「境界型防御モデル」が中心でした。しかし、近年ではクラウドサービス(SaaS)や、自宅・外出先からのリモートワークの普及によって、ユーザーやデバイス、データが社内外のさまざまな場所に分散するようになり、このネットワークの「境界」が曖昧になりました。その結果、従来型のセキュリティ対策では、巧妙化するマルウェアなどのサイバー攻撃を防ぎきれない状況が生まれています。
そのため、「何も信頼しない」ことを前提とするゼロトラストの考え方が注目されるようになりました。そして、SASEはまさにこのゼロトラストの考え方を実現するための具体的な仕組み・サービス・プラットフォームとして活用されています。つまり、ゼロトラストが「何をすべきか(What)」というめざすべき概念(ゴール)であるのに対し、SASEはその概念を実現するための「どのように実現するか(How)」という有力なアーキテクチャの1つ、と理解すると分かりやすいでしょう。ゼロトラストの考え方を適用する上で、SASEは非常に重要な役割を担うのです。
SASEの必要性
クラウドサービスやリモートワークの利用が拡大する中で企業が直面する課題は、単なるセキュリティ問題だけではありません。ネットワーク・セキュリティ環境の複雑化に伴い、IT部門が管理すべきハードウェアやシステムの運用・管理は煩雑になりやすく、日々増大するトラフィック(通信量)を効率よく処理する必要もあります。SASEは、これらの現代的な課題を解決するために必要とされています。
ネットワークパフォーマンスの低下と管理の煩雑化
従来の企業ネットワーク(WAN)は、各拠点からのトラフィックを一度データセンターに集約し、そこでセキュリティチェックを行った上でインターネットに接続する構成が一般的でした。しかし、SaaS利用の拡大により、データセンターを経由する通信経路は非効率で、回線の逼迫(ひっぱく)による遅延や通信品質の低下を招き、ユーザーの業務効率を悪化させる問題がありました。かといって、拠点ごとにインターネット接続回線とセキュリティ機器を導入・設定する方法は、管理が煩雑になり、セキュリティポリシーの統一が難しいという新たな問題を生み出します。
セキュリティリスクの増大
リモートワーク環境では、社員が自宅のネットワークなど、セキュリティレベルの確認が難しい環境から社内システムやクラウドサービスに接続します。また、利用するデバイスもパソコンだけでなくスマートフォンやタブレットなど多岐にわたります。このような状況下で、全てのアクセス経路とデバイスに対して統一された高いレベルのセキュリティを適用することは、既存の仕組みでは非常に困難です。結果として、マルウェア感染や不正アクセスといったセキュリティインシデントのリスクが増大します。
SASEは、ネットワークの機能とセキュリティの機能をクラウド上で一体化させることで、これらの課題を解決します。ユーザーやデバイスがどこにあっても、最寄りのアクセスポイントを経由して安全かつ高速に通信できる環境を構築します。これにより、セキュリティを高めるだけでなく、運用・管理を効率的に行うことでIT部門の負担を軽減します。また、SD-WANなどの技術と組み合わせることで、効率的なネットワーク設計を実現して遅延や通信品質の低下を防ぎ、結果としてビジネスの生産性向上にも貢献することが可能です。
これらの理由から、自社の状況に応じた柔軟なITインフラを構築する上で、SASEは必要不可欠な存在となりつつあります。
SASEの仕組み
SASEは、特定の製品ではなく、複数の機能を組み合わせたクラウドサービスとして提供されており、企業ネットワークや自宅などのリモートワーク環境から接続して利用します。世界中に分散配備されたアクセスポイントが存在し、ユーザーは最も近いアクセスポイントに接続します。さまざまなネットワークから、このSASEプラットフォームを経由してインターネットやデータセンター、他の拠点などにアクセスすることで、場所を問わず一律的なネットワーク・セキュリティの機能を利用できる仕組みです。
SASEは主に、ネットワーク機能を受け持つ「SD-WAN」と、複数のセキュリティ機能をクラウドで提供する「SSE(Security Service Edge)」という2つの要素で構成されている、と説明されます。ガートナー社は当初SASEの概念を提唱しましたが、その後2021年に、その中核となるクラウドセキュリティ機能群をSSEとして新たに定義しました。
セキュリティの中核をなすSSEは、ガートナー社によって複数の主要な機能が定義されています。代表的なコンポーネントとして、主に以下の4つが挙げられます。これらは連携し、多層的な防御を実現します。
- SWG(Secure Web Gateway):インターネットアクセスの際のプロキシとして機能し、URLフィルタリングやアンチウイルスにより、不正なWebサイトへの接続を防止し、マルウェアの脅威からユーザーとデバイスを保護します。
- CASB(Cloud Access Security Broker):「どのユーザー」が「どのクラウドサービス(SaaS、IaaS、PaaSなど)」を利用しているかを可視化し、制御します。重要なデータのアップロードやダウンロードを監視・ブロックすることで、情報漏えいを防ぎます。
- FWaaS(Firewall as a Service):従来は物理的な機器として拠点ごとに設置していたファイアウォールを、クラウドサービスとして提供します。これにより、全ての通信に対して一元的なポリシーを適用できます。
- ZTNA(Zero Trust Network Access):「何も信頼しない」というゼロトラストの原則に基づき、アプリケーションへのアクセス管理を行います。従来の一般的なリモートアクセスVPNでは、一度接続すると社内ネットワークの広い範囲にアクセスできてしまうケースがありました。一方、ZTNAはそれとは異なり、ユーザーがリソースに接続を要求する都度、ユーザー認証とデバイスの信頼性を厳格に検証し、許可された特定のアプリケーションへのアクセスのみを許可します。
SASEのメリット・デメリット
SASEを活用することには多くのメリットがあります。お客さまのビジネスを支援する代表的なメリットとしては次のようなポイントが挙げられるでしょう。
メリット
- セキュリティ対策の強化と統一:複数のセキュリティ機能を1つのプラットフォームに統合し、統一されたポリシーを全てのユーザー、デバイス、拠点に適用できます。これにより、場所によるセキュリティレベルの格差がなくなり、企業全体の防御レベルが向上します。
- コストの削減:拠点ごとに高価な物理アプライアンス製品を購入・維持する必要がなくなります。また、運用管理がクラウド上で一元化されるため、IT部門の管理工数が削減され、人件費を含めたTCO(総所有コスト)の削減が期待できます。
- パフォーマンスの向上と最適化:ユーザーは地理的に最も近いアクセスポイントに接続し、そこから直接インターネットやSaaSにアクセスできます。データセンターを経由する際の遅延(レイテンシ)を解消し、通信経路を最適化することで、Web会議やビジネスアプリケーションの応答性が改善され、ユーザーエクスペリエンスが向上します。
- 運用管理の簡素化:クラウド上の管理コンソールから、ネットワーク設定やセキュリティポリシーをイベントログの確認も含めて一元管理できます。これにより、IT管理者の負担が大幅に軽減され、迅速なポリシー変更やトラブル対応が可能になります。
デメリット
多くのメリットが存在する一方で、SASEを導入する際にはいくつかの注意点も存在します。
- 障害発生時の影響範囲:あらゆるアクセスの起点としてSASEプラットフォームを経由するため、サービス提供者のネットワークに障害が発生した場合、自社のビジネス全体に広範な影響を及ぼす可能性があります。もちろん、多くのSASEベンダーは単一障害点(SPOF)によって全体に影響が出ることがないよう冗長化された構成をとっていますが、リスクとして覚えておくべき重要なポイントです。
- ベンダーへの依存:ネットワークとセキュリティを1つのベンダーのプラットフォームに集約するため、そのベンダーへの依存度が高まります。将来的にサービス品質や価格に不満が生じても、他のベンダーへの乗り換えが困難になる可能性があります。別のベンダーに乗り換える際には、これまで蓄積したセキュリティポリシーやネットワークルーティング、ユーザー設定などを移行先でゼロから再構築する必要に迫られることが多く、時間とコストが発生する可能性があります。導入前には、複数の製品・サービスを十分に比較検討し、自社の要件に最も合う、信頼性と将来性の高いベンダーを選定することが重要です。
- 導入・移行の複雑さ:既存のネットワーク構成からSASE環境へ移行する際には、慎重な計画が必要です。特に大規模な組織の場合、移行には時間とコストがかかる可能性があります。専門家のサポートや支援を受けながら、段階的に移行を進めること重要です。
SASEの具体的な活用シーン
SASEは、以下のような課題を持つ企業にとって有効なソリューションです。
- 多拠点展開する企業:国内外の複数拠点に統一されたセキュリティポリシーを適用し、各拠点からのクラウドアクセスを最適化。拠点ごとにセキュリティ機器を設置・管理する手間とコストを削減します。
- ハイブリッドワークを推進する企業:社員がオフィス、自宅、外出先など、どこからでも安全かつ快適に業務システムへアクセスできる環境を構築。デバイスや場所を問わず、一貫したセキュリティを確保し、生産性を向上させます。
- M&Aを積極的に行う企業:買収・合併した企業のネットワークについて、SASEを活用することで、クラウド上の管理画面から統一ポリシーを迅速に適用でき、セキュリティと管理を統一化できます。
まとめ
クラウドサービスとしてネットワークとセキュリティの機能を提供するSASEは、クラウドサービスの活用やリモートワークの普及により変わりつつある現在のビジネス環境に最適化されたサービス・考え方です。企業のセキュリティ対策は、従来型の境界型セキュリティでは十分な対応をすることが難しくなってきており、ゼロトラストの考え方や、それを実現するSASEの必要性が今後ますます高まっていくことでしょう。
なお、ゼロトラストに関して、より詳しく知りたい方は次の記事もおすすめです。
SASEやゼロトラストの実現は、単一製品の導入だけでは完結しません。自社の現状を正しく把握し、将来を見据えた計画的なアプローチが不可欠です。日立ソリューションズ・クリエイトでは、長年のシステム構築で培ったノウハウを生かし、お客さまのセキュリティ変革を計画策定から実装まで包括的に支援します。
また、SASEを実現するプラットフォームとして世界的に評価の高い「Zscaler」の導入支援も行っています。加えて、SSO(シングルサインオン)や多要素認証の機能をクラウドで提供するIDaaS製品である「Okta」、ワンタイム多要素認証製品である「認証管理ソリューション(SECUREMATRIXを活用)」など、お客さまの環境に最適な認証基盤も提案可能です。
より安全で柔軟なIT環境の実現に向け、ぜひ一度、当社へご相談ください。