SASEとは？ 注目の背景と活用3ステップを分かりやすく解説

SASEが注目されている理由

従来の境界型防御で十分だった時代、企業がビジネスを推進するにあたって必要なデバイス・データ・トラフィックは全て社内環境に存在していました。そのため、社外からのアクセスを禁止したり社外からのサイバー攻撃に備える境界型のセキュリティ対策で、セキュリティの強化とユーザの利便性の両立ができていました。

そして今、時代は変わりました。現在、企業活動に必要なデバイスは、テレワークやモバイルデバイスの導入により社外ネットワークに直接アクセスできるようになりました。そして、データはクラウド上でやり取りされ、ユーザはクラウドにある機密情報を閲覧しに行っています。このような状況において、たとえ境界の防御態勢が完璧だったとしても、攻撃者が機密情報を窃取することが容易になってしまっているのです。企業は、従来の境界型セキュリティから考えを改め、クラウド利用やテレワークを前提とした新たなサイバーセキュリティの考え方、つまりゼロトラストに基づいたセキュリティの仕組みに切り替えていく必要があります。

ここで有効なのがSASEソリューションです。ユーザがどこにいても同じセキュリティレベルかつ同じUXで情報にアクセスできるため、現在の企業活動に最適なネットワーク環境を提供することができます。

SASEの構成要素

SASEはネットワーク機能とセキュリティ機能を一体化して提供するサービスの総称です。ここではSASEを構成する代表的な仕組みをご紹介します。

SD-WAN

物理ネットワークの上に仮想的なネットワークを構築し、通信の監視や制御を行う機能です。SD-WANを使うことにより、それほど高度な信頼性が求められない通信や、ビデオ会議など通信遅延を回避したい場合には、直接インターネット回線を経由させるローカルブレイクアウトなど、通信の最適化を実現します。

CASB

ユーザ（企業）とクラウドの間に単一のコントロールポイントを設け、クラウドの利用状況を可視化する機能です。直接クラウドを利用するのではなくCASBを通すことにより、複数のクラウドサービスを利用している場合でも一貫したセキュリティポリシーを担保することができるほか、企業が契約していないクラウドサービスを社員が勝手に利用する「シャドーIT」によるリスクを防止できます。また、CASB製品と企業が正式利用しているクラウドサービスをAPIで接続することで、機密コンテンツに対するポリシー制御や、情報漏洩対策、マルウェアが含まれるファイルを検知/隔離を実現できます。

CSPM・SSPM

クラウド（IaaS・Paas・SaaS）のセキュリティ態勢を管理する機能で、クラウドの設定ミスによる情報漏えいやサイバー攻撃を防ぎます。数十、数百にもおよぶクラウドのセキュリティ設定を手動で確認するのは非常に困難です。加えて、SaaSなどのサービス提供者による仕様変更により、組織のセキュリティレベルが意図せず下がってしまうこともあるため、常にセキュリティ設定状態を可視化、管理できるツールの導入が求められています。

クラウド型ファイアウォール

サイバー攻撃を防止するファイアウォールをクラウド上で提供し、脅威がネットワークに侵入するのを防ぎます。従来のオンプレミス型ファイアウォールが企業の内部ネットワークを防衛するのに対し、クラウドファイアウォールはクラウド上にファイアウォールを展開して、許可されたユーザにのみデータアクセスを許可します。

SWG（セキュアウェブゲートウェイ）

Web上の通信に対して企業のセキュリティポリシー適用します。Webフィルタリングによる有害サイトのブロック、サンドボックスや高度なマルウェア対策機能などにより脅威の侵入を防止し外部への安全な接続を行う機能を提供します。また、セキュリティ適用した際に通信遅延が懸念となるHTTPS通信に対しても、SWGならクラウド側でオートスケールするため遅延なくセキュリティ適用が可能です。

ZTNA（ゼロトラストネットワークアクセス）

ゼロトラストに基づくリモートアクセス機能で、社内・社外に関わらずセキュアなプライベートリソースへのアクセスを実現します。ユーザがネットワークへのアクセスを要求するたびに認証と認可が行われ、必要最小限の権限を付与してアクセスを制御します。都度ユーザやアクセスの正当性が判断されるため、不審なアクセスによるリスクを低減できます。

SASE活用の3ステップ

ゼロトラストに基づいたSASEソリューションの導入・活用は３つのステップに大別できます。これは、全ての企業がステップ３まで到達する必要があるわけではなく、どのレベルまで自社のクラウド活用やDXを進めていきたいのかによって、到達するべきステップが異なります。SASE、そしてゼロトラストを導入するにあたっては、まず自社でゴールを検討しましょう。

ステップ１：限定的なクラウド活用

全てがオンプレミスで利用・運用されている状態の場合、一部の領域でクラウドサービスを使い始めることも大きな一歩になるでしょう。この段階であれば、従来の境界型セキュリティで実装されているゲートウェイを経由してクラウドにアクセスする方法でも十分実現できる可能性があります。しかし、今後クラウドサービスなどの活用領域を広げていくのであれば、次のステップを見据えたセキュリティソリューションの導入をおススメします。

ステップ２：クラウドファーストな組織運営

組織の中でクラウドの活用が定着し利用するサービスやユーザが増えてくると、従来のセキュリティの範疇で安全かつ快適にクラウドを利用することが難しくなってきます。その理由は、もともとWeb検索やメール送受信などでしか使われていなかったゲートウェイセキュリティを通過するトラフィックが増大し、帯域を圧迫してしまうためです。また、利用する個々のサービスのセキュリティ設定を常に確認し、組織のセキュリティポリシーに沿うように設定管理する必要がある点も、組織のセキュリティ担当者の負担を増加させます。

このステップにおいては、オンプレミスゲートウェイ経由のクラウドサービスアクセスではなくSD-WANやSWGなどを活用し、クラウド利用に適した帯域を圧迫しないようなネットワーク設計を行うことと、従来以上にセキュリティ範囲を拡げることが重要です。また、クラウドサービスのセキュリティ設定管理は、CASB、CSPM、SSPMといった専用の管理ソリューションを導入することがおススメです。

ステップ３：データは全てクラウドへ

クラウドファーストの波は、利用するソフトウェアに留まりません。組織のデータをオンプレミスで管理することも、サーバメンテナンスやリプレイス、そしてセキュリティ対策など、多くのコストがかかっています。いきなり全てをクラウドに載せ替えることは困難ですが、こういったデータをクラウド上に保管する方向にシフトし、ゆくゆくは組織内ネットワークのストレージとしての機能を廃止、または最小限にとどめたい、という組織も増えていくでしょう。

その際に必要なのは、組織の機密情報を含む内部リソースへのアクセスをセキュアに保ちつつ、利便性を損なわないための仕組みです。内部リソースは、社員しかアクセスできなければ良い、というわけではありません。非常に重要な機密情報であれば社内の限定的なメンバーのみにアクセス権を付与する、社内に広く周知するものであれば派遣社員や協力会社のメンバーにも公開するなど、柔軟なアクセスポリシーの適用が必要です。これらをクラウド上のリソースに対して実現するためには、次世代型のリモートアクセスソリューションが必要になってくるでしょう。

SASE活用のジャーニーには自社に合ったパートナー選定を

ここまで読んでいただいた方はお気づきの通り、SASEソリューションを導入する、と一口に言っても、組織の現状や目指すゴールによって、検討するべきソリューションは異なります。また、自社のステップが進むにつれて、自社に合ったクラウドサービスの選定、ネットワーク環境のアップデート、セキュリティソリューションの追加やリプレイスを検討するなど、さまざまな課題が発生します。このようなSASE活用のジャーニーでは、自社の将来像を共に考え実現に向けて課題を解決していくパートナー選定も成功を左右する重要な要素です。