SASE

SASEとは

「SASE（Secure Access Service Edge）」とは、2019年に米国の調査会社であるガートナーによって提唱されたセキュリティフレームワークです。これまで用いられてきた「ネットワークを境界線で内と外を分け、外は危険であり内側は安全」という「境界線防御」とは対照的な考え方となっています。

SASEの特徴として挙げられるのが、これまで別々に管理されてきた「ネットワーク機能」と「セキュリティ機能」をまとめて1つの製品として提供する点。このSASEを導入することにより、現在の働き方に関するニーズに合わせたインターネット接続の実現を目的としています。

なぜ今SASEが注目されるのか

SASEが注目されている理由として挙げられるのが「セキュリティ強化」という点ですが、そのほかにも近年急速に普及したクラウドサービスやテレワークもSASEが注目される理由となっています。クラウドやテレワークの利用によって社内の情報が社外に保管され、さらに社外からデータにアクセスされるようになってきたため、これまでのように境界型防御がしにくい状況となっています。このような状況下でもセキュリティを高め、快適な接続環境を実現するといった目的によりSASEを導入する企業が増えているというわけです。

また、SASEではネットワーク機能とセキュリティ機能をまとめて管理でき、担当者の負担を軽減できます。加えて、従来の管理方法の場合では機器のネットワークのバージョンアップなどはそれぞれのIT部門が行う必要がある点、さらに複数サービスを導入している場合には重複部分があり、ライセンスや保守費用が高額になり管理も複雑になるといった点が課題としてありました。しかし、SASEの導入によって、運用管理の効率化が見込めることに加えてコスト削減が期待できるといった点から、SASEが注目されているともいえます。

SASEを構成する要素

SASEはさまざまな要素から構成されています。ここでは「SD-WAN」「SWG」「CASB」「FWaaS」「ZTNA」の5つの要素について解説していきます。

SD-WAN（Software Defined - Wide Area Network）

物理的に離れている拠点をオフィスネットワークで繋いだWANを、クラウドで運用管理できるサービスが「SD-WAN」です。SD-WANを導入した場合、回線品質を可視化してモニタリングを実施したり、使用中のアプリケーションをチェックするといったことが可能に。さらに、それぞれの拠点にある通信機器の遠隔操作も可能となるため、担当者の負担軽減にもつながります。

SWG（Secure Web Gateway）

SWGは、アプリケーションの制御やWeb通信の可視化によって、外部への安全なアクセスを提供するサービスです。中にはクラウドに特化したものもありますが、その場合にはCloud SWGと呼ばれています。例えば、アンチウイルスやURLフィルタ、不正侵入防止などの機能を提供します。

CASB（Cloud Access Security Broker）

クラウドサービスの利用状況の可視化・制御を行います。例えば利用者による怪しいクラウドサービスへの接続を遮断することによってセキュリティインシデントの発生を防止します。このように、クラウドサービスと端末の間のデータのやり取りを監視する役割を持っています。

FWaaS（Firewall as a Service）

FWaaSとは、クラウド型ファイアウォールを指しています。クラウド上で侵入防止システムなどを実装してセキュリティのレベルを向上させます。

ZTNA（Zero Trust Network Access）

ZTNAは、「ゼロトラスト」の考え方に基づいて通信のたびにネットワークやデバイスの状態などに関して認証を行うサービスです。もしデバイスへの不正ログインが行われたとしても、業務アプリケーションを悪用しようとした時点でアクセスの拒否が行えるため、被害を限定できる点が特徴となっています。

ゼロトラストとの違い

「ゼロトラスト」とは、社内と社外を区別せずに「全ての通信を信用できないもの」とし、全ての通信について検査し認証を行うという考え方です。このゼロトラストの考え方に基づいてサービスを実際に提供する仕組みが「SASE」です。

これまで用いられてきたセキュリティの考え方は、社内は「信頼できるもの」、社外は「信頼できないもの」として見なすことにより、境界線上にセキュリティ装置を配置して社内のデータを守る方式となっていました。

しかし、ゼロトラストの場合は前述の通り通信全てを信頼できないものであると見なします。この点から、これまでのセキュリティ対策よりも厳格な対応が求められることになりますが、そのための具体的な対策を提供するのがSASEというわけです。

SASEを導入するメリット

SASEを導入した場合には、さまざまなメリットが期待できます。ここでは、「管理コストの軽減」「ネットワーク遅延の防止」「情報漏洩対策の強化」という3つのメリットについて解説します。

管理コストの軽減

SASEの導入により、まず管理コストを軽減できるといったメリットが得られます。

SASEでは、「ネットワーク機能」と「セキュリティ機能」をまとめて1つの形で提供するものであるため、ネットワーク構成の簡素化やセキュリティ管理の一元化にもつながります。この点から、情報システム部門や担当者が運用を行う際の管理負荷やコストの軽減が可能になります。

ネットワーク遅延の防止

近年、Web会議や動画の配信などを行う機会も増えたことに伴い、通信量も増加傾向です。しかしこれまで行ってきたデータセンターを中心としたネットワーク設計の場合、遅延が発生しやすい面があります。これは、大量のトラフィックを想定した設計が行われていないことが多いためです。

しかしSASEには、用途に応じた接続先を選定できる機能があり、これを「インターネットブレイクアウト」と呼びます。この点から、データセンターの経由なしでインターネットに接続できるようになり、ネットワークの遅延を防ぐことが可能となります。

情報漏洩対策の強化

昨今では会社の外から社内ネットワークやクラウドサービスへの接続を行う機会も増えています。このような場合でも、SASEではあらかじめ認証を行ってアクセスについてチェックを行うため、もし脅威を検知した場合にはブロックを行うなどの対処が可能。この点から、情報漏洩対策の強化につなげられるメリットも得られます。

SASEを導入する際の注意点

最後に、実際にSASEを導入するにあたってどのような点に注意しなければならないのか、という点について解説していきます。今後SASEの導入を検討している場合などにぜひ参考にしてください。

綿密な導入計画を立てる

SASEの導入を行う場合には、まず導入計画を立てる必要があります。例えば企業や組織内のユーザーやデバイスに関する詳細な情報の収集を行い、自社に合った仕組みについて検討することが大切です。また、セキュリティ対策が部署ごとに異なっている場合にはSASE導入にあたってセキュリティの統合が行われるため、部署間で連携を取る必要が出てきます。

さらに、導入後にアクセス速度やパフォーマンスに影響が出ることがないように、事前のテスト実施も求められます。

ネットワーク障害に弱い

SASEは、ネットワーク障害に弱いといった点に注意しておく必要があります。これは、クラウド上で提供されるという性質上、ネットワークにおいて障害が発生するとサービスそのものが利用できなくなってしまうためです。

すぐに解消される障害であればそれほど大きな問題にならないかもしれませんが、もし障害の規模が大きい場合には業務を中断しなければならない可能性も考えられます。

自社に合わせたシステムを選ぶ

SASEを導入する場合、その企業や組織の今の状況やどのようなゴールを目指しているのか、といった点などによって導入するシステムは異なってきます。そのためにも、自社の現状やニーズについてしっかりと検討し把握した上で、どのシステムを導入するかを選択することが大切です。