従来、業務システムやアプリケーションを利用する際は、社内のローカルネットワークから社内サーバーへアクセスするのが一般的でした。そのため、社内ネットワークは安全、社外ネットワークは危険、という単純な分け方でセキュリティ対策を行っていたのです。しかし、クラウドサービスが普及し、リモートワークが広まる昨今、社内から社外ネットワークにアクセスしたり、社外から社内ネットワークにアクセスしたりすることが増え、新たなセキュリティ概念が求められるようになりました。今回は、新たなセキュリティ概念「SASE(サシー)」について紹介します。
SASE(サシー)とは、「Secure Access Service Edge」の略称で、2019年にアメリカで提唱された新たなネットワークセキュリティモデルのことをいいます。ネットワークサービスとセキュリティサービスを1つのクラウドサービスで一体として提供する考え方です。
これに対し、ネットワークとセキュリティがバラバラに提供されている、従来のセキュリティモデルを「ペリメータセキュリティ」と呼びます。社内ネットワークと外部ネットワーク(インターネット)の境界(ペリメータ)にファイアウォールやプロキシを設置し、通信を監視・制御するというもので、ペリメータの内側は安全、外側は危険という考え方に基づいています。
SASEが生まれた背景として、インターネット上で提供されるクラウドサービスを業務に利用するようになったことが挙げられます。セキュリティの対象が必ずしも社内ネットワークの内側にだけ存在するわけではなく、外側のインターネット上にも存在するようになったため、従来のペリメータセキュリティでは対応しきれなくなったのです。
また、これまでセキュリティやネットワークを構成する際には、1つの目的に対して1つの構成をとっていました。例えば、社用PCからのインターネット接続に対してのセキュリティ、リモートワーク環境から社内サーバーへのアクセス認証、などです。このように1つの目的に対して1つのシステムを構築していると、それぞれ別々に管理しなくてはならず、管理・運用コストがふくれ上がるとともに、ユーザーの利便性が低下していました。
さらに、データや業務アプリケーションにアクセスするネットワーク回線も多様化しました。従来は社内ネットワークから社内サーバーにアクセスするため、オンプレミス環境でローカルアクセスを行うのが一般的でした。しかし、クラウドサービスの利用が増えるにつれて、社内外からインターネットを介して社内サーバーにアクセスするケースが増えているのです。リモートワークの広まりで、インターネットから業務システムにアクセスするケースはさらに増えると予想されます。
特に、リモート環境からクラウドサービスにアクセスする場合、ペリメータ(境界)にファイアウォールやプロキシが設置されていない状態でアクセスすることになります。このように、ペリメータセキュリティでは対応しきれない部分に対するセキュリティを、統合的・包括的に提供するのがSASEといえるでしょう。
ゼロトラストとは、「何も信用しない」という考え方に基づいてセキュリティシステムを構築し、セキュリティ対策を行うという考え方のことです。ネットワークの内外を区別せず、すべてのネットワークに対してセキュリティ対策を行うという考え方自体は同じですが、SASEが実際に提供されるソリューションそのものなのに対し、ゼロトラストは考え方、概念のことを指します。ゼロトラストを実現するための方法の1つがSASE、と言い換えられます。
ゼロトラストについて詳しくは、以下の記事をご参照ください。
関連記事
前述のように、SASEはゼロトラストの考え方に基づいて提供されるソリューションです。SASEでは、「端末や利用者のロケーションに依存しない(ペリメータに関係ない)」ことを主軸とし、ネットワークとセキュリティをクラウドサービス上で統合的・包括的に提供します。実際の機能としては、以下のようなものがあります。
既存の物理回線の上に仮想的なデータチャネル(WAN)を構築し、通信を監視・制御する技術やサービスです。ソフトウェアでネットワーク通信を制御していて、回線が混雑して通信速度が低下したり、通信が遅延したりするのを防げます。
ZTNAとは「Zero Trust Network Access」の略称で、ゼロトラストの考え方に基づいてネットワークアクセス環境を提供するセキュリティソリューションです。ユーザーからアクセス要求があるたび、使っているネットワークやデバイスの状態などについて認証が行われます。
CASBとは「Cloud Access Security Broker」の略称で、クラウドサービスへのアクセスを可視化し、不正アクセスなどを防止するためのセキュリティソリューションです。不審なアクセスを防げるため、シャドーITにも対応できます。
SWGとは「Secure Web Gateway」の略称で、ユーザーが安全に社外ネットワークへアクセスするために使われるプロキシのことをいいます。Web通信を可視化したり、アプリケーション制御を行ったりすることで、外部への安全な接続方法を提供するセキュリティソリューションです。特にクラウドに特化したものを「Cloud SWG」と呼ぶこともあります。
FWaasとは「Firewall as a Service」の略称で、クラウド上でファイアウォールを提供するセキュリティソリューションです。URLフィルタリングやIPS(不正侵入防止システム)、アプリケーション制御などの機能を備えた次世代ファイアウォール(NGFW)と呼ばれるサービスもあります。
SASEのメリット・デメリットを紹介しましょう。
SASEのメリットは、以下の3つです。
SASEのデメリットには、以下の2つです。
SASEを導入する際には、以下2つの注意点を考慮する必要があります。
SASEを導入する際には、従来のペリメータセキュリティで構築していたネットワークとセキュリティを新しいシステムへ再構築しなくてはなりません。一気にすべてをSASEに置き換えるのではなく、順序立ててSASEを導入していく必要があるでしょう。だいたい3~5年間の期間を設け、具体的なロードマップを作成してとりかかるのが一般的です。
SASEは、これまでバラバラに構築していたネットワークとセキュリティを統合できるため、利用するSASEはできる限り単一ベンダーのソリューションにするとよいでしょう。SASEサービスはさまざまで、すべての企業にそのまま適用できるソリューションは存在しないため、自社に合わせたシステムを選ぶ必要があります。
SASEとは、ネットワークとセキュリティを統合して提供するソリューションのことを指します。従来のペリメータセキュリティと比べて包括的なセキュリティ対策が行えるほか、ゼロトラストの考え方に基づいているためセキュリティレベルそのものを底上げできます。情報システム部門の管理負荷を軽減し、ネットワーク遅延を防止するメリットがある一方で、ネットワーク障害に弱いというデメリットもあります。
さまざまなリモートアクセスツールを展開する「CACHATTO」の「CACHATTO SecureConetainer」なら、PC上にセキュアな隔離領域を生成し、その領域内で業務を行えます。クラウドサービスや社内サーバーへのアクセスもセキュアな領域からのみ行えるため、リモートワークで私用PCを使う場合でも安心です。
