FWaaS方式とSWG方式の違い およびSASE導入のためのステップを解説

SASEソリューションには、以下の2つの方式があります。

• FWaaS（Firewall as a Service）方式
• SWG（Secure Web Gateway）方式

それぞれどのような特徴を持っているのか整理していきましょう。

FWaaS方式とは？

FWaaS方式の特徴は、ファイアウォールがクラウド上に設置されている点です。従来のファイアウォールは社内ネットワークと社外ネットワークの間に設置され、内部と外部の通信を監視、制御していました。

しかし、コロナ禍においてリモートワークやテレワークが普及し、オフィスに出社して業務を行う機会が減少してきています。社外から社内ネットワークへアクセスすることは、ユーザが社員であっても危険が付きまとうものです。

そこで、ファイアウォールをクラウド化することによって、一貫したファイアウォールポリシーの制御の対象となり、社員がどこにいても安全に社内ネットワークへアクセスすることを可能にしています。

SWG方式とは？

SWG方式では、社内から外部Webサイトへアクセスする際に、アクセス先の安全性を確認しています。社内ネットワークから外部ネットワークへアクセスを要求した時に、表示しようとしているWebサイトのURLやIPアドレスを接続が確立される前にチェックし、安全性が担保されない場合には、アクセスを制限・遮断します。

SWG方式を用いる場合、前提として社内ネットワークと社外ネットワークに明確な線引きがあることが条件になります。内部と外部の間にファイアウォールを設置するため、業務を行う端末が社内ネットワークになければ効果を発揮しません。

BYOD（Bring Your Own Device）を採用している場合は、高い効果が期待できないので注意しましょう。

SASEを導入するメリットは、主に以下の3点です。

• セキュリティ管理コストが軽減できる
• テレワークが促進できる
• セキュリティ対策を強化できる

導入するだけではなく、どのような効果を期待して導入するのか事前に社内で確認しておきましょう。

セキュリティ管理コストが軽減できる

1つめのメリットは、セキュリティ管理コストを軽減できることです。SASEはネットワーク機能とネットワークセキュリティ機能を1つにまとめて考える概念です。

従来の方法では、ネットワーク機能とセキュリティ機能をそれぞれ個別に整える必要がありましたが、これらを組み合わせてサービスの導入や運用を考えることでコストが軽減できることがあります。

テレワークが促進できる

2つめのメリットは企業としてテレワークを促進できることです。従来のセキュリティ体制では、端末が社内にあることが前提になっていたため、オフィスに出社して業務を行うことが主流でした。SASEでは社内ネットワークとファイアウォールをクラウド上に設置するため、社員がどこから、どの端末で社内ネットワークにアクセスしてもファイアウォールの監視をすり抜けることはありません。

BYODの導入も進んでいる中で、テレワークやリモートワークでも業務を円滑に進めていくことができる環境を実現することが企業には求められています。

セキュリティ対策を強化できる

3つめのメリットはセキュリティ体制を強化できることです。従来のセキュリティの考え方は、社内ネットワークは安全で、社外ネットワークに脅威が潜んでいるというものでした。しかし、テレワーク・リモートワークの普及によって、社内と社外の境界線が曖昧になり、どこに脅威が潜んでいるのかわからなくなっているのが現状です。

従来のセキュリティ対策では、現在の脅威に十分対応できるとはいえません。SASEでは、すべてのアクセスを監視するため、悪意のあるユーザからの不正アクセスを検出することができます。

SASEは非常に有効なネットワークセキュリティの概念ですが、すべての機能を満たすサービスを導入する必要はありません。企業ごとに必要となる対策は異なってくるので、事前に検討を重ねておくことが重要です。

SASEは基本的にネットワークサービスとセキュリティサービスが一体となったセキュリティモデルですが、今社内で使っているネットワークサービスを生かして導入することも可能です。現在使用中のネットワークサービスのうち、外部インターネットへのアクセスだけにFWaaS方式のファイアウォールを設置することもできます。

SASE導入に際し、コストが大きな負担になる場合は既存システムを生かしながら進めていき、徐々に移行していくプランも検討していきましょう。

最後に実際にSASEを導入する際の流れの一例を以下の4つのステップに分けて解説していきます。

• VPNの最適化
• ZTNAの採用
• ZTNAの拡張
• SASEを実現

VPNの最適化

始めに、VPNの最適化を行いましょう。VPN（Virtual Private Network）は広く使われてきたセキュリティ対策です。しかし、テレワークやリモートワークの導入・推進を図ると、VPNだけでは回線速度の大幅な低下を招き、業務に支障が出てしまう恐れがあります。

回線速度を適切に保つためには、VPNを介しての通信だけでなくSASEを利用した通信ルートを構築することが必要です。しかし、VPNが不要になるわけではありません。SASEを導入するよりも低いコストで通信を守ることができるので、使い方によって最適化を進めていきましょう。

ZTNAの採用

次にZTNAの採用が必要になります。
ZTNA（Zero Trust Network Access）とは、SASEを構成する上で必須となるセキュリティ機能の1つです。

ZTNAはこれまでVPNが担ってきた、内部ネットワークを外部のアクセスから保護する役割を持っています。VPNを用いた外部からのアクセスは一度侵入を許してしまうと、甚大な被害が及ぶことやクラウド利用が増えることで回線速度が低下することが問題になっていました。

ZTNAでは、社内ネットワークへのアクセスごとに認証を行うため、仮に1つのシステムに不正侵入されても被害を最小限に抑えることができます。

ZTNAの拡張

ZTNAの導入が進んだら、次はZTNAの拡張を進めていきましょう。ZTNAの外部からのアクセスを監視するという特性は、第三者と事業を進めていく場合にも活用することができます。

アプリケーションやWebサービスを自社だけでなく、他者と連携して開発していく場合、社内ネットワークに第三者がアクセスすることは避けられません。ある程度大きな権限を付与する必要も生まれてきますが、ZTNAを採用することによって、万が一の事態を未然に防ぐことができます。

SASEを実現

VPNの最適化やZTNAの整備・拡張が終わると、SASEの基本的な体制が整ったことになります。しかし、SASEを構成する要素はまだ以下のものが存在します。

• SD-WAN（Software Defined-Wide Area Network）
• CASB（Cloud Access Security Broker）

SD-WANとは、SASE環境の中で使用するインターネットサービスです。ネットワークの接続をソフトウェアを用いて制御することができます。また、CASBはクラウドの利用状況の可視化、あるいは制御を行うためのものです。誰がクラウドを利用しているのかを監視することによって、シャドーITを見つけ出すことができます。

SASEの導入は今後より一層需要が高まっていくことが予想されます。導入する場合、事前に現在社内で運用しているセキュリティ対策がどのようなものかを整理し、必ずカバーしなければいけない要素を明確にしておきましょう。

また、SASEはテレワークやリモートワークを行う上で、有効なセキュリティ対策の考え方となるので、導入までの流れを確認し、導入後も管理者・従業員ともにスムーズに業務を進めていけるかどうかが重要になります。