SASEソリューションとは？ 必要性や仕組み・メリット・デメリットを紹介

SASE（サシー：Secure Access Service Edge）とは、ネットワーク機能とセキュリティ機能を融合したネットワークセキュリティモデルです。従来のセキュリティ対策では、社内のネットワークとインターネットの間にファイアウォールやプロキシ、UTMを設置し、その中で通信を監視・制御していました。

SASEのネットワーク機能は、SD-WANと呼ばれる仮想のネットワークで、セキュリティ機能としてはZTNA、CASB、FWaaS、SWGなどがコア機能として含まれています。

SASEの必要性が高まる背景

近年、SASEの必要性が高まる理由として挙げられるのが、クラウドサービスの利用増加やテレワークの推進です。クラウドにより、業務に必要なデータが企業のネットワーク外にも存在するようになりました。また、テレワークの推進により、ネットワーク外にある企業のデータへのアクセスも、企業の外から行われるようになってきています。

このように、企業の外に出たデータを守るためには、従来の企業内を前提としたセキュリティ対策では十分とは言えません。対策をクラウド上まで広げることが必要ですが、利用するクラウドごとにセキュリティポリシーを用意したり、規約を定めたりと管理の複雑さも課題の一つとなっています。

そこで、セキュリティとネットワークを1つのクラウドに統合させるSASEの必要性が高まってきました。

SASEとゼロトラストの違いとは？

SASEは、ネットワークセキュリティモデルを指しています。一方、ゼロトラストの概念は、認証なしに信頼しないという考えに基づき、適切な認証を受けた端末とユーザーだけがデータやアプリにアクセスできるというものです。

つまり、ゼロトラストはセキュリティを構築する上での考え方であるのに対して、SASEはゼロトラストの概念を含めた具体的なセキュリティ対策のソリューションと言えるでしょう。

SASEは、ここで紹介するネットワークとセキュリティ機能をまとめて1つのプラットフォームで提供することを指します。それでは、SASEに含まれる5つのソリューションを見ていきましょう。

1.ZTNA（Zero Trust Network Access）

ゼロトラストの考え方に基づいたネットワーク環境を提供するサービスです。ユーザーからのアクセス要求が発生した場合、ID認証やセキュリティ状態を検証し、事前に定義された条件に則り、アクセスを動的に許可します。

ZTNAでは、セキュリティポリシーをクラウド上で一元管理できるため、拠点ごとの管理が不要になります。また、ユーザーとユーザーがアクセスしたい情報の通信を仲介するため、情報側が外部からの通信を広く待ち受ける必要がなく、外部攻撃の侵入口を隠すことが可能です。

2.CASB（Cloud Access Security Broker）

CASBは、クラウドへのアクセスを可視化し、不正アクセスなどを防ぐセキュリティサービスです。ユーザーと複数のクラウドプロバイダーの間に単一のコントロールポイントを設置することで可視化を可能にします。

CASBが持つ大きな機能は以下の5つです。

• アクセスの可視化
• 不正アクセスやデータ流出の防止
• 驚異の検出や防御
• クラウドの利用状況の監視や制御
• 送受信データの暗号化

3.FWaaS（Cloud Firewall as a Service）

FWaaSはクラウド上で提供されるファイアウォールです。従来の機能にプラスして、IPSやURLフィルタリング機能、アプリケーション制御機能などを備えたものもあります。従来のファイアウォールが組織の内部にネットワークの障壁を形成していたのに対し、FWaaSではクラウドプラットフォームやアプリケーション周りに障壁を形成します。

4.SWG（Secure Web Gateway）

SWGは、ユーザーが社外のネットワークへ安全に接続できるよう、アクセス環境を提供するサービスです。Web通信の可視化やアプリケーションの制御により、これを実現します。IPSやURLフィルタリング機能、アンチウイルス、サンドボックスなどの機能を利用して、アクセス先のURLやIPアドレスの安全性を評価することで、アクセスが問題ないか判断します。

5.SD-WAN（Software Defined-Wide Area Network）

SD-WANは、ネットワークをソフトウェアで制御するSDNのシステムをWANに適用するサービスです。物理的な回線上に仮想的なWANを構築することで、通信の監視や制御を実現します。

これにより、拠点間の接続やクラウドへの接続などにおいて柔軟なネットワーク構成やトラフィックコントロールが実現可能となるでしょう。

クラウドサービスの利用増加やリモートワークの推進により必要性が高まるSASEですが、では実際に導入によりどのようなメリットがあるのでしょうか。ここでは5つのメリットを紹介します。

1.セキュリティ対策の強化

SASE導入により、エンドポイントから各システムへのアクセスはすべてSASEを経由することになります。必要なクラウドや社内システムへの接続は、SASEで統合された認証を通過しなければなりません。

つまり、不正アクセスやそれによるデータの流出などを防ぐことができるのです。アクセス状況の可視化も可能なため、サイバー攻撃への対応を素早く行うことができます。

2.アクセス遅延の改善

クラウドサービスの利用やテレワークの推進により、Web会議や動画配信などを利用する機会が増えることで、通信量も増加していきます。従来のデータセンターを中心としたネットワーク設計では、大量のトラフィックが想定されておらず、遅延が発生しやすいです。

SASEでは、目的に合わせて接続先を選定する機能であるインターネットブレイクアウトがあるため、快適にクラウドが利用できるようになります。

3.一元管理による情報システムの負荷削減

SASEにより、セキュリティとネットワークの一元管理が可能になります。複数のサービスを導入している場合、管理や運用が複雑化し、情報システム担当者の負担は増加してしまいます。SASEにより一元管理が可能となれば、情報システム担当者の負担が減り、コスト削減や生産性の向上に繋がるでしょう。

4.オンプレミス機器の導入が不要

SASEはクラウドサービスであるため、社内ネットワークで利用するオンプレミス機器が必要ありません。スケールアップやスケールアウトもクラウド上で自動化が可能なため、コストの削減にも繋がるでしょう。

5.クラウドとオンプレミスで同様のポリシーが適用可能

クラウドサービスでは、様々なアプリケーションがSaaSとして提供されています。しかし、包括的に管理されていなければ、サービスごとのセキュリティポリシーが必要となってしまいます。

SASEを導入すれば、クラウドやオンプレミスにかかわらず、すべてのアクセスへの一元管理が可能です。そのため、セキュリティポリシーも同様のものを適用できるようになります。

SASEの必要性が高まっているとはいえ、デメリットがないわけではありません。ここでは、SASE導入における2つのデメリットを紹介します。

1.通信障害による業務への影響

ネットワークとセキュリティ機能がクラウド上にあるため、通信障害が発生してしまうと利用できなくなる可能性があります。これにより、業務が滞ることも考えられるでしょう。

2.部署間でのセキュリティ対策の統合

部署間で異なるネットワークやセキュリティ対策をしている場合、統合が必要となりますが、企業の規模によっては調整に時間がかかり、主導する情報システム担当者には大きな負担がかかる可能性があるでしょう。

まとめ

本記事では、SASEの必要性やゼロトラストとのかかわり、構成するソリューション、メリット・デメリットについて紹介しました。SASEは、ネットワークセキュリティモデルであり、ゼロトラストの概念を含めた具体的なセキュリティ対策方法です。

これからゼロトラスト戦略を進めていくうえでは欠かせない考え方ですので、ご検討されてはいかがでしょうか。