クラウド時代に必要なSASEを構成する 4つのソリューションを解説！

SASEとは、新しいネットワークセキュリティモデルのことで、アメリカのGartner社が2019年に提唱したものです。

これまで多くの企業では、複数のネットワークやセキュリティサービスを組み合わせることで導入を勧めてきました。SASEはクラウドを活用することでそれぞれの機能を一元管理し、使用するアプリケーション・サービスをいつでもどこでもより安全によりスムーズに利用できる環境を構築し、管理コスト削減やセキュリティの強化などを目指します。

従来のセキュリティ対策では、社内プロキシやファイアウォールを用いて外部の脅威から身を守るために対策をすることが一般的な考え方でした。

しかし、近年はテレワークをきっかけに社外で仕事をするユーザーが増えたことにより、クラウドサービスなどの利用も増え、外部の脅威だけへの対策だけでは、企業の情報資産を守ることが難しくなってきています。

とはいえ、データセンター経由でサービスを利用すると管理コストやサーバー不可などの問題が発生するため、分散したネットワーク機能とネットワークセキュリティ機能を単一のクラウドに集約して包括的に管理できるSASEが着目を浴びている背景です。

近年の働き方に合わせて注目度が上がってきた新しいネットワークセキュリティモデルであるSASE。そんなSASEは下記の4つの構成から成り立っています。

ここからはそれぞれ4つの構成の特徴をご説明していきます。

①次世代SWG（クラウドセキュアWebゲートウェイ）
②CASB（Cloud Access Security Broker）
③ZTNA（Zero Trust Network Access）
④NaaS（Network as a Service）

SWG（Secure Web Gateway）は、Web通信の保護を主目的にクラウドアプリケーションにもポリシー制御を適用させるサービスです。
ポリシー制御とは英語でpolicy（ルールや方針）などを制御するという意味なので、特定ユーザーのトラフィックを識別し結果に応じて個別の制御ルールに従ってトラフィックを制御する技術のことを指します。また、クラウドとウェブの両方を網羅的に適用できる点が従来のSecure Web Gatewayと大きく違う点です。

次世代SWGの導入により実現できること

SWGを導入することにより実現できることは、アクセスの制御・可視化やインターネット上に存在する様々な脅威からユーザー、デバイスを守ることが出来るようになることです。仮に網羅的に管理されていないとすると、ポリシーの適用がばらばらになることにより、データの保護を見過ごしてしまう可能性が高くなります。つまり、セキュリティ保護には必要不可欠な構成の1つです。

CASB（キャスビー）は、企業のクラウドサービスへのコンプライアンスチェックと次世代SWGから提供されたサービスの使用状況を把握・管理するためのものです。クラウドサービスのリスク軽減や、より効果的な利用を実現するには、上記の機能が必要不可欠となります。

主な機能としては下記4つとなります。

1. データの可視化
2. データセキュリティの向上
3. 脅威防御
4. コンプライアンスチェック

CASB（キャスビー）により実現できること

CASB（キャスビー）を導入することで、CASB（キャスビー）がリアルタイムでサービスを監視し、不正を検知するため、セキュリティを高めることができ安心してクラウドサービスを利用することができるようになります。
また、分析結果を可視化できるため、サービスへのアクセス状況もわかりやすく表示、確認することができ、セキュリティ違反や不正行為を発見しやすくなります。つまり、CASBを活用することで今の時代に合った強固なセキュリティ対策を施すことが可能ということです。

ZTNA（Zero Trust Network Access）は「どのようなトラフィックも信頼しない」というゼロトラストの考え方に沿ってユーザーのアクセスをアプリケーションやデータレベルで制御する概念とそれを実現するセキュリティソリューションのことを指します。つまり、パブリッククラウドやデータセンター上で稼働するサービスにも高セキュリティなアクセスを実現し、サービスによっては、ユーザー識別やデバイスのセキュリティ状態をチェックする機能を備えた高機能のものもあります。

ZTNA（Zero Trust Network Access）の主な機能としては下記3つとなります。

1. アクセス制御（アプリケーション・データレベル）
2. 監査・ロギング
3. 認証・認可の統合

ZTNA（Zero Trust Network Access）により実現できること

ZTNA（Zero Trust Network Access）を導入することで、アプリケーションレベル、データレベルでアクセスコントロールが可能なため、万が一、ユーザー端末が第三者に乗っ取られたとしても、アクセス制限により被害を最小限に防ぐことが可能です。
また、認証・認可のポリシーを一元管理可能なため、社内社外など場所を問わずセキュリティレベルを一定に保つことができるため、リモートワークが広まっている現代では重要性が高い構成1つとなります。また、アクセスの分散化やソフトウェアによる制御により遅延の減少やサーバー・ネットワーク機器の負担を減らすことが可能です。

NaaS（Network as a Service）ネットワーク機器がなくてもLAN並みのネットワーク環境をクラウド上に構築できるサービスです。こちらは仮想ネットワーク技術を使用することで実現ができています。
つまり、NaaSを導入すればPCやLAN等があるだけでネットワークを利用ができるということです。SASEのプラットフォームを構築するうえでネットワークを高度化することはとても重要なため、SASEの実現に向け、利用したいパフォーマンスにあわせた最適なネットワークを構築できるNaaSは重要となります。

NaaS（Network as a Service）により実現できること

NaaS（Network as a Service）により実現できることとしては、最適な通信環境を整えることです。
従来のままだとビジネスの場面で重要なデータを引き渡す際に、効率が低下したり接続が不安定だったりすることがあります。NaaSを実現することにより、クラウドプロバイダーへのルーティングを最適化したり、パフォーマンスや可用性を認識できるルーティングの実現が行えたりするため、SASEのモデルに近い形になります。

まとめ

本記事では、クラウド時代に必要なSASEを構成する4つのソリューションを解説してきました。近年、多様なクラウドサービスの普及や、多種多様な通信機器を利用している背景もありSASEを意識することはとても大事になってきています。

またSASEを実現するには本記事で紹介した4つのソリューションの構築が、大事になります。本記事を参考に、自社で使っているサービスやワークセキュリティを見直してみてはいかがでしょうか。