SASEとは? ネットワークセキュリティ基盤SASEにより安全な通信を実現
企業ネットワークのセキュリティ脅威が高まる中、SASE(Secure Access Service Edge)という新たなフレームワークが注目を集めています。本記事では、SASEの基本概念や主要機能であるSWG、CASB、ZTNA、SD WANについて紹介し、SASE導入のメリットを解説します。
目次
1. ネットワークセキュリティ基盤SASEとは?
SASEとは、これまで別々のサービスとして提供されてきたネットワーク機能とセキュリティ機能をクラウド上で統合し、1つの製品として提供するフレームワークです。合わせて、利便性や運用管理性の向上の実現も可能とします。
1-1. 企業ネットワークを取り巻く課題
近年、企業のネットワークを取り巻く環境は大きく変化しています。企業はオンプレミスの自社データセンターをハブとしたネットワーク構成をとっていることが多く、拠点からの通信やリモートアクセスでVPN接続するユーザもすべて、データセンターを経由しています。そのため、VPN機器にボトルネックが発生し、データセンターのネットワーク負荷が高くなることで、パフォーマンスの低下が余儀なくされています。
また、社外のクラウドサービスを利用するニーズも格段に増加しており、クラウドサービスへのアクセス遅延やセキュリティ対策の複雑化、運用管理コストの増加といった課題も生じています。
これらの課題に対し、SASEというセキュリティフレームワークが生まれました。
1-2. SASEのEdgeとは
SASEという名称に含まれる「エッジ(Edge)」とは、ネットワークに接続する端末を差し、インターネットへの入り口になります。SASEはそれらの接続箇所で多様な技術を組み合わせて、セキュアな通信を包括的に実現するためのアーキテクチャです。
自社データセンターや各拠点、リモートユーザ、インターネット、さまざまなクラウドサービスとの通信において分散している重要なデータを保護し、ユーザが任意のデバイスでどこからでも安全にアプリケーションに接続するために、極めて重要なセキュリティフレームワークです。
このSASEを活用することで、オンプレミスとクラウドサービスを利用した業務システムを保護すると同時に、通信品質を確保しつつ、アクセスする端末の安全性を高めるという役割を担います。
2. SASEを構成する主要機能
SASE導入においては、セキュリティやネットワークの多様な技術要素をベースにした機能を組み合わせて活用します。
ここではSASEを構成する要素のうち、セキュリティ面の中核機能として、SWG、CASB、ZTNAを説明します。
2-1. SWG(Secure Web Gateway:セキュアウェブゲートウェイ)
SWGは、Webブラウジングに関するセキュリティを強化するための機能を提供します。Webサイトやクラウドサービスとユーザの端末との間で、やり取りするデータをチェックし、不正なWebサイトへのアクセスをブロックしたり、マルウェア感染を防止したりすることを可能とします。
SWGの主な機能として、以下のようなものがあります。
- URLフィルタリング:不正なWebサイトへのアクセスを制限するため、事前にブラックリストやホワイトリストを設定し、Webサイトのアクセスを制御する
- アンチウイルススキャン:Webサイトへのアクセス時に、ウイルスやマルウェアを検知し、遮断する
- SSL/TLSプロキシ:HTTPS暗号化通信を復号化し、内部でセキュリティスキャンを行うことで、マルウェア感染などを防止する
- アプリケーション制御:Webアプリケーションへのアクセスを制御することで、企業のポリシーに違反するアクセスをブロックする
2-2. CASB(Cloud Access Security Broker:クラウドアクセスセキュリティブローカー)
CASBは、SaaSクラウドサービスを利用する際のセキュリティを提供する機能です。企業として許可していないクラウドサービスへのアクセス(シャドーIT)は、厳密に制御する必要があります。また、許可しているクラウドサービスであっても、データ漏洩やアカウントの不正使用などは防止しなければなりません。CASBは、クラウドサービスへのアクセスを管理し、データの保護、アカウントの管理、コンプライアンスを実現します。
CASBの主な機能として、以下のようなものがあります。
- クラウドサービスの利用状況やリスクレベルを可視化し、監査する
- クラウドサービスごとにポリシーを設定し、アクセス権限やデータ保護などを制御する
- クラウドサービス間のデータ移動や共有を検知し、情報漏えいや不正利用を防ぐ
2-3. ZTNA(Zero Trust Network Access: ゼロトラストネットワークアクセス)
ZTNAとは、ユーザーやデバイスが企業ネットワークに接続する前に、認証や認可、暗号化などのセキュリティ要件を厳密に検証する機能です。
従来の VPNのようなネットワーク接続方式ではなく、特定のアプリケーションやサービスに直接アクセスし、より細かで安全なセキュリティ制御を可能とします。
ZTNAの主な機能として、以下のようなものがあります。
- ユーザーやデバイス単位での認証を行い、最小限のアクセス権限を付与する
- アプリケーションレベルでアクセスを制御する
- アプリケーションやリソースをインターネットに公開せず、暗号化されたトンネルで接続する
2-4. SASEとゼロトラストとの違い
ここで「SASE」と「ゼロトラスト」の違いを整理しておきましょう。
SASEは、ネットワーク機能とセキュリティ機能をクラウドで提供するフレームワークであり、SWG、CASB、ZTNAなどの主要機能で構成されています。
一方、ゼロトラストとは、すべてのアクセスを信頼しないという前提でセキュリティ対策を行うべき、というアーキテクチャのことです。認証を受けたユーザやデバイスだけが、認可済みアプリケーションにアクセス可能となる、というのがゼロトラストの基本概念です。
つまり、ゼロトラストという大きなセキュリティ上の概念があり、そのうえで具体的でリアルな機能を提供できるフレームワークとしてSASEが位置付いている、と言えます。
ゼロトラストについてさらに詳しく解説したブログもございますので、是非合わせてご一読ください。
3. SD WANのメリットとSASEとの親和性
SASE のネットワーク機能に該当するSD WAN(Software Defined Wide Area Network)を合わせて導入することで、SASEの効果を最大化することが可能となります。
SD WANは、ソフトウェアを使って仮想的なWAN(Wide Area Network)をソフトウェアによって一元で制御・管理することで、本社や支社など離れたところにある複数の拠点を接続する技術です。拠点間の通信を最適化することで、ビジネスの生産性向上にも貢献します。
SD WANとSASEを組み合わせて導入することで、ネットワークアクセスのトラフィックを最適化し、セキュリティ機能を強化することができます。本項ではSD WANのメリットについて説明していますので、SASEの効果を最大化するため、SD WAN活用も併せてご検討ください。
3-1. 拠点回線やルータの運用管理性向上
従来のWANでは、拠点回線やルータの設定・管理が複雑で、多大な人的リソースを必要としていました。しかし、SD WANを導入することで、一元管理による効率化が実現でき、運用管理にかかるコストを削減することができます。
3-2. WANトラフィックの最適化
SD WANは、複数の回線を併用し、優先度の高いトラフィックの制御やネットワーク負荷を最適化することができます。これにより、回線を効率的に利用し、高速・安定な通信を実現します。
3-3. クラウド接続の最適化(ローカルブレイクアウト)
企業が利用するクラウドサービスは、通常インターネット上に配置されています。しかし、従来のWANでは、拠点とデータセンターをつなぐ回線を経由してアクセスするため、遅延や通信ボトルネックが発生することがあります。各拠点から直接SaaSやクラウドサービスにアクセスするローカルブレイクアウトを活用することで、遅延の軽減や通信ボトルネックの解消が期待できます。
以下ブログではSD WANについてさらに詳しく解説していますので、ぜひ併せてご一読ください。
4. SASE導入のメリット
SASEは、セキュリティとネットワークをクラウドで一元管理するアーキテクチャですが、導入することで企業はどのようなメリットを受けることができるのでしょうか。
4-1. セキュリティ向上
SASEを導入するということは、最新のセキュリティ技術を常に適用するということを意味します。これは、セキュリティリスクを大幅に軽減することにつながります。つまり、クラウドサービスの脅威に対して、リアルタイムで対応できるということであり、セキュリティインシデントの削減に効果を発揮するでしょう。
4-2. クラウドサービスに対する利便性向上
SASEは、SD WANと組み合わせることで、ローカルブレイクアウトによる高速なクラウドサービスへのアクセスを実現できます。データセンター一極集中による通信速度低下の状態を避け、データセンターを経由せず直接クラウドサービスにアクセスするため、速度向上につながり利便性も向上します。
4-3. 運用管理コスト削減
SASEは、すべての機能をクラウド上で提供するため、従来必要だったネットワーク機器の設置や保守管理、更新作業などを軽減します。これにより、運用管理コストはもちろん、インフラの拡張作業や移行処理に伴う手間や時間も、大幅に削減することが可能です。
5. まとめ
ネットワークセキュリティ基盤SASEの導入によって、セキュリティ向上によって、機密情報や個人情報の漏洩、サイバー攻撃による被害を防止することが可能となります。企業は多くのメリットを享受することができます。
さらにSD WANを合わせて活用することで、高速なクラウドサービスへのアクセスと、効率的な帯域確保によるコスト削減を実現でき、業務の効率化や生産性の向上につなげることができるでしょう。
自社のIT環境やセキュリティ要件を理解し、最適な構成を選択することが重要であると言えます。
関連サービス
上記記事で紹介した各種サービス一覧となります。
お客様のご利用用途に合わせた最適なネットワークをご提案いたしますので、ぜひColtへお問合せ下さい。
関連資料
境界線のないセキュリティ対策
本資料では、企業がセキュアアクセスサービスエッジ(SASE)の活用によりデジタル・トランスフォーメーションを進める際、共にプロジェクトを進めるベンダーを一社に絞るシングルベンダー方式、複数のベンダーと提携するマルチベンダー方式のどちらの方法が最適か、それぞれの特長と併せて紹介しています。
お見積りフォーム
フォームより必要事項をご入力いただくことで、お見積りをお出しいたします。お気軽にお問い合わせください。