SASEとは？ネットワーク×セキュリティの新フレームワーク

SASE（Secure Access Service Edge/サシー、サッシーと読みます。）は、2019年にガートナー社によって提唱されました。ネットワークサービスとセキュリティサービスを統合した、クラウド時代の新しいアーキテクチャです。従来のアプローチは、ネットワークとセキュリティ対策は別々に管理され、それぞれが異なるベンダーから提供されることが一般的でした。また、単一課題に対して、単一のサービスで対応していくケースも多くありました。

こういった時代を過ぎる中で、エンタープライズネットワークは複雑化し、さまざまな課題が出てくるようになりました。例えば、複数ベンダーのサービスが混在することによる管理や運用における負担の増加、ユーザーの利便性低下などを引き起こしたのです。さらに、オンプレミスシステムが中心だった境界型のネットワークから、クラウドの普及やモバイルワーカーの増加が顕著な現代のビジネス環境では、さまざまな場所からネットワークを利用するようになり、このような複雑な運用にはさまざまな問題が発生するようになりました。運用の複雑さ、ユーザーの利便性低下、それに伴うサポート、運用コストの増加、リプレースの困難さなどです。そのため、このような課題を解決する方法としてネットワークとセキュリティを統合したSASEが求められるようになっています。SASEは、ゼロトラストを実現するための手法の一つです。

SASEとは？

SASE（Secure Access Service Edge）は、ガートナーが提唱したネットワークとセキュリティを統合したフレームワークです。SASEを構成する要素としては、SD-WAN、CASB、SWG、FWaaSなど複数の機能を組み合わせて実現されることが多くありますが、これだけの機能を搭載すればSASEであるという定義はありません。SASEとは、統合フレームワークの概念であり、特定の機能や構成を意味するものではないからです。

ここからは、主にSASEを構成するいくつかの技術・機能について紹介します。

SD-WAN～SASE構成要素①～

SD-WANとは、Software Defined Wide Area Networkの略で、ワイドエリアネットワーク（WAN）をソフトウェアで構成・制御する技術です。SD-WANは、複数の通信回線やサービスを仮想的に束ねて、最適な経路を動的に選択することなど可能です。これにより、従来のMPLS（Multi-Protocol Label Switching）などの専用回線に頼らずに、高品質で低コストなWAN（Wide Area Network）を実現することが可能になります。また、SD-WANは、中央の管理コンソールからポリシーベースでネットワークの設定や監視を行うことができるようになり、ネットワークの運用が簡素化され、構成変更などの際にも柔軟な運用が可能となります。

CASB～SASE構成要素②～

CASBとは、Cloud Access Security Broker（クラウドアクセスセキュリティブローカー）の略で、企業が利用するさまざまなクラウドサービスに対して、一元的にセキュリティ管理を行う仲介者のような役割を果たすものです。

例えば、社員が自分のパソコンやスマホから、企業の許可を得ずに勝手に使っているクラウドサービス（シャドーITと呼ばれます）があったとします。この場合、社内ネットワークに流れるトラフィックを監視して、どのようなクラウドサービスにアクセスしているかを把握し、必要に応じてブロックしたり警告したりすることができます。また、クラウドサービスに保存されているデータに対して、暗号化やデータ損失防止（DLP）などのセキュリティ対策を施すこともできます。CASBは、SASEの構成要素の一つとして、クラウドサービス利用時の可視化や制御を行い、データの安全性を確保する役割を果たします。

SWG～SASE構成要素③～

SWGとは、Secure Web Gateway（セキュアウェブゲートウェイ）の略で、インターネットに接続する際に、ユーザーを悪意のあるウェブサイトやアプリケーションから守るためのセキュリティソリューションです。

例えば、ウイルスに感染したウェブサイトやフィッシング詐欺のメールに誘導されるのを防いだり、企業のコンプライアンスに違反するようなウェブサイトやアプリケーションへのアクセスを制限したりすることができます。これにより、標的型攻撃のような悪意のあるリンクをクリックした際に、危険なサイトに誘導されるような事故を防止できます。

FWaaS～SASE構成要素④～

FWaaSとは、Firewall as a Service（ファイアウォール・アズ・ア・サービス）の略で、クラウド上に展開された仮想的なファイアウォールを利用してネットワークのセキュリティを強化するサービスです。FWaaSでは、クラウド上にファイアウォールの機能を持つゲートウェイを設置し、そこを通るすべてのトラフィックをチェックします。FWaaSは、クラウドでホストされるため、運用や、保守、更新などはベンダーによって行われるため、ユーザー自身による対応が不要となることで、導入費用や運用費用を抑えることが可能になります。また、テレワークユーザーなどをホストすることによって、一貫したセキュリティポリシーを適用することが可能になり、様々な場所からのインターネットアクセスを保護することが可能になります。

異なる種類のSASEサービス

これまで、SASEを構成するいくつかの機能を紹介しましたが、これらすべての機能を保有することが必須ではありません。あくまでもSASEはフレームワークであることを覚えておきましょう。

ゲートウェイ型のSASE

ゲートウェイ型のSASEは、主にクラウドベースのサービスとして提供され、ユーザーのエンドポイントとクラウドベースのセキュリティインフラの間に置かれるセキュリティゲートウェイです。このゲートウェイは、トラフィックのフィルタリング、セキュリティポリシーの適用、マルウェアの検出などを行います。

エッジ型のSASE

エッジ型のSASEは、ユーザーのエンドポイントに最も近い場所にセキュリティ機能を配置します。この構成では、トラフィックの遅延を最小限に抑えつつ、セキュリティを提供します。エッジ型のSASEでは、ゼロトラストモデルを支える認証、アクセス制御、マイクロセグメンテーションなどの機能が含まれるケースもあります。

DNSセキュリティ型のSASE

一部のベンダーは、DNSセキュリティを中心としたSASEサービスを提供しています。DNSセキュリティは、DNSの名前解決を利用して悪意のあるトラフィックをブロックし、セキュリティを強化します。これには、DNSフィルタリング、DNS暗号化、DNSセキュアトランザクション（DNSSEC）などの技術が含まれます。

すべてのSASEサービスは、セキュリティとネットワークの機能を統合し、クラウドネイティブなアーキテクチャを採用しています。また、ゼロトラストモデルの原則に基づいて設計されており、ユーザー、デバイス、アプリケーションの認証とアクセス制御を強化します。このような仕組みにより、様々な場所からのネットワークアクセスを安全に行えるようになり、ゼロトラストセキュリティの実現が可能になります。

そのため、厳密な定義を当てはめるのではなく、広い意味でのSASEのコンセプトとして理解することが重要です。

SASEを導入するメリットとは？

セキュリティとネットワークの統合

SASEは、従来分離され運用されていたセキュリティとネットワークの機能を統合します。これにより、ユーザーは単一のプラットフォームでネットワークとセキュリティポリシーを適用し、管理することができます。この統合によって管理の簡素化とセキュリティの一貫性を実現することが可能になります。

ゼロトラストモデルの採用

SASEはゼロトラストの概念に含まれる重要な要素です。信頼されていないネットワーク上で動作するすべてのリソースに対してアクセス制御を実施します。ユーザー、デバイス、アプリケーションの認証とアクセス制御を厳密に行うことで、セキュリティの脅威を最小限に抑えることが可能になります。

クラウドネイティブなアーキテクチャ

SASEの多くは、クラウドを利用した構成をとっています。そのため、様々な場所でユーザーは同じセキュリティレベルを保つことが可能になり、ユーザーは機器のホスティングによる、導入・運用・保守といった作業から解放されるメリットもあります。

ソコワク＋Secure Access Gateway（SAG）

VAIOが提供する「ソコワク」は、従来のVPNと比較し柔軟なネットワーク構成が可能です。企業内回線の過負荷を防止するローカルブレイクアウト/リモートブレイクアウト機能を構成すれば、ネットワークトラフィックを分散し、より快適なネットワーク利用が可能になります。しかし、ブレイクアウトを利用すると、それを利用した通信については、拠点Firewallによるアクセス制御や、ログ収集が難しくなります。そこで、SAGを組み合わせることで、危険なサイトへのアクセスを防止し、認めていないクラウドサービスの利用を制限することで、ネットワーク利用の安全性確保に加え、様々なサイトアクセス状況を可視化することも可能です。

いつも、どこでも、誰でも、PCを使える環境を整えつつ、安全性の確保と、しかるべき監視は行いたい。そういったニーズに最適な組み合わせとなっています。