SASEとは?概念や仕組み・メリットを解説|サイバーセキュリティ.com

SASEとは?概念や仕組み・メリットを解説



クラウドサービスの活用により、多くの企業で在宅ワークの導入が進んでいます。一方で、情報管理やセキュリティ面の課題を抱え、そもそもクラウド活用に踏み切れない企業も存在します。

「SASE(サシー:Secure Access Service Edge)」は、クラウド利用の課題を解決するネットワークとセキュリティのフレームワークです。この記事では、SASEの概要と導入のメリットについて解説します。

SASE(Secure Access Service Edge)とは

SASEとは、SD-WANなどの「ネットワーク機能」とSWGやCASBなどの「セキュリティ機能」をまとめて提供するクラウドサービスです。テレワーク環境に最適化した利便性・安全性を実現させる手段として提唱されました。

企業のIT環境の変化に対応する「SASE」

これまで企業のネットワーク環境は、社内ユーザーのみが使うVPNやWAN回線などが主流でした。セキュリティ機能もネットワークの境界に設置しており、企業のIT環境はシンプルな構成だったと言えます。

しかし、近年はSaaSなどのクラウドサービス普及により、一般ユーザーも使う「インターネットの利用」が当然の時代となりました。テレワークの導入によって、社内ネットワークへアクセスするPC・スマートフォンなどのエンドポイントも多様化しています。つまり、クラウドサービスと端末などの利用増加に伴い、必要なネットワークとセキュリティ機能も増えて乱立しているわけです。

こうした乱立状態は、セキュリティリスクや管理コストの増大、通信パフォーマンスの悪化といった問題を生みました。問題の解決手段として、1つのプラットフォームにネットワーク・セキュリティ機能を集約するSASEが求められています。

SASEとゼロトラストとの違い

SASEとよく混同される言葉に「ゼロトラスト」があります。ゼロトラストとは、「信用できる通信はない」と前提して構築するセキュリティの概念です。従来のセキュリティ対策は「安全な内側(社内ネットワーク)」と「危険な外側(インターネット)」とする境界防御に基づいていました。ところが、クラウド利用やテレワークの導入が進み、境界が曖昧になりつつあります。

そこで提唱されたのが、全ての通信の安全性を検証するゼロトラストの考えです。ゼロトラストが概念であるのに対し、SASEはゼロトラストを実現する具体的なサービスを指します。

SASEの仕組み

SASEが目指すのは「デバイスや利用者のロケーションに依存しないセキュリティを提供する仕組み」です。SASEはネットワーク機能とセキュリティ機能をクラウド上で統合し、必要な機能をまとめて提供します。これによりデバイスやエッジの数が増えても、一貫したセキュリティポリシーを適用でき、パフォーマンス低下を起こさずにサービスを提供できます。

SASEが必要とされる背景

Microsoft 365やGoogle WorkspaceなどのSaaSを導入している企業は多く、スマートフォンやタブレットの業務利用も進んでいます。業務で使われているアプリケーションやデバイスの増加に対して、それらを支えるネットワークのバックボーンやセキュリティは現状では十分に応えられていません。

クラウド移行によるリスク増加

これまで企業のネットワークは、トラフィックを一旦データセンターに集約し、目的の場所に分散させる設計で運用されてきました。つまりデータセンターの外部は危険であり、内部だけ保護すれば安心というポリシーです。しかしアプリケーションがクラウドに移行する中で、従来のデータセンター集約型の運用とは異なる課題も見えてきました。

たとえばクラウドアプリケーションをデータセンター経由で利用する場合、アプリケーションごとに異なるポリシーを適用させなくてはいけません。管理コストやネットワーク帯域の増加、遅延の発生といった問題が生じます。

従来型運用の弊害

また、海外から日本国内のデータセンターにアクセスしようとしても、セキュリティのコントロールがうまく働かずアクセスできないケースも存在します。これは従来型のネットワークとセキュリティの運用による弊害です。

このようにクラウドを活用しようにも、従来型のネットワークとセキュリティの運用では、十分に活用しきれない現状があります。そのため、まずはネットワークとセキュリティ機能をクラウド上に集約し、それからエッジに提供するSASEの考え方が必要とされています。

SASEのメリット

SASEを導入する具体的なメリットを5つ紹介します。

クラウド・オンプレミスで同様のポリシーを適用できる

オンプレミスは、社内ネットワーク内でアプリケーションやデータを管理します。カスタマイズの自由度が高く、柔軟なポリシーの設定が可能です。一方、クラウドはさまざまなアプリケーションが主にSaaSとして提供されています。包括的に管理されておらず、適用ポリシーもバラバラです。

SASEは、クラウド・オンプレミスにかかわらず全てのシステムへのアクセスを一元管理します。これまでバラバラだったクラウドのポリシーも、オンプレミスと同様のポリシーを適用できるわけです。

テレワークなどのアクセス遅延が低減しパフォーマンスが向上する

集中管理型のネットワーク構成は、社内ネットワークのクラウド化によりトラフィック(通信量)が増加しがちです。トラフィックの増加は、通信遅延を招きます。また、地方拠点やスマートフォン・タブレットからのアクセスにより、WANやVPNの回線も圧迫します。

クラウドを包括的に管理するSASEを導入すれば、集中管理型のネットワーク構成で発生しがちなアクセス遅延の低減が可能です。結果的に、通信パフォーマンスの向上に繋がります。

オンプレミス機器が不要となりコスト削減

SASEはクラウドを活用するため、社内ネットワークで必要となるオンプレミス機器が不要です。オンプレミスにおけるスケールアップやスケールアウトもクラウドなら自動化できるため、コストの大幅な削減が期待できます。

一元管理による情報システムの負荷削減

SASEの導入により、ネットワークとセキュリティの一元管理が可能です。クラウド利用が普及した現代、従業員は外出先から多様なデバイスで社内データにアクセスします。各ユーザーのデバイスも含めたセキュリティ機能が必要となり、システムの負荷増大の一因となっています。

SASEは1つのクラウドからセキュリティ機能を提供する仕組みです。セキュリティ機能の一元管理により、情報システムの負荷削減を実現できます。

セキュリティ対策の強化

SASEは、セキュリティ対策の強化にも繋がります。SASEの導入後は、エンドポイントから各システムへの全アクセスはSASEを経由します。クラウドサービスや社内システムに接続する際は、SASEの統一された認証をクリアしなければいけません。そのため、社内ネットワークの外にあるクラウドサービスへの不正侵入も防ぎやすくなるわけです。

各システムへのログイン状況も監視することで、万一のサイバー攻撃にも迅速に対処できます。サイバー攻撃による情報漏えいは、市場 からの評価低下など多くの二次被害を招くため、SASEによる予防が効果的です。

よくある質問

SASEとCASBの違いは何ですか?

「CASB(キャスビー)」は、ユーザーとクラウドプロバイダの間に単一のコントロールポイントを設け、クラウド利用の可視化や制御を行うソリューションです。「Cloud Access Security Broker」の略称で、2012年にGartner社によって提唱されました。

クラウドのセキュリティ強化を目的としており、すでにさまざまな製品の機能として提供されています。CASBは、SASEの「セキュリティ機能」を構成する手段の1つです。SASEの中核機能の1つとしてCASBが提供されている製品もあります。

SASEとDLPの違いは何ですか?

「DLP」とは「Data Loss Prevention」の略語で、機密情報や重要データの紛失・流出を防ぐシステムです。特定の情報を常に監視し、情報を外部に送信しようとしたり、USBメモリにコピーして持ち出そうとすると警告や動作拒否を行います。DLPは情報漏えい防止を目的としており、CASBと同様にSASEに含まれるセキュリティ機能の1つにすぎません。

まとめ

働き方の多様化やテレワークの普及にともない、安全かつ便利にクラウドを活用できる仕組みが求められています。SASEはこれからのクラウドの活用に必要なものとなるでしょう。2022年現在、SASEの考え方を取り入れた製品がいくつか登場しており、今後のさらなる製品開発と普及が期待されます。


SNSでもご購読できます。