SASE(サァシィー)とは?進むネットワークセキュリティのサービス化
皆さんこんにちは。長谷川まりです。
コロナ禍で新たに注目され始めたSASE(サァシィー)。これからのセキュリティ対策の新しい選択肢となるのでしょうか?今回はSASEのメリットや機能、特長についてご紹介します。
SASEのメリットと仕組み
SASEとは、「Secure Access Service Edge」とGartnerが定義した、統合的なセキュリティとネットワークの機能を提供するサービスプラットフォームです。SASEの発音はサァシィーで、サッシーだと人気芸能人の愛称になってしまいますのでご注意を!
Secure Access Service Edgeの字面から理解しようとすると、「安全なアクセスをサービスするエッジ」です。このエッジが何なのかイメージしづらいと思うので、まずはエッジコンピューティングにおけるエッジの意味合いを考えてみましょう。例えばAmazonのAlexaは末端のIoTデバイスであるEchoがセンサーとしてデータを集め、クラウドに情報を送信し、計算結果を戻してもらい、Echoからアウトプットします。人間で言えばクラウドは頭脳、IoT機器は手足の関係です。一方で、工場等の生産設備で利用されるセンサー等のIoT機器は大量のリアルタイムデータを扱い、次の作業工程にフィードバックするため、遅延を許容できません。熱い鍋を素手で触った時に脊髄反射で手を引っ込める位のスピード感が求められるため、いちいち脳からの命令を待っていられないわけです。そこで、IoT機器自体に頭脳を持たせたり、データを集約して計算するセンターも工場単位で分散させるなどして、なるべくエッジに処理を寄せたものをエッジコンピューティングと呼びます。
SASEのエッジもこれと同様で、世界各地の拠点ネットワーク内の端末や、テレワーク中のモバイルデバイス、またはIoT機器等を中央の自社データセンターにわざわざ集約して処理するのではなく、エッジ側に一番近いクラウドにブレークアウトさせて処理することで、スピーディに統一的なセキュリティとネットワークサービスを提供します。エッジにあたるクラウドはPOP(Point of Presence)と呼ばれ、POP同士は中枢の頭脳(コントロールプレーン)に接続されており、コントロールプレーンで管理されたポリシーが全世界のPOPに反映されます。大手SASEプロバイダは、POPを世界各地の主要都市に展開しているので、もし世界中に拠点を展開していても、最寄りのPOPで統一されたセキュリティとネットワークのサービスを受けられます。世界に展開するファストフードのチェーン店が、異国でも同じ味で提供してくれるという安心さに、ちょっと似ていますね。
SASEが注目される背景
.png)
SASEの対極にあるのが、現在主流のハブ・アンド・スポーク型です。大型のセキュリティ機器を中央のハブにあたるデータセンターに積み上げ、すべての端末のインターネットに向けたトラフィックを閉域網やVPNを通じて集約させ、統合的なセキュリティを提供するモデルです。一極集中を避けるため、ある程度のユーザー規模の拠点には拠点側にUTMを導入する場合もありますが、セキュリティ機器が分散すればそれだけ管理ポイントが増えてしまうため、どちらも一長一短あると言えます。ハブ・アンド・スポークモデルを採用する組織は、ほぼ漏れなくコロナ禍において下記のような課題を経験したのではないでしょうか。
テレワークの急増でVPNサーバにアクセスが集中し、接続不可や遅延が発生
Web会議やクラウド利用が急増し、VPNサーバとセキュリティ機器の負荷が増大
データセンターのインターネット回線帯域が逼迫
上記の課題に対して、組織の経営層は下記の選択を行いました。
セキュリティポリシーを守り、一時的な生産性低下は許容してセンター側の機器を増強する
情報セキュリティ上のリスクを許容して一部のクラウドサービスへのインターネットブレイクアウト(ローカルブレイクアウト)を実施して快適な業務環境を確保。モバイル端末が支給できない場合はBYOD端末の利用を許可
1.を選択しても、今後再び緊急事態宣言が出て長期的な全社テレワークが実施されたり、別のパンデミックや大災害が起きる恐れもあります。また、オンプレミスからクラウドへのIT資産の移動は進んでいくため、セキュリティ機器だけをデータセンターに残して自社で運用し続ける意義は少なくなっていきます。次の機器更新時にSASEに移行できるよう、今のうちからSASEへのロードマップを作成しておくことをおすすめします。
2.はあくまで一時的な措置なので、早急に適切なセキュリティ水準を回復しなければなりません。一方で、コロナによって強制的に始まった今の働き方はデジタルトランスフォーメーション実現につなげるチャンスでもあります。働き方を元に戻すのではなく、IT活用をさらに進化させ競争力を高めましょう。SASEなら新しいテクノロジーを駆使した働き方とビジネスに適合したセキュリティとネットワークを提供してくれます。
SASEの機能と特長
ではSASEでできることは何でしょう?以下に主要な機能と特徴をご紹介します。
主なセキュリティ機能
機能 | 説明 | ||
SSLインスペクション | SSL/TLSで暗号化された通信をデコードし、後続のセキュリティコンポーネントがスキャン可能な状態にします。 | ||
SWG(セキュアWebゲートウェイ) | WebブラウザやWebアプリケーションによる接続先や、httpの通信に含まれる内容から脅威の度合いをリアルタイムに判断し、接続を制御します。フィッシングメールや標的型メール、またはWebサイトの改ざんによるWebサイト経由のマルウェア感染を防止したり、内部に侵入したマルウェアの不正通信をブロックします。ほぼ全てのSaaSがWebベースでブラウザから利用できるようになっている現在、SWGは必須のアクセスセキュリティと言え、次のような機能が含まれます。 | ||
1 | URL、DNSのレピュテーションによる接続制御 | URLやドメイン名の評判をもとにアクセス制御するWebフィルター | |
2 | URLカテゴリフィルター | URLのカテゴリDBをもとに接続を制御 | |
3 | Webコンテンツの脅威判定 | Webコンテンツ内にクロスサイトスクリプティングなどの攻撃が仕込まれていないか、などの評価をリアルタイムに行い、脅威の度合いを評価してアクセス制御 | |
4 | サンドボックス | Web経由でダウンロードしたファイルの挙動をサンドボックスで検証 | |
5 | ブラウザ・アイソレーション | コンテンツを実行するブラウザをクラウド上に展開し、端末には実行後の画面ストリームや無害なコンテンツを転送して利用すること | |
NGFW(次世代ファイアウォール) | 従来型のネットワークレイヤのFW機能に加え、アプリケーションレベルでの制御機能のほか、アンチウイルス、URLフィルタリングなどのセキュリティ機能をオプションで備えます。 | ||
CASB(Cloud Access Security Broker) | クラウドの利用状況を把握し、セキュリティポリシーに沿った利用ができるようにクラウドでのユーザーの振る舞いに対して様々な制御を実施します。 | ||
コンプライアンスチェック(CSPM) | 個人情報保護法、GDPRなどの域外適用される海外の規制、PCI DSSなどの業界のコンプライアンス、ISMSなどのセキュリティ標準等、社内のセキュリティポリシーにクラウドの利用が準拠しているかを監視し、違反している場合はアラートを上げます。 | ||
SDP(ソフトウェア・ディファインド・ペリメタ) | ボトルネックになりがち、かつ攻撃の入り口にされやすいVPNの代替として、内部ネットワークのアプリケーションやデータへのより安全なアクセスを提供します。 | ||
DLP | 通信データやクラウドストレージに保存されたデータに含まれるクレジットカード番号やマイナンバー番号などの機微情報を発見し、通信をブロックしたり、アラートを上げます。 | ||
上記で上げた機能は、新たなテクノロジーが登場するたびに今後も増えていくと思われます。上記でご紹介していないものを含め、Gartnerの「The Future of Network Security Is in the Cloud」で紹介されていた機能は数えたところ24ありました。
また、SASEは運用面、ネットワークの拡張性という面で、優れた特長があります。
●SASEの特長
無限のキャパシティ
利用量が増えてもキャパシティの制限を気にせず利用できる
機能追加が容易
追加料金を払えば機能追加が容易で、既存のセキュリティとの連動やポリシーの不整合の心配がない
効率的な運用
セキュリティ機能は管理コンソール上で統合的に管理可能。設定対象の漏れや、機能間のポリシーの不整合をなくし、セキュリティ運用の手間を劇的に改善
世界中でポリシーを統一
海外拠点からの接続や、海外出張時にも端末の一番近くにあるエッジに自動で接続し、同じセキュリティポリシーで処理。ガバナンスが強化され、コンプライアンスリスクを大きく低減
快適なクラウド利用
SASEが主要なクラウドサービスとインターネットエクスチェンジ等の拠点において直接・間接的に接続されているため、主要なクラウドに超低遅延で接続可能
ネットワーク監視
端末の属するネットワークから、目的地のネットワークまで、どこにボトルネックが生じているのかを把握でき、的確な対処が可能
帯域制御(QoS)
業務上優先度の高い通信に優遇して帯域を割り当て
まとめ
SASEは、どの拠点においても同じポリシーで、同じセキュリティ機能を安定的に供給できることが期待される次世代のサービスです。コロナ禍での急激な環境変化により、生産性維持とネットワークセキュリティの在り方が問われる中、その命題解決のための選択肢の1つとして注目され始めました。
これまでアプリケーションやデータがクラウド側に移行されてきたように、未来のITは、セキュリティやネットワークもクラウドに移行され、最終的にユーザー側にはデバイスとインターネットに接続するための回線だけになるようなイメージが実現できる時代になりました。今後の動向や実績に、注目していきたいと思います。
この記事を書いたスタッフ
長谷川 まり
長谷川 まり