近年、ネットワークセキュリティの分野でSASE（Secure Access Service Edgeの略、読み方：サシ―）を耳にする機会が増えました。2019年、米調査会社Gartner社が発表した新しいセキュリティ概念です。ゼロトラストとも関係が深い概念であり、理解が簡単ではないものになります。そこで、本記事では、SASEの概要から具体的な製品導入の流れについてまでをわかりやすく解説します。

ゼロトラストについてはこちらの記事をご覧ください。
「ゼロトラストモデルとは」

※2021年7月20日に公開した記事を再編集しております。

SASE誕生の背景

まずは、SASEがなぜ誕生したのかという点について解説いたします。
近年、モバイル化やインターネットの普及、テレワークの推進などにより、オフィスだけでなく、自宅やサテライトオフィスなどから業務を行うことが増加しました。そのような状況では、従来のネットワーク構成では限界を迎えていました。

そこで、各個人の自由な働き方に合わせた快適なインターネット接続を実現させるため、ネットワーク機能とセキュリティ機能を組み合わせ、1つの製品としてSASEを提供しております。このような概念を、米調査会社Gartner社が2019年に提唱しました。

従来構成の問題点

それでは、従来構成の問題点はどういった部分にあるのでしょうか。機能別に見ていきましょう。

ネットワーク機能の例

従来のWAN（ネットワーク機能）では、クラウドへの接続時にすべての通信が本社データセンターを経由することになります。その結果、クラウド利用が増大した現在、回線容量の圧迫といった問題が顕在化することになりました。

VPN回線が逼迫する問題については、こちらの記事をご覧ください。
「VPNが遅い原因とは？その対策などもご紹介！」

セキュリティ機能の例

従来のVPN（セキュリティ機能）では、VPNゲートウェイを通じて安全に境界線の内側のリソースへとアクセスする、という考え方が適用されています。しかし、ゲートウェイを攻撃され、一度突破を許すと、境界線内のリソース全てがリスクにさらされてしまいます。

VPNへの攻撃、ランサムウェア感染については、こちらの記事をご覧ください。
「ランサムウェアとは？VPNからの感染を防ぐ方法も解説」

SASEの構成要素について

SASEの構成要素はネットワーク機能、セキュリティ機能の2つに分かれています。それぞれについて見ていきましょう。

ネットワーク機能

• SD-WAN（Software-Defined WAN：ソフトウェア定義のWAN）
• WAN Optimization（WAN最適化）

ネットワークをソフトウェアで制御する技術をWANに適用し、拠点間接続やクラウド接続などにおいて、柔軟なネットワーク構成や経路の最適化などを実現しています。
例えば、SD-WANを活用すると、「支社Aからのクラウド接続の際は、本社データセンターを介さず直接クラウドへと通信を許可する」というような、細かい制御を行うことで、トラフィックの一極集中を回避し、ユーザーの利便性を向上させることができます。

セキュリティ機能

• SWG（Secure Web Gateway：WEB通信の可視化、アクセス制御）
• CASB（Cloud Access Security Broker：クラウドの利用状況の可視化、操作制御）
• ZTNA（Zero Trust Network Access：プライベートネットワークへのアクセス制御）
• Threat Detection（脅威検知：異常行動やマルウェア検知など）

アクセス制御や脅威の検知など、セキュリティ機能を構成しています。
アクセス制御とは、ユーザーがリソースに対して通信を行う際に、IDやパスワードを要求することで身元確認（認証）を行い、身元に応じてアクセス先であるリソースへ認可を行うことを意味します。

認証と認可については、こちらの記事をご覧ください。
「認証と認可の違いとは｜セキュリティの強化について説明」

アクセス制御範囲の違い

セキュリティ機能のSWG・CASB・ZTNAはどれも、通信状況の可視化やアクセス制御がベースとなっている点で共通しています。
このアクセス制御を基本的な機能とするSWG・CASB・ZTNAの違いは、ずばりアクセス先にあります。つまり、保護対象とするリソースが異なり、それをもとに分類できます。SWGは一般的なWebサービス、CASBはSaaS等のクラウドサービス、ZTNAはオンプレシステムや自社管理の情報資産を保護対象としています。

ZTNAについてはこちらの記事をご覧ください。
「ZTNAとはなにか？概要からユースケースまで解説」

VPNからZTNAへの移行

ZTNAの役割は、従来、リモートアクセスVPNが担っていました。しかし、近年、自社管理の情報資産がパブリッククラウドやプライベートクラウドへと分散配置されるにつれて、社内に設置されたVPN経由でそれらへアクセスすることの非効率さが問題となってきています。また前述の通り、VPNゲートウェイを突破されることによるリスクの大きさも指摘されています。そこで、VPNに代わってこれらの問題を解決するZTNAという機能・考え方が登場しました。

図1・2のように、トラフィック量の増加や情報資産のクラウドへの移行に伴い、リモートアクセスの面では、従来のVPNからZTNAに基づくゼロトラスト型のセキュリティ対策への移行が進んでいます。
SASEに即したセキュリティ環境の構築とは、SASEの構成要素の1つとして例示したリモートアクセスにおけるZTNA型（ゼロトラスト型）の対策の導入のように、クラウドの利用増加やトラフィック量の増加という変化に合わせて、適切なソリューションを導入していくべきでしょう。

ZTNAの一種であるIAPの詳細は、こちらの記事をご覧ください。
「IAPとは？VPNと比較しつつ、メリットを解説」

SASEの概念に基づいた製品の導入手順とは

SASEを提唱したGartner社が公表したレポートでは、ZTNAを「Start here」（ここから着手する）、SWGやCASBを「Expand here」（この領域を拡張する）と位置付けています。また、同レポートでは、「既存ファイアウォールやVPNの終了に伴ってZTNAを即時に展開するとよい」と記述されています。
そのため、まずは、ZTNAを導入し、従来の自社管理の情報資産を対象としてセキュリティ対策を講じるのが良いでしょう。その後、SWGやCASBを導入し、順にSaaS等のクラウド上の情報資産への対策に拡大していくことが推奨されています。

まとめ

SASEやゼロトラスト型のセキュリティ環境の構築には、技術とノウハウを備えたインテグレーターを活用することが重要です。かもめエンジニアリングでは、SASEの構成要素として不可欠なZTNAの機能を有するサービスKeygatewayC1を扱っております。また、弊社は豊富な実績とノウハウで、主にネットワークセキュリティや認証分野の製品導入をお手伝いしてきました。簡単なご相談からでも歓迎しておりますので、ぜひ下記フォームよりお問い合わせください。