本記事では、近年ネットワークセキュリティの分野でよく耳にするSASE(読み方：サシ―)について、その概要から具体的な製品導入の流れについてまで解説致します。

1.SASEとは

SASEとは、Secure Access Service Edgeと呼ばれ、あらゆる場所に存在するデバイスから、SaaSやIaaSへと移行したリソースへと接続する上での、ネットワーク機能とセキュリティ機能の理想のアーキテクチャのことを指します。

例えば、従来のWAN（ネットワーク機能）では、クラウドへの接続の際にすべての通信が本社データセンターを経由することになります。その結果、クラウド利用が増大した現在、回線容量の圧迫といった問題が顕在化することになりました。そこでSASEにて推奨されているSD-WAN(ネットワーク機能)では、支社Aからのクラウド接続の際は、本社データセンターを介さず直接クラウドへと通信を許可する、といったように細かな制御をおこなうことで、トラフィックの一極集中を回避し、ユーザーの利便性を向上させることができます。

また、従来のVPN(セキュリティ機能)では、VPNゲートウェイを通じて安全に境界線の内側のリソースへとアクセスする、という考え方が適用されています。しかし、ゲートウェイを攻撃され一度突破を許すと、境界線の内側のリソース全てがリスクにさらされてしまいます。そこでSASEにて新たに提唱されているZTNA（セキュリティ機能）では、ユーザーが特定のリソースへとアクセスする度にユーザーのチェック（認証）と接続先リソースへの許可（認可）を行うため、認証を突破された際の被害を接続先リソースのみに留めることができます。あらゆる場所からのアクセスを想定し、アクセス単位で認証・認可を行うことで、セキュリティを向上させることができます。

2.SASEの構成要素について

 SASEの構成要素は主に以下のようになっています。

【ネットワーク機能】

・SD-WAN（Software-Defined WAN：ソフトウェア定義のWAN）

・WAN Optimization（WAN最適化）

・CDN（コンテンツ配信ネットワーク）　　

【セキュリティ機能】

・SWG（Secure Web Gateway：WEB通信の可視化、アクセス制御）　

・CASB（Cloud Access Security Broker：クラウドの利用状況の可視化、操作制御）

・ZTNA（Zero Trust Network Access:プライベートネットワークへのアクセス制御）

・Threat Detection（脅威検知：異常行動やマルウェア検知など）

セキュリティ機能のSWG,CASB,ZTNAについてはどれも、通信状況の可視化やアクセス制御がベースとなっている点では共通しています。アクセス制御とは、ユーザーがリソースに対して通信を行う際に、IDやパスワードを要求することで身元確認を行い、身元に応じてアクセス先であるリソースへ許可を行うことを意味します。それでは、このアクセス制御を基本的な機能とするSWG,CASB,ZTNAの違いは一体何でしょうか？これはアクセス先、つまり保護対象とするリソースの違いをもとに分類することができます。

SWGは一般的なWebサービス、CASBはSaaS等のクラウドサービス、ZTNAはオンプレシステムや自社管理の情報資産をそれぞれ保護対象とします。ZTNAの役割については、従来はリモートアクセスVPNが担っていましたが、近年、自社管理の情報資産がパブリッククラウドやプライベートクラウドへと分散配置されるにつれて、社内に設置されたVPNゲートウェイ経由でそれらへアクセスすることの非効率さが問題となってきています。また冒頭でも触れた通り、VPNゲートウェイを突破されることによるリスクの大きさも指摘されています。そこで、VPNに代わってこれらの問題を解決するZTNAという機能ないしは考え方が登場しました。

図1,2のように、トラフィック量の増加や情報資産のクラウドへの移行に伴い、リモートアクセスの面では、従来のVPNを利用した形式からZTNAに基づくゼロトラスト型のセキュリティ対策への移行が進んでいます。

SASEに即したセキュリティ環境の構築とは、SASEの構成要素の1つとして例示したリモートアクセスにおけるZTNA型（ゼロトラスト型）の対策の導入のように、クラウドの利用増加やトラフィック量の増加という変化に合わせて、適切なソリューションを導入していくことだといえます。

3.SASEに基づいたセキュリティ環境構築の際の、各製品の導入手順について

SASEを提唱したGartner社が公表したレポートでは、ZTNAを「Start here」（ここから着手する）、SWG,CASBを「Expand here」（この領域を拡張する）と位置付けています。同レポートでは、「既存ファイアウォールやVPNの終了に伴ってZTNAを即時に展開するとよい」と回答しており、まずは従来の自社管理の情報資産を対象としてセキュリティ対策を講じ、順にSaaS等のクラウド上の情報資産の対策へと拡大していくことが推奨されています。

私どもかもめエンジニアリングでは、SASEの構成要素として不可欠なZTNAの機能を有するサービスとして、「Keygateway」を扱っております。

ZTNAの機能を有するゼロトラスト接続サービスについて詳しくはこちら「Keygateway」

SASEやゼロトラスト型のセキュリティ環境の構築には、技術とノウハウを備えたインテグレータを活用することが重要です。かもめエンジニアリングは豊富な実績とノウハウで、主にネットワークセキュリティや認証分野の製品導入をお手伝いしています。簡単なご相談からでも歓迎しておりますので、以下からお問い合わせください。

参考：

• SASEとは？オールインワン製品でDX推進に向けた効率的なセキュリティ投資を！（外部サイト）