セキュリティ用語の基礎知識クラウド時代のネットワーク・セキュリティ・フレームワーク「SASE」とは
SASEとは「Secure Access Service Edge」の略で、ガートナーが2019年に提唱した「ネットワーク」と「セキュリティ」を包括的に扱うフレームワークです。読み方は「サッシー」や「サシー」が近いかもしれません。
近年、さまざまなネットワークベンダー、セキュリティベンダー、あるいはサービスプロバイダがSASEに関連する製品やサービスといったソリューションを提供しています。
そこで今回はSASEが注目される背景や目的、そして仕組みについて解説します。
SASEの目的と求められる背景
SASEの目的は、「デバイスがどこにあるか」や「ユーザーがどこにいるか」といった物理的なロケーションに依存することなく、最適で安全なネットワークとセキュリティ機能を提供することです。そして、そんなSASEが求められる背景には、ここ数年で急速に多様化した働き方が関係しています。
場所や時間にとらわれない自由な働き方が当たり前となるにつれて、仕事に必要なサービス、アプリケーション、データには常に快適で、安全にアクセスできる環境が求められるようになりました。その一方で、ネットワークのパフォーマンス低下や、セキュリティの一元管理ができないといった新たな課題を抱える企業も急速に増加しています。
たとえばテレワークへの対応として、多くの企業はVPN接続のポイントを増やし、SaaSにもデータセンター経由で(境界の内側から)アクセスすることで安全性を担保しようとしました。しかしその結果、ネットワークに大きな負荷がかかって遅延が発生するケースが急増し、安全性を担保できない危険な経路からSaaSに直接アクセスするユーザーが増えてしまうケースも存在します。
ガートナーはこうした課題に対し、クラウド上でネットワーク機能(Network as a Service)とセキュリティ機能(Network Security as a Service)を統合し、各エッジに必要な機能を提供するSASEというフレームワークを提唱したのです。
働き方の変化に伴って出てきた新たな課題を抱える企業にとって、SASE関連のソリューションは最適だといえるでしょう。ネットワークやセキュリティの性能を向上しつつ管理負荷を低減できるほか、ユーザーの利便性を向上に繋がるからです。
ちなみに「エッジ(Edge)」とは、ネットワークに接続されているすべての機器を指しています。企業内に設置された端末、店舗に置かれたWi-Fi機器、工場のIoTデバイス、サービスプロバイダのアクセスポイントなどネットワークに接続されている機器はすべてエッジに該当します。
SASEの仕組み
基本的にSASEは、クラウド上に構築されたセキュアゲートウェイサービスとして提供されます。すべてのアクセスをクラウドに集約し、ネットワーク全体で一貫したセキュリティポリシーを適用するとともに、柔軟にネットワークトラフィックの負荷を軽減します。
SASEを理解するためには、SASEの機能を理解する必要があります。実際にガートナーが提唱するSASEの機能は非常に多岐に渡っていますが、ここでは中核となるいくつかの機能を紹介していきます。
いずれもSASEが提唱される以前からある仕組みであり、SASEとはこうした既存の優れた仕組みを組み合わせたフレームワークといえるでしょう。
FWaaS(Firewall as a Service)
クラウド上から提供されるファイアウォールです。URL/IPアドレスのフィルタリングだけでなく、IPS(Intrusion Prevention System)やIDS(Intrusion Detection System)による通信の監視や遮断などの機能を提供するものもあります。
SWG(Secure Web Gateway)
暗号化されたWebトラフィックの可視化、アプリケーション制御、サンドボックスなどの防御機能を提供する仕組みです。
CASB(Cloud Access Security Broker)
CASBもガートナーが2012年に提唱したクラウドセキュリティフレームワークです。複数のデータセンターやクラウド間に単一のコントロールポイントを設け、すべてのアクセスをこのコントロールポイントに集約して一元的にコントロールします。
ZTNA(Zero Trust Network Access)
ZTNAは「Zero Trust」という名前が示すように、「全てのネットワークアクセスを信頼しない」という前提のもとにセキュリティの考え方です。ZTNAでは、アプリケーションやデータをネットワークから完全に分離させ、承認されたユーザーのみがアクセスできるようにします。仮にいずれかのアカウントが乗っ取られても、被害はそのユーザーがアクセス可能なアプリケーションやデータのみに留めることが可能です。
ZTNAでは、ネットワークそのものを信頼していないため、VPNのような「信頼されたネットワーク」を必要としません。
SD-WAN(Software-Defined Wide Area Network)
SD-WANは、「Software Defined」つまりソフトウェアでネットワーク全体を管理するという考え方です。プラットフォームに依存することなく、アプリケーション、データ、デバイス、ユーザーを識別し、ポリシーに沿ってすべてのネットワークトラフィックを管理します。
SASEとゼロトラストの関係
SASEと一緒に話題にされることが多いのは、やはり「ゼロトラスト」です。ゼロトラストはすべてのアクセスを「信頼できないもの」として扱うセキュリティの考え方ですが、SASEの主要機能にZTNA(Zero Trust Network Access)が含まれていることからも分かるように、SASEはゼロトラストの考え方に沿って具体的なセキュリティ機能の仕組みを提供するフレームワークであるともいえます。
ゼロトラストの環境下では、承認されたユーザーだけがアプリケーションやデータにアクセスすることができます。ユーザーの認証や認可といったアイデンティティ管理、アクセス制御や防御機能などが不可欠です。そのため、SASEではZTNAだけでなくSWGやCASBといったセキュリティ機能と密接に組み合わせることで、最適化されたゼロトラストセキュリティの環境を実現します。
なお、CASBはSASEに先立って2012年にガートナーが提唱したセキュリティの仕組みであるため、SASEとCASBは何が違うのかという声をよく耳にします。しかし、この二つは異なる仕組みではありません。前述したようにCASBもSASEの中核機能の一つであり、ゼロトラストネットワークを実現するために必要なセキュリティ機能であることも覚えておきましょう。
今後、SASEに新しい構成要素が追加される可能性もあります。あるいは、SASE ではない別のフレームワークが提唱されるかもしれません。実際、1つのベンダーでSASEのすべてをカバーすることは難しいため、最近ではガートナーでもCASB、SWG、ZTNAという3つの要素のみ提供するSSEというキーワードを使い始めています。
いずれにしても、SASEのすべての仕組みを一気に導入する必要はありません。ゼロトラストの考え方に沿ったフレームワークの中で、困っていることを段階的に解決していくことができるのもSASEのポイントと言えるでしょう。
まとめ
・SASEはネットワークとセキュリティ機能を包括的に提供するフレームワーク
・SASEはクラウド上のセキュアゲートウェイとして提供される
・SASEはゼロトラストの考え方に沿った仕組み