新型コロナウイルス感染症(COVID-19)の拡大により、多くの組織でテレワークや在宅勤務が行われるようになりました。今後いつまでこの状況が続くか見えない中で、働き方改革を推進し、テレワークや在宅勤務を整備・制度化し、長期的な利用に踏み切る企業もますます増えてきているようです。
皆様の企業でも、すでに社内制度が策定された、や、今まさに制度化を検討している、なんてことがあるのではないでしょうか。
こうした働き方の変化に加え、クラウド利用が普及する中で「ゼロトラスト」や、「SASE」という考え方を耳にすること増えてきているかと思います
そこで本ブログでは、この「SASE」について、どのようなものなのか、どうやって実現するのか、「ゼロトラスト」とはどう異なるのか、といったことをまとめていきたいと思います。
Secure Access Service Edge (SASE)とは
SASEとは、米Gartner社が2019年8月に「The Future of Network Security Is in the Cloud」レポート内で提唱した最新のフレームワークです。Secure Access Service Edgeの略称で、”サシー”と読みます。
SASEフレームワークを実現する製品は、SaaS・クラウドでのサービス提供を基本とし、ネットワーク(WAN)機能とネットワークセキュリティ機能の両方を提供します。これにより、企業や組織の動的なセキュアなアクセスニーズに応える豊富な機能を提供します。
SASEは最新のセキュリティフレームワークであり、SASE市場は現在進行形で形成中の段階と言えます。現時点でSASE を実現するために必須とされている機能は大きく7つあり、①Secure Web Gateway (SWG)、②Cloud Access Security Broker (CASB)、③Zero Trust Network Access (ZTNA)、④Software Defined-WAN (SD-WAN)、⑤Firewall as a Service (FWaaS)、⑥Data Loss Prevention (DLP)、⑦Threat Protectionです。
SASE製品が属する市場は大きく二つあり、一つにWANでのネットワーク機能を提供する市場であるWAN Edge Infrastructure市場、そしてもう一つにクラウドにてネットワークセキュリティ機能を提供するSecurity Service Edge市場です。単一の製品、もしくはこれらそれぞれの市場の製品を組み合わせ、上述する7つの機能を全て利用できるようにすることでSASEを実現することができます。
Secure Access Service Edge (SASE)が実現すること
SASEフレームワークが提唱された背景には、昨今のクラウドの普及や働き方の変化が大きく関係しています。
IT革新によりクラウドサービスが広く普及し、ほとんどの組織で何かしらのクラウドサービスが利用されるようになりました。しかし、多くの組織のネットワーク構成は、従来から変わらずデータセンターを中心とする構成となっています。
一方で働き方の変化として多くの組織でテレワークや在宅勤務が行われるようになっていますが、持ち出し端末に対しては、管理の観点から直接のインターネット接続を許可せず、必ずデータセンターを経由しないといけない、としている組織も多いです。
その結果、クラウドサービスを利用するための通信や、テレワークや在宅勤務者からの通信がデータセンターに集中し、通信の遅延やデータセンター内の機器の負荷を増加させています。
つまり、従来までのデータセンター中心のネットワーク構成が、クラウドサービスやテレワーク、在宅勤務の利便性を損ねる阻害要因になっている、と言えます。
そうした状況の中で、DX推進に向けてクラウドサービスのより積極的な活用と、場所にとらわれない自由な働き方の実現のために、「クラウドを中心とするあらゆる場所からの安全なアクセスを実現するネットワーク構成」への変化の流れの中で提唱されたのが、今回ご紹介しているSASEです。
SASEフレームワークを実現することで、端末や利用者はロケーションに依存しないセキュリティが提供されます。
従来はデータセンターで提供していたネットワークやセキュリティの機能をクラウド上で提供することで、オフィスからの通信も、テレワークや在宅勤務のために持ち出し端末からの通信も等しく一貫したセキュリティ対策を行うことを可能にします。
SASEとゼロトラストは何が違う?
最近よく耳にするセキュリティの考え方として、「ゼロトラスト」を実現するゼロトラストネットワークがありますが、SASEとの違いはなんでしょうか。
SASEの必須機能の1つにZTNAとあるように、SASEではゼロトラストの実現も想定したフレームワークとなっています。ただし、あくまでWANの観点からネットワーク最適化とセキュリティを提供するのがSASEです。社内ネットワークを持つ場合、社内ネットワーク内のローカル通信に関しては、SASEでの対応範囲外となります。つまり、SASEだけでは組織内全体のゼロトラストの実現はできない、ということを意味しています。
ゼロトラストが組織内全体に対するセキュリティのあり方を示す概念であるのに対して、SASEはWAN部分でのゼロトラストを実現し、ネットワーク最適化と必要なセキュリティ機能を示すセキュリティフレームワークであること。これがSASEとゼロトラストの違いです。
ちなみにSASEの重要な要素の一つであるZTNAは、ゼロトラストを実現する上で重要な市場、製品の一つです。ZTNAは外部からの社内リソース宛の通信に対するゲートウェイとして動作するものであり、ZTNAによって認証と動的なアクセス制御を実現します。
ゼロトラストの実現には他にも様々な対策が必要です。ゼロトラストについての詳細はこちらのブログ を参照ください。
まとめ
DX推進でクラウドサービスを利用していくことに加え、働き方改革の一環として今後もテレワークや在宅勤務を継続的に利用していくためには、セキュリティの強化だけでは不十分です。従業員の方々が利用するITツールの利便性を考慮することも重要と言えます。
そうした状況から、今こそ従来までのデータセンター中心のネットワーク構成から脱却し、セキュリティ対策の強化と利便性の向上の両方を実現するSASEを実現したクラウド中心のネットワーク構成への移行を進めるタイミングになっている、と言えるかもしれません。
SASEは2019年から提唱されている新しい考え方です。現状単一のベンダでSASEを実現するような製品もそれほど多くはないのが現状です。そうした中で、弊社ではCato Networks社のCato SASE Cloudや、Forcepoint社のForcepoint Dynamic Edge Protection、Fortinet社のSD-WANソリューション、Versa Networks社のVersa SASE/Secure SD-WANなど幅広いSASE/SSE/WEI製品の取り扱いを行っております。
SASEを実現するための必須機能である個々の機能を実現する専用製品の取り扱いもありますので、興味がありましたらお問い合わせください。