新型コロナウイルス感染症(COVID-19)の拡大により、多くの組織でテレワークや在宅勤務が行われるようになりました。このことをきっかけとした働き方改革推進を行い、テレワークや在宅勤務を整備・制度化、長期的な利用に踏み切る企業もますます増えてきています。
皆様の企業でも、すでに社内制度が策定された、や、今まさに制度化を検討している、なんてことがあるのではないでしょうか。
こうした働き方の変化に加え、クラウド利用が普及する中で「ゼロトラスト」や、「SASE」という考え方を耳にする機会がますます増えてきていることでしょう。
そこで本ブログでは、この「SASE」について、どのようなものなのか、どうやって実現するのか、「ゼロトラスト」とはどう異なるのか、といったことをまとめていきます。
Secure Access Service Edge (SASE)とは
SASEとは2019年8月に定義された最新のフレームワークの1つです。Secure Access Service Edgeの略称で、”サシー”と読みます。発音としてはサ(↑)シー(↓)と言われることが多いです。(イメージとしては”Money(お金)”やテニス用語の”ラリー”のイントネーション。)
SASEを実現するソリューションは、SaaS・クラウドでのサービス提供を基本とし、ネットワーク(WAN)機能とネットワークセキュリティ機能の両方を同時に提供します。これにより、企業や組織の動的なセキュアアクセスニーズに応える豊富な機能を提供します。
SASEは最新のセキュリティフレームワークの1つであり、SASE市場は現在進行形で形成中の段階と言えます。2023年1月時点でSASE を実現するために必須とされている機能は大きく8つあり、①セキュアWebゲートウェイ (SWG)、②Cloud Access Security Broker (CASB)、③Zero Trust Network Access (ZTNA)、④SD-WAN、⑤Remote Browser Isolation(RBI)、⑥ファイアウォール as a Service (FWaaS)、⑦Data Loss Prevention (DLP)、⑧Threat Protectionです。これは2022年6月の最新レポートにて定義されたものであり、2021年のレポートと比較すると新たに⑤RBI機能が必須機能として追加されていることがわかります。
※レポートの原文は英語であり、本書記載の8つの機能は弊社の解釈でわかりやすく意訳を行ったものです。
単一製品でSASEを実現できるソリューションはまだまだ多くはないのが現状です。現状SASE実現する製品が属する市場は大きく二つあり、一つにWANでのネットワーク機能を提供する市場であるWAN Edge Infrastructure(WEI)市場、そしてもう一つにクラウドにてネットワークセキュリティ機能を提供するSecurity Service Edge(SSE)市場です。単一の製品、もしくはこれらそれぞれの市場の製品を組み合わせ、8つの機能を全て利用できるようにすることでSASEを実現することができます。
Secure Access Service Edge (SASE)が実現することとは
SASEが定義された背景には、昨今のクラウドの普及や働き方の変化が大きく関係しています。
IT革新によりクラウドサービスが広く普及し、ほとんどの組織で何かしらのクラウドサービスが利用されるようになりました。しかし、多くの組織のネットワーク構成は、従来から変わらずデータセンターを中心とする構成となっています。
一方で働き方の変化として多くの組織でテレワークや在宅勤務が行われるようになっていますが、持ち出し端末に対しては、管理の観点から直接のインターネット接続を許可せず、必ずデータセンターを経由しないといけない、としている組織も多いです。
その結果、クラウドサービスを利用するための通信や、テレワークや在宅勤務者からの通信がデータセンターに集中し、通信の遅延やデータセンター内の機器の負荷を増加させています。
つまり、従来までのデータセンター中心のネットワーク構成が、クラウドサービスやテレワーク、在宅勤務の利便性を損ねる阻害要因になっている、と言えます。
そうした状況の中で、DX推進に向けてクラウドサービスのより積極的な活用と、場所にとらわれない自由な働き方の実現のために、「クラウドを中心とするあらゆる場所からの安全なアクセスを実現するネットワーク構成」への変化の流れの中で定義された最新のセキュリティフレームワークの1つが、今回ご紹介しているSASEです。
従来はデータセンターで提供していたネットワークやセキュリティの機能をクラウド上で提供することで、オフィスからの通信も、テレワークや在宅勤務のために持ち出し端末からの通信も等しく一貫したセキュリティ対策を行うことを可能にします。つまり、SASE実現することで、あらゆる端末やその利用者はロケーションに依存せず、いつでもどこでも同じレベルのセキュリティが提供されるようになるのです。
SASEとゼロトラストは何が違う?
最近よく耳にするセキュリティの考え方として、「ゼロトラスト」を実現するゼロトラストネットワークがありますが、SASEとの違いはなんでしょうか。
SASEの必須機能の1つにZTNAとあるように、SASEではゼロトラストの実現も想定したフレームワークとなっています。ただし、あくまでWANの観点からネットワーク最適化とセキュリティを提供するのがSASEです。そのため、社内ネットワーク内のローカル通信に関しては現在の定義ではSASEでの対応範囲外となります。つまり、SASEだけでは組織内全体のゼロトラストの実現はできない、ということを意味しています。
ゼロトラストが組織内全体に対するセキュリティのあり方を示す概念であるのに対して、SASEはWAN部分でのゼロトラストを実現し、ネットワーク最適化と必要なセキュリティ機能を示すセキュリティフレームワークであること。これがSASEとゼロトラストの違いです。
ちなみにSASEの重要な要素の一つであるZTNAは、ゼロトラストを実現する上で重要な市場、製品の一つです。ZTNAは外部からの社内リソース宛の通信に対するゲートウェイとして動作するものであり、ZTNAによって認証と動的なアクセス制御を実現します。
ゼロトラストの実現には他にも様々な対策が必要です。ゼロトラストについての詳細はこちらのブログを参照ください。
まとめ
DX推進でクラウドサービスを利用していくことに加え、働き方改革の一環として今後もテレワークや在宅勤務を継続的に利用していくためには、従来までのような単純なセキュリティの強化だけでなく、従業員の方々が利用するITツールの利便性を考慮することも重要と言えます。
そうした状況から、今こそ従来までのデータセンター中心のネットワーク構成から脱却し、セキュリティ対策の強化と利便性の向上の両方を実現するSASEを実現したクラウド中心のネットワーク構成への移行を進めるタイミングになっている、と言えるかもしれません。
SASEは2019年に定義された最新のセキュリティフレームワークであり、単一のベンダでSASEを実現するようなソリューションもそれほど多くはないのが現状です。そうした中で、弊社ではCato Networks社のCato SASE Cloudや、Forcepoint社のForcepoint One、Fortinet社のSD-WANソリューション、Versa Networks社のVersa SASE/Secure SD-WANなど幅広いSASE/SSE/WEI製品の取り扱いを行っております。
SASEを実現するための必須機能である個々の機能を実現する専用製品の取り扱いもありますので、興味がありましたらお問い合わせください。
