昨今、リモートワークが急速に普及し、DX(デジタルトランスフォーメーション)や働き方改革が実現される一方で、情報漏洩や端末のウイルス感染といったリスク要因が増え、セキュリティ対策の必要性が高まっています。
そんな中で、今セキュリティ業界で「SASE」「ゼロトラスト」という言葉が注目を浴びています。
両者は比較的新しい考え方であり、度々一緒に紹介されることが多いため、それぞれの特徴や違いを正確に理解している方は少ないのではないでしょうか。
この記事では、「SASE」「ゼロトラスト」の概念や違い、具体的な実現方法などをわかりやすく解説いたします。
SASEとゼロトラストについて
「SASE」と「ゼロトラスト」は、どちらも従来のセキュリティ対策を見直すために、注目されている新しいセキュリティモデルです。
ここでは、それぞれの基本的な定義・概要について解説します。
SASEとは
SASE(読み方はサッシー、またはサシー)とはSecure Access Service Edgeの略語で、ネットワークとセキュリティを融合させた新しいセキュリティ対策のフレームワークです。2019年、米国のリサーチ会社であるガートナー社によって提唱されました。
一般的に多くの企業が、ネットワークサービスとセキュリティサービスを個々に組み合わせて利用しています。
SASEは、これらのネットワークとセキュリティの融合を目的に、クラウド上で包括的に提供するというセキュリティモデルです。
従来は、社内ネットワークのみで業務が完結することがほとんどで「ネットワークの内側を守れば大丈夫、外部からの脅威に対してはファイアウォールで防御」という考えが主流でした。
しかし、現在ではシステムのクラウド化が進むことで、どこからでも社内ネットワークにアクセスできるようになり、「ネットワークの内側も外側も危険である」という考えに移行しました。社内と社外を分けたネットワーク制御やセキュリティ管理では脅威に対して脆弱性があり、問題があるのです。
こうした課題を解決するのが、ネットワークとセキュリティを組み合わせたSASEであり、ゼロトラストの概念を前提としたフレームワークとして近年注目を浴びています。
関連の記事をご用意しております。ぜひご覧ください。
▼SASE製品を比較紹介! メリットや導入時の注意点、クラウドに効果的なセキュリティ対策の最前線を紹介
SASEの構成要素
具体的にSASEを実現するには何が必要なのでしょうか。
SASEは以下のようなネットワークとセキュリティに関する複数の機能を統合して構成されています。主な機能を解説します。
■ネットワーク機能
- SD-WAN(Software Defined-WAN)
ソフトウェア制御により動的にWANを管理 - CDN(Content Delivery Network)
コンテンツを配信するためのネットワーク
■セキュリティ機能
- CASB(Cloud Access Security Broker)
クラウドサービスの利用状況を可視化/制御 - ZTNA(Zero Trust Network Access)
ユーザーや端末を対象に社内データへのアクセスを認証 - SWG(Secure Web Gateway)
クラウドで提供されるプロキシサービス - FWaaS(Firewall as a Service)
クラウド提供型のファイアウォール
この他にも多くの機能を包含しています。
現時点で全機能を提供できるベンダー(事業者)はゼロに近いため、複数のベンダーを組み合わせてこれらの機能を徐々に取り込むことでSASEを実現することができます。
ゼロトラストとは
ゼロトラストは「すべてのアクセスを信頼しない」という前提でセキュリティ対策を行う考え方で、2010年に米国の調査会社であるForrester Research社によって提唱されました。
既存のセキュリティ対策では「外部からの攻撃さえ防げば、内部は安全」という考え方でしたが、ゼロトラストは、「脅威はすべての場所に潜んでいるので、内外問わずすべてのアクセスを疑って検証するべき」という考え方です。リモートワークの普及と、どこからでもアクセスできるクラウドサービスの利用増加に伴い、近年注目されるようになりました。
ゼロトラスト実現をサポートする製品も多く提供されるようになり、Google社やマイクロソフト社など多くの企業が推奨しているセキュリティモデルです。
ゼロトラストについては以下の記事でも紹介しております。ぜひご覧ください。
▼ゼロトラストネットワークとは? 従来型のセキュリティモデルの違いをポイント解説
ゼロトラストの実現には適切なID管理がカギとなります。ID管理について詳しく解説した資料をご用意しております。無料でダウンロードできますので、ぜひご活用ください。
ゼロトラストのはじめの一歩はID管理! Oktaで組織防衛とID管理の効率化を実現する
ゼロトラストの7つの基本原則
ゼロトラストには、以下のような7つの原則があります。
引用:PwC NIST SP800-207「ゼロトラスト・アーキテクチャ」日本語訳|https://www.pwc.com/jp/ja/knowledge/column/awareness-cyber-security/assets/pdf/zero-trust-architecture-jp.pdf
- すべてのデータソースとコンピューティングサービスはリソースとみなす
- ネットワークの場所に関係なく、すべての通信を保護する
- 企業リソースへのアクセスは、セッション単位で付与する
- リソースへのアクセスは、クライアントアイデンティティ、アプリケーション/サービス、リクエストする資産の状態、その他の行動属性や環境属性を含めた動的ポリシーによって決定する
- すべての資産の整合性とセキュリティ動作を監視し、測定する
- すべてのリソースの認証と認可は動的に行い、アクセスが許可される前に厳格に実施する
- 資産、ネットワークインフラストラクチャ、通信の現状について可能な限り多くの情報を収集し、セキュリティ態勢の改善に利用する
つまり、「ネットワークに接続されているすべての機器(=リソース)は、社内外問わず保護の対象であること」「一度認証したユーザーでも長時間の利用や新たに使用するデバイスでのアクセスは再認証を行うこと」などが記されており、これらはゼロトラストを実現する基準として掲げられています。
ゼロトラストについては以下の記事でも紹介しております。ぜひご覧ください。
▼Zscalerとは? クラウド時代に必須のセキュリティ対策とゼロトラストの関係を解説
SASEやゼロトラストが注目される理由
「SASE」と「ゼロトラスト」が近年注目されるようになった背景には、先述の通り、働き方の多様化によるリモートワークの普及とクラウドサービスの利用増加に伴い、社内ネットワークを経由せずにアクセスする機会が増えたことにあります。
ネットワークのセキュリティを向上させるために、新しいシステムやサービスを継ぎ足しのように導入していくことで潜在的なリスクが増え、また同時に管理も複雑化し、運用の負担も増えていきます。
「SASE」と「ゼロトラスト」は、社内外問わずアクセスを常に監視、リスクを評価し、堅牢なセキュリティを構築するという考えであることに加え、管理を一元化することにより、担当者の運用を最適化する仕組みでもあるため、今、多くの企業が注目しています。
関連の記事をご用意しております。ぜひ参考にしてください。
▼不正アクセスを防ぐには? 被害事例からその手口や対策を徹底解説!
SASEとゼロトラストの違い
「ゼロトラスト」はすべてのアクセスやネットワークを疑い、サイバー攻撃されることを前提としたセキュリティ対策の考え方である一方、「SASE」はゼロトラストを実現する手段のひとつになります。
「SASE」は社内外にある個別のネットワークサービスやセキュリティサービスをひとつにまとめて統合的に管理するフレームワークであることから、「ゼロトラスト」の実現に適しているといわれています。
つまり「SASE」を活用することで「ゼロトラスト」を実現できるといえます。
SASEでゼロトラスト実現
すべてのアクセスを脅威と捉え、すべてを信用しない「ゼロトラスト」を実現するには、あらゆるトラフィックを見逃さないセキュリティ機能と管理体制が重要とされています。
「SASE」であれば、すべてのユーザーやデバイスなどを識別して管理し、様々なネットワークおよびセキュリティ機能をポリシーとして紐付けます。会社全体のセキュリティを強化させ、さらにクラウド上で一元管理するため、管理者の負担を軽減する効果も期待できるのです。
今後、新たなセキュリティ対策を検討する際には、SASEをもとにしたセキュリティシステムを構築することで、ゼロトラストを実現することができます。
SASEを導入する4つのメリット
SASEには、ネットワークとセキュリティを包括的に管理できるという特徴があります。ここでは、SASEを導入することでどんなメリットがあるのか具体的に解説いたします。
1.セキュリティの強化
従来は複数のクラウドサービスを利用する場合、それぞれのセキュリティポリシーに従いバラバラに管理していました。SASEはすべてのクラウドサービスをひとつのクラウドに集約し、一貫したセキュリティポリシーで包括的に管理することができるため、セキュリティリスクを低減できます。社内外の境界にとらわれず、あらゆるユーザーやデバイスに対策を行うことで企業全体のネットワークセキュリティを強化させます。
2.生産性の向上
SASEを構成するひとつであるSD-WANによってトラフィックを制御し、プロキシサーバーの負荷を軽減させて通信速度の低下を防ぐことが可能です。
また、ZTNA(ゼロトラストネットワークアクセス)によって社内システムを経由せずに、アプリケーションとユーザー端末を直接接続することで、パフォーマンスを最適化させます。
クラウドサービスを利用する際、ユーザーが通信速度を気にすることなく快適な環境で業務に集中可能で、作業の効率化と生産性の向上が期待できます。
3.管理負荷の軽減
SASEは、ネットワークやセキュリティのすべてをクラウド上で一元管理できます。
わざわざ現場に出向いて設定をすることはなく、また、複数のクラウドサービスを別々に管理する必要もありません。
セキュリティポリシーやログなどを一貫して適用できるため、情シスの運用負荷を軽減し、運用にかかるコストも削減できます。
また、コア業務に集中できるため情シス担当者の生産性向上にも繋げることが可能です。
4.リモートワークを推進
従来のデータセンターを中心としたネットワーク構造では、自宅や出張先からリモートワークの際もVPN(Virtual Private Network)接続などで、拠点である社内を経由してインターネットやクラウドサービスにアクセスする必要がありました。その結果、トラフィックが増加し、通信遅延がたびたび発生してしまいます。
SASEは、社内を経由せずに直接インターネットにアクセスできるため、リモートワークの通信パフォーマンスを向上させます。また、社外にある端末からのアクセスでも強固なセキュリティを確保するため、安全にリモートワークが可能です。
SASEは今後も進化が予想される
「ゼロトラスト」の概要とゼトロラストの実現に最適な「SASE」について紹介しました。
両者とも比較的新しい概念であり、特にSASEに関するソリューションは今後さらに進化し、取り扱うベンダーも増えていくことが予想されます。
しかし、現時点ではすべての機能を提供できるベンダーはいないため、自社のニーズに合わせた機能を見定めて、長い目で見て少しずつ導入していくのが良いでしょう。
まずは、自社のネットワーク環境やセキュリティ環境の確認・見直しから始めることをおすすめいたします。
自社のセキュリティ環境に不安がある、見直ししたいといった課題に対し、最新のセキュリティ技術に精通したテクバンが組織内のセキュリティリスクを分析し、適切でしっかりしたセキュリティ対策をお手伝いいたします。
SASEをベースに、Techvan SASEやVMware SASE、Cato Networks SASEなどのセキュリティサービスの導入・運用をサポートしています。
ぜひ一度お問い合わせください。
テクバンに問い合わせする
