​SASE（サシー｜​Secure Access Service Edge）とは、従来は別々で管理していた「ネットワーク機能」と「セキュリティ機能」を1つに統合し、「クラウドサービス」として提供するという概念です。

SASEは「すべてのユーザーやデバイスを信頼せず、情報資産への全アクセスに対し検査・認証を行う」というゼロトラストの考え方をベースに設計されています。

そのため、SASEを導入することで、クラウドサービスやリモートワークの普及に伴って発生した

●クラウドやVPNへのアクセス集中による「ネットワーク遅延」
● 「境界型セキュリティ」の限界
●「シャドーIT」の増加

といった課題を解決することができます。

​​また、SASEとゼロトラストは混同されがちですが、ゼロトラストは「セキュリティの概念」であり、SASEは「ゼロトラストの概念を実現するための具体的な方法」という違いがあります。

企業のネットワークセキュリティ体制の強化において、さまざまなメリットがあるSASEですが、大規模なネットワーク構成の見直しが必要になるなどの課題もあるため、​導入計画は慎重に行う必要があるでしょう。

​​この記事では、​SASE​の概要や必要性、導入のメリット・デメリットについて、わかりやすく解説いたします。

また、既存のネットワーク環境に大きな変化を与えず、ゼロトラストに則った包括的なセキュリティを導入されたい際、SASEとあわせて検討いただきたいのが「NDR」というセキュリティソリューションです。

エムオーテックスでは 内部ネットワーク・クラウド・エンドポイント といった各種レイヤーを1つの製品で監視し、不審な挙動やアクセスに対処できる、最新のNDR「Darktrace（ダークトレース）」を提供しています。 SASEに比べ導入が容易でありながら、あらゆるレイヤーの監視を一括でおこなえるといった強みがあります。

エムオーテックスの提供する、 NDR製品「Darktrace（ダークトレース）」 の詳細は、以下の資料にて確認いただけます。

SASE（サシー）とは？

​​SASE（サシー）とは​ ​Secure Access Service Edge の略称であり​、従来は別々で管理していた「ネットワーク機能」と「セキュリティ機能」を、1つに統合し「クラウドサービス」として提供するという概念です。

2019年にGartner（ガートナー）社が提唱し、以降今日まで多くの企業・セキュリティベンダーより、様々なSASEソリューションが提供されています。

テレワークやクラウドサービスの利用が当たり前となった昨今、企業に求められるセキュリティ対策は、従来に比べはるかに複雑化し、あらゆるレイヤーにて脅威の監視や検知を行う必要があります。対策すべきポイントが増えたことで、担当者の負担が増していることも課題です。

セキュリティ機能とネットワーク機能を統括して提供するSASEであれば、リモートワークやクラウドを利用する従業員に、 遅延の心配がない安全で快適なネットワーク を提供することができます。

また本来​独立した機能を一元管理できるため、管理者は​各レイヤーに 統一のセキュリティポリシーを適用 し、 運用工数を減らすこと が可能となります。

SASEが必要とされる背景

SASEが誕生した大きな要因として、企業のDX化・コロナウイルスの蔓延などに伴う 「働き方の変化」 が挙げられます。
「リモートワークの普及」 そして 「クラウドサービスの導入」 が加速的に進んだことで、企業は従来の通信環境・セキュリティ対策では、対応することが困難となりました。

まず「通信環境」においては

・クラウドの普及により、データセンター内のプロキシサーバーに負荷が集中する
・リモートワークの普及により、VPNにアクセスが集中する

といった理由で、ネットワークの遅延が発生するという課題が登場しました。

次に「セキュリティ対策」に関しては

・​​社外ネットワークの利用が増えたことで、従来の「境界型セキュリティ」が困難になった​
・クラウドサービス独自のセキュリティ対策が必要になった​
・リモートワークの普及により、シャドーITや内部不正が増加した​

という変化を受け、企業は新たなセキュリティ体制の構築が必要となりました。

これらの通信・セキュリティにおける課題を解決するため、ガートナー社が提唱したフレームワークが「SASE」です。​

​​SASEがもつ「SD-WAN」という機能により、データセンターの回線を経由することなく、クラウドサービスへアクセスが可能に。またフィルタリングやユーザーのアクセス制御機能を備えているため、遅延の無い安全なネットワーク環境を、ユーザーに提供することができます。

​SASEの理解に欠かせない「ゼロトラストセキュリティ」とは？​

​​SASEの「セキュリティ機能」を理解する上で、キーワードとなるのが ​​「ゼロトラスト」 ​​です。​

​​ゼロトラストとは、すべてのユーザーやデバイスを信頼せず、情報資産への全アクセスに対し検査・認証を行うというセキュリティ概念です。​

​​以前主流だった「​​境界型セキュリティ」​​では、 ​​信頼できる「社内」と信頼できない「社外」 ​​にネットワークを分け、その境界線にファイアウォール等のセキュリティ対策を講じるのが一般的でした。しかしテレワークやクラウドサービスの普及により、社内・社外の境界が曖昧になったことで、従来の境界型セキュリティでは、十分な対策ができないという課題が生まれました。

また社内ネットワークであっても、「従業員の情報持ち出し・不正アクセス」といった内部不正が横行しており、情報資産の監視・ログ取得の重要性も注目されています。​

これらの課題を解消するため、ゼロトラストでは、セキュリティをネットワークの境界だけでなく各レイヤーへ適用すること、また社内ネットワークであっても情報資産へのアクセスに対し、セキュリティや監視を講じます。​

今回のテーマである「SASE」は ​​ゼロトラストの考え方​​ をベースに設計されており、内部・外部を問わないネットワークセキュリティ、クラウドセキュリティ、内部不正対策などを網羅的に対策・管理することが可能です。外部内部を問わずあらゆる脅威が蔓延する現代、ゼロトラストを前提としたセキュリティ対策は、企業・組織において必須の課題と言えるでしょう。​
​

​SASEを構成する主な5つの機能​

SASEは、「ネットワーク機能」としてSD-WAN、「セキュリティ機能」としてCASB、SWG、ZTNA、FWaaSをもとに構成されています。
以下、SASEの主要な機能について紹介いたします。

1．SD-WAN（Software-Defined Wide Area Network）

​​「SD-WAN（エスディーワン）」は、​拠点間をつなぐ広域ネットワーク（WAN）をソフトウェアによって一元管理し、仮想的なネットワークを提供する機能です。

SD-WANにより​データセンターを介さずクラウドサービスへ接続ができるため、データセンターの回線を増強することなく、通信速度の遅延やジッタ（画像の乱れ）などを改善することができます。​

​​またSD-WANではアプリケーションにより優先順位を付け、トラフィックを制御することも可能です。品質が求められない通信ではインターネットVPNを、重要なオンライン会議にはクローズドVPNを適用するなど、目的に応じて遠隔地の拠点との通信を調整します。​

SD-WANはネットワークの柔軟性と効率性を向上させ、企業が通信とデータの管理を効果的に行う上で有効な機能です。​

2．CASB

​​「CASB（キャスビー）」は​従業員によるクラウドサービスの利用を可視化・制御し、一括管理するソリューションです。

可視化、データセキュリティ、コンプライアンス、脅威防御 の4つの機能を備えており、​クラウドサービスの普及と共にニーズが高まっているサービスです。​

可視化	誰が、いつ、どのクラウドサービスを利用したかが可視化できる機能
データセキュリティ	データの種類ごとにユーザーのアクセス権限を設定する、データを暗号化するなどして重要なデータの持ち出しを禁止する機能
コンプライアンス	クラウドサービスの使い方が自社のセキュリティポリシーに適合しているかをチェックする機能
脅威防御	クラウドサービス上での不審な行動や、マルウェアなどを検知する機能

​​CASBがSASEの構成要素として備わっていることで、クラウドサービス利用におけるセキュリティリスクを最小限に抑え、内部不正や情報漏洩といった犯罪を防ぎます。​

3．SWG

​​「SWG」とは、企業がインターネットを安全に利用し、ウェブトラフィックのセキュリティを確保するための​​ プロキシ ​※​の一種です。​

※プロキシ …​​PCやスマホの代わりに外部ネットワークにアクセスするシステム。端末は一度プロキシへアクセスし、プロキシが代理でWebサイトへアクセス、ブラウザへ表示させる。​

従業員が不正なWebサイトへアクセスしようとすれば、ブロックすることで危険なサイトの閲覧・マルウェア感染などを防ぎます。またサンドボックス機能によってマルウェア侵入を防止したり、ユーザーの不正操作を禁じたりする機能も備わっています。​

テレワークの普及、クラウドサービスの利用増加などによって、外部ネットワークを使用する機会は増加しています。そんな中、安全な通信環境を確保し、ウェブトラフィックを効果的に管理するSWG の必要性が高まっています。​

4．ZTNA（Zero Trust Network Access）

​​「ZTNA」とは、​ゼロトラストの考え方をベースに、ユーザーへネットワークアクセス環境を提供するセキュリティソリューションです。

データやアプリケーション、サービスごとに細やかなアクセス制御を行い、不正なアクセスを防止するのがZTNAの役目です。従業員ごとにアクセス権限の有無や、ポリシーに沿った適切なアクセスができているかを確認し、アクセス許可を与えます。

ユーザーがアプリケーションやデータへアクセスする度、ユーザーを評価し、社内外問わず厳密なアクセス制限を行います。 細やかなアクセス制御を行うZTNAであれば、VPNの懸念点である「攻撃者による水平移動」を阻止することが可能です。

5．FWaaS（Firewall as a Service）

​​「FWaaS（ファイアウォールアズアサービス）」とは、クラウドベースのファイアウォールを提供する画期的なサービスです。​

​そもそも「ファイアウォール」とは『防火壁』のように、ネットワークトラフィックをフィルタリングすることで、外部ネットワークからの不正アクセスや脅威をブロックする、境界型のセキュリティです。​

通常、ファイアウォールは設置した拠点の内部ネットワークのみを保護しますが、FWaaSでは複数のポイント・拠点にて通信を監視し、不正アクセスを検知・ブロックします。​

運用者は複数拠点のファイアウォールを管理する手間が削減できる上、クラウドとして提供されるので、ユーザーのデータセンターやオフィス内に物理的なファイアウォールを設置する必要がありません。​

​​またクラウドベースなので、ユーザーは必要に応じてファイアウォールの容量を拡張したり、最新のセキュリティルールのアップデートしたりすることが可能です。​

SASEを導入するメリット​

​​SASEを導入することで、以下のようなメリットが想定できます。​

1．ゼロトラストを前提としたセキュリティの強化​
2．ネットワーク運用負荷の改善による、パフォーマンス向上​
3．一元管理による運用担当者の負担軽減​
4．統一されたセキュリティポリシの適用​

​​「1．ゼロトラストを前提としたセキュリティ」の強化については、上述の通りです。​

​​「2．ネットワーク運用負荷の改善」が見込める理由としては、SASEを活用することで、従来のデータセンター（DC）を中心とするネットワーク構成から脱却できることが挙げられます。データセンターへのアクセス過多により引き起こされる「通信の遅延」「DC内の機器への負荷」を軽減できるでしょう。

「3．一元管理による運用担当者の負担軽減」については、ネットワーク・セキュリティサービスを一括で管理できるため、管理者の運用工数削減・効率化を期待できます。​

最後に「4．統一されたセキュリティポリシーの適用」ですが、本来クラウドサービスなど社外ネットワークやアプリケーションであれば、それぞれ別のポリシーを適用する必要がありました。

SASEを活用することでクラウド・社内ネットワーク（オンプレミス環境）を問わず、全てのシステム・サービスに対し、同一のセキュリティポリシーを適用・管理することが可能となります。

SASEのデメリットは「導入時の工数と期間がかかる」こと​

​​企業のネットワーク・セキュリティ体制の強化において、多くのメリットを備えるSASEですが、懸念として「導入時の工数・期間」があげられます。​

SASEを導入する場合、既存のネットワーク・セキュリティ機能の多くをSASEへ移行することになるため、入念な計画と大規模なシステム設計が必要です。データセンターに導入している、既存のネットワーク機器・セキュリティ機器の大部分を変更することで、システム構成も大きく変わることとなるでしょう。

大規模なネットワーク構成の見直しが必要なので、セキュリティ部門だけでなく、ネットワークに知見のある各部門担当者・ベンダー等を巻き込んだ、導入計画の推進が不可欠となります。
​
​​また、移行後にはSASEと既存環境の並行運用の検討や、従業員の業務に合わせた改善なども必要です。SASE導入直後から理想的な環境が手に入るわけではないことは、あらかじめ理解しておく必要があるでしょう。​

​SASEと並行して検討してほしい、ゼロトラストを前提としたネットワークセキュリティ「NDR」​

・​​SASEに関心があるが、そこまでの工数やコストを割くことが難しい
・​​​ただし、リモートワークやクラウドサービスの利用に対応した、ゼロトラストを前提とするセキュリティ体制を構築したい​

​​そんなセキュリティ担当者様であれば、ネットワーク監視を担うセキュリティ製品​​ 「NDR」 ​​が最適かもしれません。​

​​NDRではネットワーク機能の提供はありませんが、外部・内部ネットワークを問わない包括的なセキュリティ体制の構築を推進します。ネットワーク全体に加え、エンドポイントやクラウドといった様々なレイヤーの脅威検知・一括管理を行うことが可能です。

また、お客様の既存環境のまま導入できるため、SASEで懸念される「移行に長い年月と労力を要する」「大きな環境の改変が必要」といった課題はありません。​

​​弊社では全世界で 8,800社以上の導入実績をもつ、 ​​NDR製品「Darktrace（ダークトレース）」 ​​を提供しています。​

ゼロトラストセキュリティを叶える、NDR「Darktrace(ダークトレース）」

「Darktrace」は、企業・組織のネットワークやクラウドのパケットを収集し、ネットワーク全体の通信状況の可視化、異常な挙動を検知できる、NDRソリューションです。

AI 機械学習と数学理論を用いた通信分析で自己学習し、通常とは異なる通信パターンを検知して、未知の脅威に対応します。 AIが脅威レベルを自動で判断し、危険な通信を自動遮断するため、 脅威判定が簡単で管理工数がかからない点 が大きな強みです。

また、Darktraceではネットワークに加え、クラウド、テレワーク、Eメールなど、広範なデジタル環境を網羅的に監視し・一元管理できるため、あらゆる脅威を素早く検知し対策することが可能です。

実際、DarktraceはIPAの公開する 「2024年度 情報セキュリティ10大脅威」の全ての脅威に対策すること が可能です。

▼NDR「Darktrace」における10大脅威への対処​方法

2024年 情報セキュリティ10大脅威	順位	Darktraceの対処内容
ランサムウェアによる被害	1位	ランサムウェアの予兆段階から実行段階まで検知対処可能 (Darktraceは5,000件以上の文書暗号化を阻止しています)
サプライチェーンの弱点を悪用した攻撃	2位	取引業者や関係先からのなりすまし行動も、異常な動きを検知 対処可能
内部不正による情報漏洩	3位	ポートスキャンや、 管理者権限の行使、 ファイルサーバへの不審なアクセスなど通常と異なる動きを検知 対処可能
標的型攻撃による機密情報の窃取	4位	稀な宛先からのリモートアクセス、稀なデータアップロード・ ダウンロードなど、通常と異なる行動を検知・対処可能
修正プログラムの公開前を狙う攻撃 (ゼロデイ攻撃)	5位	ルールシグネチャでは対策できない「ゼロデイ攻撃」でも、脅威性のある珍しい挙動として検知・対処可能
不注意による情報漏えい等の被害	6位	標的型攻撃メールのURL (添付ファイル) から派生する不審な宛先への通信や不審なExcelファイルのダウンロードを検知・対処可能
脆弱性対策情報の公開に伴う悪用増加	7位	ランサムウェアで標的とされやすいSMB v1の残存などの脆弱性のある通信も検知可能
ビジネスメール詐欺による金銭被害	8位	攻撃と疑われるメールの検知・ブロックが可能(オプション)
テレワーク等のニューノーマルな働き方を狙った攻撃	9位	遠隔地や在宅勤務などの環境も検知・対処可能 (オプション)
犯罪のビジネス化 (アンダーグラウンドサービス)	10位	RaaS (Ransomware as a Service) でも1位と同様検知・対処可能

また、導入時のルール定義・詳細設定が不要なため、 導入が簡単で既存環境や他システムへの影響がない というメリットもあります。

「管理負荷が少なく、自社のIT環境を網羅的に監視・対策できるセキュリティソリューションを求めている」方に最適です。詳しくは以下の詳細よりご覧ください。

まとめ

​​本記事では「SASE」をテーマに、その概要や機能について解説しました。

ネットワークとセキュリティをクラウドで統合し、ビジネスの柔軟性とセキュリティを向上するSASE。ビジネスに大きな変革をもたらしますが、慎重な計画と実施が成功の鍵となります。自社のニーズを明確にし、計画的に導入しましょう。