Written by MashiNari
目 次
SASE(サシー)とは、従来は別々で管理していた「ネットワーク機能」と「セキュリティ機能」を一つに統合し、「クラウドサービス」として提供するという概念です。
本記事では、SASEの概要や必要性、導入のメリット・デメリットについて、わかりやすく解説いたします。
▼本記事でわかること
- SASEの概要
- SASEの必要性
- SASEの機能
- SASEを導入するメリット・デメリット
SASEの導入を検討している方はぜひご一読ください。
また本記事では、ネットワーク全体の通信状況の可視化、異常な挙動の検知に役立つNDRソリューション 「Darktrace」と、ゼロトラストの実現に役立つ「LANSCOPEエンドポイントマネージャークラウド版」についても紹介しています。
セキュリティ強化を目指す企業・組織の方は、ぜひご確認ください。
SASE(サシー)とは?
「SASE(サシー)」とは、Secure Access Service Edgeの略称であり、従来は別々で管理していた「ネットワーク機能」と「セキュリティ機能」を、ひとつに統合し「クラウドサービス」として提供するという概念です。
「SASE」の概念は、IT分野の調査・分析・アドバイザリをおこなうGartner(ガートナー)社が2019年に提唱し、今日まで多くの企業・セキュリティベンダーが様々なSASEソリューションを提供しています。
SASEとゼロトラストの違い
ゼロトラストとは、すべてのユーザーやデバイスを信頼せず、情報資産へのすべてのアクセスに対し検査・認証をおこなうというセキュリティ概念です。
従来主流だった「境界型セキュリティ」では、 信頼できる「社内」と信頼できない「社外」 にネットワークを分け、その境界線にファイアウォール等のセキュリティ対策を講じるのが一般的でした。
しかしテレワークやクラウドサービスの普及により、社内・社外の境界が曖昧になったことで、従来の境界型セキュリティでは、十分な対策ができないという課題が生まれました。
また、境界型セキュリティでは「従業員の情報持ち出し・不正アクセス」といった内部の脅威に対応できないという弱点も問題視されていました。
ゼロトラストの考え方では、セキュリティをネットワークの境界だけでなく各レイヤーへ適用し、また社内ネットワークであっても、情報資産へのすべてアクセスに対し、セキュリティや監視を講じます。
前述した通り、「ゼロトラスト」はセキュリティの概念であり、この概念を実現するための具体的な仕組み・ソリューションが「SASE」です。
「SASE」は、ゼロトラストの考え方をベースに設計されており、内部・外部を問わないネットワークセキュリティ、クラウドセキュリティ、内部不正対策などを網羅的に対策・管理することが可能です。
関連ページ
SASEが必要とされる背景
SASEが必要とされるようになった背景には、出社とリモートワークを組み合わせた働き方であるハイブリッドワークを採用する企業が増えたことが関係しています。
ハイブリッドワークが拡大するにつれ、多くの企業が「通信の課題」と「セキュリティの課題」に直面するようになっています。
このような働き方の変化で、なぜSASEが求められるようになったのか、詳しく確認していきましょう。
通信の課題
ハイブリッドワークを採用すると、オフィス以外の場所でも業務を遂行する必要があるため、以下のような理由でネットワーク遅延が生じやすい課題があります。
- クラウドの普及により、データセンター内のプロキシサーバーに負荷が集中する
- リモートワークの普及により、VPNにアクセスが集中する
こうした課題に対して、SASEがもつ「SD-WAN」という機能を活用すれば、データセンターの回線を経由せずに、クラウドサービスへのアクセスが可能になり、ネットワーク遅延を回避することが可能です。
またSASEは、フィルタリングやユーザーのアクセス制御機能も備えているため、遅延のない安全なネットワーク環境を利用することができます。
セキュリティの課題
ハイブリッドワークの拡大で、企業には以下に挙げるようなセキュリティの課題への対応が求められるようになりました。
- 社外ネットワークの利用増加で、従来の「境界型セキュリティ」が困難になった
- クラウドサービス独自のセキュリティ対策が求められるようになった
- リモートワークの普及により、シャドーITや内部不正が増加した
働き方の変化に伴い、企業に求められるセキュリティ対策は、従来に比べはるかに複雑化し、あらゆるレイヤーへの脅威の監視や検知が求められています。
また、対策すべきポイントが増えたことで、担当者への負荷も増えています。
このような課題に対してSASEを導入することで、本来個別に管理されていたセキュリティ機能を一元管理できるようになります。
たとえば、フィルタリング機能やアクセス制限機能、シャドーIT対策など、個別に管理していた項目の一元管理が可能になります。
一元管理が可能になると、担当者は各レイヤーに統一のセキュリティポリシーを適用することができるようになり、運用工数の軽減を目指すことが可能です。
SASEの仕組み・機能
SASEは「ネットワーク機能」としてSD-WAN、「セキュリティ機能」としてCASB、SWG、ZTNA、FWaaSを有しており、これらを連携させることで効率的にセキュリティを強化することが可能です。
SASEの主要な機能について解説します。
SD-WAN(Software-Defined Wide Area Network)
「SD-WAN(エスディーワン)」は、拠点間をつなぐ広域ネットワーク(WAN)をソフトウェアによって一元管理し、仮想的なネットワークを提供する機能です。
SD-WANを活用することで、データセンターを介さずにクラウドサービスへ接続ができるようになるため、データセンターの回線を増強することなく、通信速度の遅延やジッタ(画像の乱れ)などを改善することができます。
またSD-WANではアプリケーションにより優先順位を付け、トラフィックを制御することも可能です。
品質が求められない通信ではインターネットVPNを、重要なオンライン会議にはクローズドVPNを適用するなど、目的に応じて遠隔地の拠点との通信を調整することができます。
SD-WANはネットワークの柔軟性と効率性を向上させ、企業が通信とデータの管理を効果的におこなう上で有効な機能です。
CASB
「CASB(キャスビー)」は従業員によるクラウドサービスの利用を可視化・制御し、一括管理するソリューションです。
可視化、データセキュリティ、コンプライアンス、脅威防御 の4つの機能を備えており、クラウドサービスの普及と共にニーズが高まっているサービスです。
| 可視化 | 誰が、いつ、どのクラウドサービスを利用したかが可視化できる機能 |
|---|---|
| データセキュリティ | データの種類ごとにユーザーのアクセス権限を設定する、データを暗号化するなどして重要なデータの持ち出しを禁止する機能 |
| コンプライアンス | クラウドサービスの使い方が自社のセキュリティポリシーに適合しているかをチェックする機能 |
| 脅威防御 | クラウドサービス上での不審な行動や、マルウェアなどを検知する機能 |
CASBがSASEの構成要素として備わっていることで、クラウドサービス利用におけるセキュリティリスクを最小限に抑え、内部不正や情報漏洩といった犯罪を防ぎます。
SWG
「SWG」とは、企業がインターネットを安全に利用し、ウェブトラフィックのセキュリティを確保するためのプロキシの一種です。
プロキシとは、PCやスマートフォンといったデバイスが外部ネットワークに直接アクセスする代わりに代理で通信をおこなうシステムのことです。
デバイスは、まずプロキシにアクセスし、プロキシが外部のWebサイトに代理でアクセスし、その結果をブラウザに返すことで、ユーザーはWebページを閲覧できるようになります。
SWGは、仮に従業員が不正なWebサイトにアクセスしようとした場合、ブロックしてマルウェア感染などを防ぎます。
またサンドボックス機能によってマルウェア侵入を防止したり、ユーザーの不正操作を禁じたりする機能も備わっています。
テレワークの普及、クラウドサービスの利用増加などによって、外部ネットワークを使用する機会は増加しています。
このような変化のなかで、安全な通信環境を確保し、ウェブトラフィックを効果的に管理するSWGの必要性が高まっています。
ZTNA(Zero Trust Network Access)
「ZTNA」とは、ゼロトラストの考え方をベースに、ユーザーへネットワークアクセス環境を提供するセキュリティソリューションです。
データやアプリケーション、サービスごとに細やかなアクセス制御をおこない、不正なアクセスを防止するのがZTNAの役目です。
従業員ごとにアクセス権限の有無や、ポリシーに沿った適切なアクセスができているかを確認し、アクセス許可を与えます。
ZTNAでは、ユーザーがアプリケーションやデータへアクセスする度に、ユーザーを評価し、社内外問わず厳密なアクセス制限をおこないます。
細やかなアクセス制御ができるZTNAであれば、VPNの懸念点である「攻撃者による水平移動」を阻止できる可能性が高まります。
FWaaS(Firewall as a Service)
「FWaaS(ファイアウォールアズアサービス)」とは、クラウドベースのファイアウォールを提供する画期的なサービスです。
そもそも「ファイアウォール」とは、防火壁のように、ネットワークトラフィックをフィルタリングすることで、外部ネットワークからの不正アクセスや脅威をブロックする境界型のセキュリティです。
通常、ファイアウォールは設置した拠点の内部ネットワークのみを保護しますが、FWaaSでは複数のポイント・拠点にて通信を監視し、不正アクセスを検知・ブロックします。
運用者は複数拠点のファイアウォールを管理する手間が削減できることに加えて、クラウドとして提供されるため、ユーザーのデータセンターやオフィス内に物理的なファイアウォールを設置する必要がありません。
また、クラウドベースのサービスのため、ユーザーは必要に応じてファイアウォールの容量を拡張したり、最新のセキュリティルールのアップデートしたりすることが可能です。
SASEのメリット
SASEを導入することで、以下のようなメリットが期待できます。
- セキュリティの強化
- パフォーマンス向上
- 運用担当者の負担軽減
- 統一されたセキュリティポリシーの適用
詳しく確認していきましょう。
セキュリティの強化
SASEを導入することで、クラウドやオンプレミスのシステムなど、企業が保有する情報資産に対するアクセスを一元管理することが可能になるため、セキュリティの強化につながります。
パフォーマンスの向上
SASEを活用することで、従来のデータセンター(DC)を中心とするネットワーク構成からの脱却が可能です。
そのため、データセンターへのアクセス過多により引き起こされる「通信の遅延」「DC内の機器への負荷」を軽減できます。
運用担当者の負担軽減
SASEでは、ネットワーク・セキュリティサービスを一括で管理できるため、管理者の運用工数削減・効率化を期待できます。
統一されたセキュリティポリシーの適用
本来クラウドサービスなど社外ネットワークやアプリケーションであれば、それぞれ別のポリシーを適用する必要がありました。
しかしSASEを活用すれば、クラウド・社内ネットワーク(オンプレミス環境)を問わず、すべてのシステム・サービスに対し、同一のセキュリティポリシーを適用・管理することが可能です。
SASEのデメリット
SASE導入時の懸念点として「導入時の工数・期間」があげられます。
SASEを導入する場合、既存のネットワーク・セキュリティ機能の多くをSASEへ移行する必要があるため、入念な計画と大規模なシステム設計が必要です。
また、データセンターに導入している、既存のネットワーク機器・セキュリティ機器の大部分を変更する必要もあるため、システム構成も大幅に変更する必要があります。
大規模なネットワーク構成の見直しが必要になると、セキュリティ部門だけでなく、ネットワークに知見のある各部門担当者・ベンダー等を巻き込んだ、導入計画の推進が不可欠となります。
また、移行後にはSASEと既存環境の並行運用の検討や、従業員の業務に合わせた改善なども求められます。
SASE導入直後から理想的な環境が手に入るわけではないことは、あらかじめ理解しておく必要があるでしょう。
ゼロトラストセキュリティを叶えるNDR「Darktrace(ダークトレース)」
以下のような課題をお持ちの企業・組織の方には、NDRソリューション「Darktrace」の導入が効果的です。
- SASEに関心はあるが、工数やコストを割くことが難しい
- リモートワークやクラウドサービスの利用に対応した、ゼロトラストを前提とするセキュリティ体制を構築したい
NDRは、ネットワーク機能自体を提供するものではありませんが、外部・内部を問わずに通信全体を可視化し、異常な挙動を検知することで、包括的なセキュリティ体制が構築できるセキュリティソリューションです。
また、エンドポイントやクラウドといった様々なレイヤーの脅威検知・一括管理も可能です。
さらに、既存環境のまま導入できるため、SASEで懸念される「移行に長い年月と労力を要する」「大きな環境の改変が必要」といった課題が解消されます。
▼Darktraceの強み
- 日々のアラート確認・分析・脅威レベルの判定が容易で、管理工数がかからない
- サイバー攻撃(外部脅威)・内部不正の両方に対策できる
- 1製品でネットワーク・クラウド・エンドポイント等、あらゆるレイヤーを対策できる
- ゼロトラストセキュリティの実現にも有効に活用できる
「Darktrace(ダークトレース)」 は、全世界で 9,200社以上の導入実績をもつ NDRソリューションで、AI機械学習と数学理論を用いた通信分析で自己学習し、通常とは異なる通信パターンを検知し、未知の脅威に対応します。
管理負荷が少なく、自社のIT環境を網羅的に監視・対策できるセキュリティソリューションを求めている方に最適です。詳しくは以下ページや資料でぜひご確認ください。
3分でわかる!NDR製品「Darktrace(ダークトレース)」
AI(機械学習)を活用し、様々なデバイスやユーザー行動を分析。
未知のサイバー攻撃・内部不正の兆候を、素早く検知します。
ゼロトラストの実現に役立つ「LANSCOPEエンドポイントマネージャークラウド版」
IT資産管理・MDMツール「LANSCOPEエンドポイントマネージャークラウド版」には、ゼロトラストの実現を支援する機能が備わっています。
たとえば、ゼロトラストの実現を支援する以下のような機能が備わっています。
- PCやスマホの「操作ログ」を自動で取得
- PCやスマホ、タブレットの利用状況を「レポート」で見える化
- あらかじめ決めたポリシーに基づく、「利用制限」や「アラート通知」
- 万が一扮した際に役立つ「リモートロック」「リモートワイプ」や「位置情報」の取得
- Windowsアップデートやパッチ適用の管理
ログ画面では、PCにおけるアプリ利用やWebサイトの閲覧、ファイル操作、Wi-Fi接続といった従業員の操作について、「いつ」「誰が」「どのPCで」「なんの操作をしたか」などを簡単に把握することができます。
操作ログを取得することで、情報漏洩につながりかねない不正操作を早期に発見でき、インシデントを防ぐことができるでしょう。
「LANSCOPEエンドポイントマネージャークラウド版」は、PCだけでなく、スマートフォンも一括で管理することが可能です。
ハイブリッドワークが拡大し、オフィス以外のさまざまな場所で働くようになった昨今、従業員がそれぞれのデバイスでどのような操作を実施しているかを把握し、管理することは、セキュリティを強化する上で重要です。
ぜひ「LANSCOPEエンドポイントマネージャークラウド版」を活用し、ゼロトラストの実現を目指してください。
3分で分かる!
LANSCOPE エンドポイントマネージャー クラウド版
PC・スマホをクラウドで一元管理できる「LANSCOPEエンドポイントマネージャー クラウド版」とは?についてわかりやすく解説します。機能や特長、価格について知りたい方はぜひご活用ください。
まとめ
本記事では「SASE」をテーマに、その概要や機能について解説しました。
▼本記事のまとめ
- SASEとは、従来は別々で管理していた「ネットワーク機能」と「セキュリティ機能」をひとつに統合し、クラウドサービスとして提供するという概念
- SASEは、社内外問わずに安全なアクセスを実現するために、「ゼロトラスト」の考え方に準拠している
- SASEは、ネットワーク機能のSD-WAN、セキュリティ機能のCASB、SWG、ZTNA、FWaaSなどの機能から構成される
SASEはネットワークとセキュリティをクラウドで統合し、ビジネスの柔軟性とセキュリティの向上に寄与する一方で、導入においては期間と工数がかかるものです。
「SASEに関心はあるが、工数やコストを割くことが難しい」「ゼロトラストを前提とするセキュリティ体制を構築したい」という企業・組織の方は、ぜひ本記事で紹介したNDRソリューション「Darktrace」の導入をご検討ください。
また、ゼロトラストの実現支援には、IT資産管理・MDMツール「LANSCOPEエンドポイントマネージャー クラウド版」の活用がおすすめです。
働き方に多様化が見られる昨今、従来の方法だけではセキュリティ対策が不十分になってしまうケースも少なくありません。
ぜひ働き方や自社の状況にあわせたセキュリティ体制を検討し、堅牢なセキュリティ体制の構築を目指してください。
3分で分かる!
LANSCOPE エンドポイントマネージャー クラウド版
PC・スマホをクラウドで一元管理できる「LANSCOPEエンドポイントマネージャー クラウド版」とは?についてわかりやすく解説します。機能や特長、価格について知りたい方はぜひご活用ください。
おすすめ記事
