Written by MashiNari
ITベンダー、インフラ全般サービス企業で、プロジェクトマネージャー/リーダー等の経験を経て2016年にフリーランスへ転身。
インフラやクラウドシステムを中心に、要件定義、設計、構築、保守まで携わっています。
インフラの土台からweb周りの案件にも視野を広げ、近頃ではフロントエンド・バックエンドの開発にも従事し、日々奮闘中です。
“ChatGPT”の社内利用ルール、どう決める?
【AIサービス利用ガイドライン】を公開!
MOTEXが社内向けに作成したAIサービス利用ガイドラインをダウンロードできます。利用方針の決め方、作成ポイントの解説付き!
ゼロトラストの必要性が知られていく中で、ゼロトラスト実現に有効な「SASE」と呼ばれるソリューションも注目を集めています。
SASEを導入することで、組織のセキュリティ環境はどのように変化するのでしょうか。
この記事では、SASEの基本的な知識を解説します。
SASEとは
「Secure Access Service Edge」の頭文字を取った略語で、サシーと呼ぶのが一般的です。
2019年に提唱された、ゼロトラストの概念を実現するためのソリューションです。
SASEとゼロトラストの関係
SASEに深く関連する用語に、ゼロトラストがあります。
ゼロトラストはセキュリティの概念であり、SASEはゼロトラストを実現するためのソリューションや具体的な方法を指します。ゼロトラストという考え方を、SASEにより実現するという関係です。
SASEの関連サービス
ゼロトラストを実現するサービスには、CASB(Cloud Access Security Broker)やSWG(Secure Web Gateway)などのクラウド上で動作するセキュリティ製品が存在します。
SASEはこれらの個別サービスを統合し、ひとつのソリューションとして提供します。
それにより、ユーザーは個別にサービスを選定・管理するよりも少ない工数でゼロトラスト環境を実現できます。
ゼロトラストを実現するサービスは、こちらの記事で解説しています。併せてご覧ください。
ゼロトラストを実現するための方法としてSASEが存在しており、SASEはCASBやSWG等の個別サービスを統合して提供されています。
SASEが必要とされる背景
クラウドサービス活用やテレワーク推進につれて境界型防御の境界線が曖昧になり、自宅から社内システムへアクセスする業務形態への対応や、機密情報の保存場所の分散が課題として浮き彫りになっています。
テレワークが普及したことで、従業員の自宅からクラウドサービスや社内システムへアクセスする機会が増えました。
これまでは社内にVPN装置を設置し、従業員の自宅とオフィスを接続して社内システムへアクセスする、従業員の自宅からクラウドサービスへ直接接続するなど、効率と安全性の両立が難しい課題がありました。
VPNは大量の通信を処理するのに向いているとは言いがたく、個別にVPN設定を実施することも大きな負担となります。
クラウド上で各種ネットワーク機能・セキュリティ機能を提供できるSASEであれば、オフィスとVPN接続をすることなく、従業員の自宅からセキュアな通信を行なうことが可能となります。
そのため、現代の働き方にマッチしたソリューションとしてSASEが注目されているのです。
SASEの機能
SASEはクラウド上で動作するネットワーク・セキュリティソリューションです。
組織の通信をSASEで一元管理することで、ゼロトラストなネットワークモデルを実現できます。
利用者のデバイスとWebの中間に配置され、大きく分けてネットワーク機能とセキュリティ機能をクラウドプラットフォーム上で提供します。
ネットワーク機能
主にSD-WANやVPN、クラウドサービスやWebサービスへ接続するためのインターネットゲートウェイ機能が提供されます。
従業員の自宅からクラウド上のSASEを中継して各サービスへ接続することで、社内にVPN装置を用意することなくセキュアな通信が可能です。
従来の境界型防御では社内設置のプロキシサーバやファイアウォールを利用することでWebのセキュリティを確保していましたが、クラウド上のSASEに置き換えることでテレワーク環境でも社内ネットワークを経由する必要がなくなるため、セキュアで安定したWebの利用が期待できます。
セキュリティ機能
主にCASBやSWGなどのゼロトラストを実現するためのセキュリティ機能が提供されます。
テレワーク環境においては、従業員のデバイスがどのような通信を行ない、クラウドサービスやWebサービスでどのように情報を取り扱っているかを管理することが不可欠です。
しかし、従来の境界型防御では、クラウドサービスを厳密に管理するには多くの工数が必要であり、従業員のモラルやリテラシーに頼る面も少なからず存在します。
組織の通信をSASE経由とすることで、クラウドサービスの利用状況や通信しているデータを監視し、問題のある操作をブロックする、管理者へ通知するなどの対応を行うことが可能となります。
業務に合わせたポリシーを設定することで、効率的で安全なテレワークの実現に繋がります。
情報セキュリティポリシーの構成や策定のポイントに関しては、こちらで詳しく解説しています。併せてご覧ください。
SASEのメリット・デメリット
セキュアな環境をクラウド上で実現するSASEですが、どのようなメリット・デメリットがあるのでしょうか。
メリット
-
運用を簡素化し、工数やコストを削減する
ネットワーク・セキュリティ機能が一括で提供され、クラウド上で動作するSASEはオンプレミスで同等の環境を構築するよりもシンプルに運用可能です。
クラウドサービスであるためハードウェアのメンテナンスや障害対応に時間を取られることもありません。
個別のセキュリティ製品を組み合わせて組織が定めたセキュリティ環境を実現する場合は各製品の連携やシステム構成まで検討する必要がありますが、SASEであればプラットフォーム上でシンプルに構成可能です。
そのため、IT管理者の負荷を軽減し、コア業務へリソースを集中させることが可能になります。 -
VPNの弱点を克服する
テレワーク環境でオフィスへ接続するときに活用されているVPNですが、VPN通信は暗号化・復号化の負荷が重く、1台のVPN製品で処理できる通信は多くありません。
そのため、多くの従業員がテレワークを行なうと通信の切断や遅延、接続できないなどのトラブルが発生しやすく、生産性に影響を及ぼしていました。
また、VPN接続を行なうためにファイアウォールの設定作業が必要になるなど、IT管理者の負担や作業ミスのリスクも課題です。
SASEであれば従業員の自宅からクラウド上のSASEへ接続し、組織が求めるセキュリティを適用した上でクラウドサービスやWebサービスの利用が可能です。
安定した通信と強固なセキュリティを実現できるため、テレワーク環境にマッチした仕組みと言えるでしょう。 -
クラウドサービスを安全に利用し、内部不正や外部の脅威から組織を守る
クラウドサービスはコスト削減や生産性向上に有効ですが、個人契約のクラウドストレージを利用するなどのシャドーITや、クラウドサービスの設定漏れなどで第三者から情報を閲覧されてしまうなどのリスクを持っています。
これまではデバイスの監視やリテラシー教育で予防することが一般的でしたが、SASEのセキュリティ機能ならばシステム的に不適切なクラウドサービスの利用を防ぐことができます。
デメリット
-
導入ハードルが高い
非常に多くの機能が提供されるSASEですが、それは同時に導入の際に多くの既存システムからの置き換えが発生することを意味します。
ネットワークの構成変更はトラブル発生時の影響が大きくなりやすく、入念な検討を行なった上で複数回に分けて実施するなど、慎重な作業が求められます。
SASEが提供する機能全てを一度に切り替えるのはリスクが大きく、部分的な導入や一時的な並行運用も視野に入れ、トラブル防止を徹底する必要があります。 -
ノウハウやナレッジが少ない
SASEはまだ新しいソリューションであり、既存のセキュリティサービスのように豊富な情報にいつでもアクセスできるとは限りません。
ベンダーから十分なサポートが提供されるのか、自組織のIT管理部門でSASEの運用を無理なく行えるのか、を十分検討する必要があります。
不適切な運用により機能が停止してしまった場合、SASEを利用している業務が全て停止してしまうなどの大規模な障害も起こり得ることを意識して導入を検討する必要があります。
SASEは現代の課題を解決する多くのメリットを持っていますが、デメリットを認識せずにSASEの導入を進めると、大きな手戻りやコストの無駄が発生します。
自組織の業務において、本当に有効活用できるのかを十分に検討しましょう。
SASEの導入を検討するために
SASEは現代のセキュリティ課題を解決するために有効な機能を数多く提供しています。
しかし、実運用例がまだ少なく、発展途上であるSASEを利用するためには、利用者側のスキルや知識も必要となるでしょう。
導入するだけでセキュリティ環境が改善される便利なサービスではないため、自組織ではどのような効果を求め、どのように運用することが可能なのかを意識することが大切です。
“ChatGPT”の社内利用ルール、どう決める?
【AIサービス利用ガイドライン】を公開!
MOTEXが社内向けに作成したAIサービス利用ガイドラインをダウンロードできます。利用方針の決め方、作成ポイントの解説付き!
関連する記事
