SASEとは

SASE（Secure Access Service Edge）とは

「SASE（Secure Access Service Edge）」とは、ネットワークとセキュリティの機能を統合し、クラウドサービスとして包括的に提供するソリューションを指す呼び名です。SASEの概念は世界有数のITリサーチ＆アドバイザリ企業であるガートナーによって、2019年に提唱されました。

SASEが生まれた背景

従来のセキュリティ対策は、社内とインターネットのようにネットワークを「内部」と「外部」に分けて考える、いわゆる「境界型」のセキュリティモデルが主流でした。そして、内部と外部の境界にファイアウォールなどのセキュリティ機器を設けて、外部からの脅威の侵入を防御するのが基本となっています。そもそも、境界型のセキュリティモデルでは、境界の内側は安全であり、内側にいるユーザーやデバイスはすべて信頼できるということを大前提としています。そのため、境界面さえ確実に防御すれば、内部の安全は確保できるという理屈になるわけです。

セキュリティと利便性は、一般的にトレードオフの関係にあります。そのため、セキュリティを強固に設定すればするほど、認証の手間やアクセスの制限などが増え、利用者の利便性は低下していきます。そこで、境界型セキュリティモデルでは、「境界の内部は安全で信頼できる」という前提のもと、利用者の利便性を優先し、内部のセキュリティは緩めに設定されていることがよくあります。例えば、社内サーバーには「ファイアウォールを設置していない」「厳密なアクセス制限をしていない」「そもそもパスワード不要で誰でもアクセスできる」といった具合です。

もちろん、内部の安全が完全に保証されているのであれば、これでも問題ないでしょう。ですが、万が一マルウェアや悪意のあるユーザーの侵入を許してしまうと、この「緩さ」が仇となってしまいます。攻撃者から見れば「一度侵入さえできればやりたい放題」となってしまうため、非常に被害が拡大しやすいのです。

また、現在では基幹システムをクラウド上に構築したり、モバイルデバイスから社外のクラウドサービスにアクセスするといったことが一般的に行われています。これは言い換えると、利用者や対象のシステムが社内だけに閉じず、内部および外部のネットワーク上に分散しているということです。こうなるとシステムの構成上、境界型セキュリティモデルでは、どうしてもカバーし切れない部分が出てきます。

このようなケースに対応するための考え方として注目されているのが、あらゆるユーザー・リクエスト・サーバーは信用できないという前提で運用されるセキュリティモデルである「ゼロトラスト」です。ゼロトラストは、2010年にForrester Research社により提唱されました。内部は安全であるとし、暗黙的に信頼する境界型セキュリティモデルとは、対照的なモデルであると言えるでしょう。ゼロトラストの詳細については、「クラウド時代のセキュリティモデル「ゼロトラストネットワーク」」をご覧ください。

このゼロトラストの考え方をベースとして、実現するために必要なネットワークとセキュリティの機能を統合し、ソリューションとして提供しているのがSASEとなります。

SASEの機能

SASEに含まれている代表的な機能としては、以下が挙げられます。

SD-WAN（Software Defined - Wide Area Network）

「Software Defined Network（SDN）」という技術があります。SDNは、ネットワークをソフトウェアで制御可能とする技術ですが、これをWAN（広域ネットワーク）に適用したものがSD-WANです。SD-WANは、ソフトウェアによる仮想的なWANの構築を可能とし、より柔軟な経路制御やトラフィックコントロールを実現します。

SWG（Secure Web Gateway）

「SWG（Secure Web Gateway）」は、危険なサイトへのアクセスや許可されていないアプリケーションの利用などをブロックする機能です。SWGは、Webサイトへのアクセスを中継するプロキシとして動作し、URLフィルタリングやアプリケーションフィルタなどでユーザーをさまざまな脅威から守ります。

CASB（Cloud Access Security Broker）

「CASB（Cloud Access Security Broker）」は、クラウドサービスの利用状況を可視化し、監視やアクセス制御を実現する機能です。CASBは、クライアントとクラウドサービスの間に監視を行うコントロールポイントを設けることで、クラウドサービスへのアクセスを監視します。CASBを導入すれば、クラウドサービスの利用におけるセキュリティを一括してコントロールできるようになります。例えば、不審なアクセスやセキュリティポリシー違反などをいち早く検出したり、利用を禁止されているサービスへのアクセスをブロックすることが可能です。ただし、CASBはSWGと異なり、あくまで監視対象がクラウドサービスの利用のみに限定される点には注意してください。

FWaaS（Firewall as a Service）

FWaaS（Firewall as a Service）とは、その名の通りクラウドサービスとして利用できるファイアウォールです。クラウドサービスとはいえ、その目的や機能はオンプレミスに設置していた従来のファイアウォールとほぼ同じなため、SASEの機能の中では理解しやすい機能だと言えるでしょう。従来のファイアウォールと差別化されている点としては、ファイアウォールをクラウド上にオフロードできることが挙げられます。これによって、ポリシーの一元管理が可能になったり、トラフィック増減に対するサイジングの最適化がしやすいといったメリットが生まれます。

ZTNA（Zero Trust Network Access）

ZTNA（Zero Trust Network Access）とは、ゼロトラストの考え方に基づき、事前に定義されたポリシーによって、サービスへのアクセスをコントロールするための仕組みです。リソースへのアクセスが発生するごとにユーザーを評価し、ポリシーに基いてアクセスの可否を判断します。

SASEのメリット

SASEの導入には、以下に挙げるようなメリットがあります。

ゼロトラストによるセキュリティ強化

現在では、働き方改革の推進といった背景もあり、自宅や外出先などから社内ネットワークやクラウドサービスにアクセスする機会が増加しています。こうした変化に伴って、従来の境界型のセキュリティモデルでは、カバーすることが難しい部分が出てきているのは前述の通りです。対して、SASEでは提供されているネットワークとセキュリティ機能を活用し、ゼロトラストによるセキュリティ対策を実現することができます。これによって、社外からのアクセスであっても、ユーザーは社内ネットワークやクラウドサービスを安全に利用することができるようになります。

一元管理によるコスト削減

機能単位でネットワークやセキュリティのソリューションを導入することも可能でしょう。ですが、その場合に管理やバージョンアップなどの運用・保守をそれぞれのソリューションにおいて、個別に実施する必要が出てきます。また、各ソリューション間で重複する機能があると、いわば二重に費用を払うことになり、無駄なコストが発生してしまいます。SASEでは、ネットワークとセキュリティの機能を一元管理できるため、作業効率化やコスト削減が見込めます。

快適なテレワーク環境の構築

複数のクラウドサービスを利用する場合、必然的に社内から社外に対して、多数のセッションが張られることになります。これは、ネットワーク経路上に存在するゲートウェイやファイアウォール、プロキシサーバーに対して、負荷が増大することを意味します。従来のデータセンターを中心としたネットワークの場合、経路設定によっては業務で使われているWANやVPNの回線を圧迫したり、通信の遅延が発生する恐れもあるでしょう。SASEの機能である「インターネットブレイクアウト（ローカルブレイクアウト）」を利用すれば、用途に応じて接続先を選定し、データセンターを経由せずに直接アクセスするといった、柔軟なルーティングが可能になります。通信速度の低下や通信品質の劣化を防ぎ、快適なテレワーク環境の構築に役立ちます。

テレワークについて解説したeBookを無料提供中！

ニフクラ/FJcloud-Vでは、ニューノーマルに適応したテレワーク環境の整備が求められる中、さらなる先のリスクも見据えたセキュリティ対策や運用方法、環境整備の選択肢として注目されるクラウドについて解説したeBook「「テレワーク」でオフィスのITモダナイズ」を無料で提供しています。ぜひダウンロードしてご覧ください。