NECフィールディング
サイト内の現在位置
SASEとは?意味や仕組み、メリットなどをわかりやすく解説!
SASEはクラウド時代に対応したネットワークセキュリティの新しい考え方です。「サシー」「サッシ―」と読みます。ゼロトラスト(すべて危険という考え方)に基づきクラウドからネットワーク機能・セキュリティ機能を提供し、急速に変化する企業のICT環境に対応します。ここではSASEとは何か、主な機能、SASEが求められる理由、メリット、さらにゼロトラストやCASB、DLPとの違いなどを解説します。
テレワーク・クラウド利用など企業を取り巻くICT環境が急速に変化する中、「ゼロトラスト」の実現に向け、NECフィールディングはお客さまの多様なニーズに対応し、設計から保守・運用までトータルサポートで「安心」をお届けします。
NECフィールディングが考えるゼロトラスト
SASEとは何か?
SASEは「Secure Access Service Edge(セキュア・アクセス・サービス・エッジ)」の頭文字で、2019年にアメリカのITアドバイザリー企業であるガートナーが提唱したネットワークセキュリティの新しい考え方です。「サシー」「サッシ―」と読みます。
これまでのセキュリティ対策は、一言で表すと「社内」を「外部の脅威」から守るものでした。具体的には社内のネットワークとインターネットなどの外部ネットワークの間にファイアウォール、あるいはその強化版ともいえるUTM(Unified Threat Management:統合脅威管理)などを設置し、ウイルスや不正アクセスなど外部ネットワークを介して押し寄せる脅威から社内ネットワークを守ることがセキュリティ対策の基本的な考え方でした。
しかし、ネットワーク環境やネットワークの利用形態は年々進化・高度化し、「社内を外部の脅威から守る」という考え方は実態と合わなくなってきています。
その大きな要因の1つはクラウドの普及です。クラウド上に設置されたサーバを利用し、データを保存・利用することはもちろん、クラウドから提供される各種の業務サービス、いわゆる「SaaS」の利用も進んでいます。つまり、社内ネットワークの外側は必ずしも「外部」とは言えなくなってきています。
あるいはリモートワークの進展で、社内のデータに外部からアクセスして業務を行うことも増えてきました。社外からクラウドに置かれた業務データを利用することも珍しくありません。
社内ネットワークと外部ネットワークの境目にファイアウォールを設置する従来型のセキュリティ対策では、もうカバーしきれない状況が生まれています。
こうした新しい状況に対応し、新たに浮上した問題や課題に対応した新しいセキュリティ対策が「SASE」です。クラウドの利用が当たり前になった新しい時代に、そこで求められる安全なネットワーク接続とセキュリティ対策をクラウドから総合的に提供しようという考え方です。
クラウドから、安全なネットワーク接続に必要なVPN、不正アクセスやウイルスを防ぐUTMを提供すれば、社内からクラウドにアクセスするときはもちろん、外出先、あるいはリモートワークで自宅などからクラウドを利用するときも、社内からアクセスするときと同じセキュリティレベルを実現することができます。つまり企業として、社員のどんな利用形態においても、同一レベルの高いセキュリティを確保することができます。
SASEの主な機能と仕組み
SASEは、ネットワークとセキュリティに関して現代の企業経営に求められる幅広い機能を提供します。ここでは主な機能とその仕組みを紹介します。
機能1.SD-WAN(Software-Defined WAN)
SASEが提供するネットワーク機能がSD-WANです。日本語では「ソフトウェア定義のWAN」と呼ばれます。従来、企業の安全な拠点間接続にはVPNが使われ、拠点間を安全につなぐことで、結果的に各地の拠点を結ぶ全社的なWANを構築していました。
SASEは、クラウドからVPN機能をソフトウェアで提供し、仮想的なWANを提供する技術です。ソフトウェアで柔軟に管理できるため、例えば、インターネットVPNとIP-VPNなど、拠点によって使用する物理回線が異なっていても、統括的な一元管理が可能になります。
機能2.SWG(Secure Web Gateway)
SWGは、ユーザのWebアクセスを制御し、可視化することで外部への安全な接続を実現する機能です。例えば、許可されていないサービスを使って、データを送信するようなことを防止します。
機能3.FWaaS(Firewall-as-a-Service)
FWaaSは、ファイアウォールをクラウドから提供する機能です。「クラウド型ファイアウォール」と呼ばれることもあります。不正アクセス、ウイルスを防ぐことに加え、IPS(侵入防止システム)、アプリケーション制御など、いわゆる「次世代ファイアウォール(NGFW)」と呼ばれる機能もクラウドから提供されるようになっています。
機能4.CASB(Cloud Access Security Broker)
CASBは、社員のクラウドサービスの利用を監視し、セキュリティを維持する機能です。「可視化」「コンプライアンス」「データセキュリティ」「脅威防御」がCASBを定義する4つの要素とされています。具体的には社員がクラウドにアクセスする際には必ずCASBを経由させ、コンプライアンスに触れる場合は通信をブロックしたり、機密情報の持ち出しなどを防止します。
機能5.ZTNA(Zero Trust Network Access)
ZTNAは、ゼロトラスト(安全な場所・モノはない)という考え方にもとづいてデータやアプリケーションなどの資産へのアクセスを提供する機能です。社内、社外を問わず、社員からのアクセスがあるたびに認証を行い、使用しているネットワークやデバイスの状態を確認して、セキュリティを維持します。
SASEが必要な理由や従来の課題
クラウド時代に対応したネットワークとセキュリティを提供するSASE。冒頭に触れたようにクラウドの普及、リモートワークやテレワークなどの働き方の変化によって、「本社にある大切なシステムやデータを守る」という従来のセキュリティの考え方は時代に合わなくなっています。同時に本社や支社など、会社の拠点からのクラウド利用にふさわしいネットワークのあり方、外出先やリモートワーク先からの快適なアクセスの提供など、企業が必要とするネットワークの姿も大きく変化しています。
SASEは、そうしたさまざまな要件に必要な機能をクラウドから一元的に提供するもの。これまで、拠点間のVPN接続、ファイアウォール、外出先からのリモートアクセス機能など、個別に整備されてきた機能を、クラウドからまとめて包括的に提供するサービスと言えます。
SASEのメリット
SASEはどのようなメリットをもたらすのでしょうか。具体的に見ていきましょう。
メリット1.生産性や業務効率の向上
SASEは、クラウドが普及し、テレワーク・リモートワークが進展した時代のネットワークであり、セキュリティ機能です。クラウドから一元的に必要な機能を提供することで、社員にとっては、従来よりも快適なネットワーク環境が提供され、煩雑なセキュリティ対策に悩まされることはなくなります。本来の業務に集中することができる上、柔軟な働き方が可能になるため、生産性や業務効率が向上します。
メリット2.セキュリティ面での機能向上
今、セキュリティは企業にとって重要な課題になっています。その中で、外部からの攻撃はもちろん、社員のクラウド利用、外出先からのアクセスなど、セキュリティの問題点となり得るポイントは増え続けていました。SASEは、クラウドにあるデータやアプリケーション、オンプレミスのシステムなど、あらゆる情報資産に対する社員のアクセスを一元管理することでセキュリティを強化します。
また同時に本社、支社、外出先、リモートワークの自宅など、あらゆる拠点に一元的なセキュリティ機能を提供し、外部からの攻撃や脅威を包括的に防ぎます。
メリット3.情報システムの負荷削減
SASEの導入によって、ネットワークとセキュリティは一元管理が可能になります。例えばこれまで拠点間通信にVPNを利用していた場合は、拠点のVPN機器の運用・管理が必要でした。SASEによって、クラウドからセキュリティ機能を提供し、一元管理することで、情報システム部門の負荷を削減できます。
メリット4.コスト削減
SASEはクラウドでネットワーク機能、セキュリティ機能を提供するため、本社や支社などに設置する機器類は最低限の数になります。機器のメンテナンスやバージョンアップや更新なども不要になり、コストを削減できます。
メリット5.スケールアップ・拡張も柔軟に
SASEなら、拠点間のトラフィックが増加したり、オンライン会議の普及で通信量が増加した際にも必要なネットワーク帯域を柔軟に確保することができます。またネットワークやセキュリティで新たな機能が必要になった場合、従来なら機器の更新などの対応が必要でしたが、そうした新機能もクラウドでいち早く提供され、全拠点・全社員に即座に適用されます。ビジネスを支えるネットワーク、セキュリティのスケールアップや機能拡張も柔軟に行うことができます。
SASEとゼロトラストの違いとは?
ゼロトラストは、すでに触れたように「安全な場所・モノはない」と定義して、あらゆる脅威に備えるセキュリティの考え方です。 従来のセキュリティ対策は、冒頭で触れたようにネットワークを「社内」と「社外(外部)」に分け、その境界にファイアウォールを置いて、外部の脅威から社内を守るものでした。社内は「安全」と考え、外部は「安全ではない」と考えていました。
しかし、クラウドやテレワークが普及し、従来のセキュリティの考え方は通用しなくなりました。
そうした背景から登場したのが、ゼロトラストという考え方です。ゼロトラストでは、社内と社外(外部)を区別せず、すべて危険と考えてセキュリティ対策を講じていきます。そして、ゼロトラストを実際に提供する仕組みが、SASEなのです。
ゼロトラストとは、組織内全体に対して、社内・社外を区別せず“すべて危険”という考えのもとセキュリティ対策を講じていく「考え方」のことを言います。
対してSASEも最初に説明したように、クラウド時代に対応したネットワークセキュリティの新しい「考え方」です。ですが、SASEはゼロトラストを実現するために実際に提供する仕組みともいえます。
つまり、ゼロトラストは組織内全体のセキュリティ対策に関する考え方で、SASEはネットワークセキュリティの仕組みなのです。
ゼロトラストの実現にはSASEの考え方が必要ですが、SASEだけでは組織内全体のゼロトラストの実現ができない、と考えると分かりやすいのではないでしょうか。
SASEとCASBの違いとは?
CASB(Cloud Access Security Broker、キャスビー)は、SASEの主な機能で取り上げたように、SASEのセキュリティ機能の1つです。社員が会社からでも、外出先やリモートワーク先からでもクラウドを利用する際に、必ずCASBを経由させることでクラウド利用の安全性を維持します。
つまり、CASBはSASEに欠かせない重要な要素であり、機能です。
SASEとDLPの違いとは?
DLP(Data Loss Prevention)は、顧客の個人情報や機密情報など、重要なデータの流出や紛失を防ぐシステムのことです。重要なデータを常に監視し、USBメモリに保存したり、社外に送信しようとした時には、警告を行ったり、保存や送信をブロックします。CASBと同じようにSASEを構成するセキュリティ機能の1つが、DLPです。
SASEに関するご相談はNECフィールディングへ
SASEはネットワーク機能とネットワークセキュリティ機能をクラウドから包括的に提供する新しいネットワークセキュリティの概念であり、サービスです。
クラウドから提供されるため、利用者は社内外の場所を問わず、常に快適かつセキュアにネットワークを利用することができます。既存環境と共存させて、テレワークなどの社外に設置された端末のみに適用することも可能です。
クラウド時代に対応したネットワーク・セキュリティ
クラウドからネットワーク機能・セキュリティ機能を提供するSASEは、まさにクラウド活用が前提となる時代の要請から生まれたものです。クラウドの普及はもちろん、テレワーク・リモートワークの増加、デバイスの多様化、サイバー攻撃の高度化・巧妙化など、企業を取り巻く環境は大きく変化しています。SASEはゼロトラスト(すべて危険という考え方)にもとづくネットワーク機能・セキュリティ機能を実現します。
関連記事
パブリッククラウドとは、不特定多数のユーザが利用できるオープンな状態のクラウドサービスのこと。この記事では、Amazon Web Services、Microsoft Azure、Google Cloudなど世界5大パブリッククラウドについて比較していきます。またパブリッククラウドとプライベートクラウドの比較、オンプレミスとの比較、それぞれのメリット・デメリットなども解説。パブリッククラウドのセキュリティ対策についても紹介します。
ゼロトラストセキュリティとは、信用がないことを前提にしたセキュリティ対策のことです。今までのネットワークセキュリティが抱える課題から、ゼロトラストセキュリティが重要視される理由やメリット・デメリットについて考えてみましょう。さらにゼロトラストの7つの原則と、実現に向けた4つのソリューションを解説しながら、導入時・運用時の注意点を詳しく紹介します。
Active Directory(アクティブディレクトリ)は、いまや多くの企業で利用されている機能ですが、どのような機能なのか知らない人も多いようです。そこでこの記事では、Active Directoryとはなにか、関連する専門用語や特徴について解説します。また、Active Directoryのメリット・デメリット、注意点についても説明します。
発行元:NECフィールディング
お客さま事業・業務にお役立ていただける情報をお届けします。
ご相談はお問い合わせフォームよりご連絡ください。
※当社は法人向けサービスを提供しているため、個人のお客さまに対してはサービス提供できません。あらかじめご了承ください。