SASEを徹底解説！クラウド時代の新しいネットワークセキュリティモデル

SASE は新しいセキュリティモデル

新人「SASE とは、どこかで聞いたような気もしますが、どんなセキュリティなんですか？」

先輩「まずは SASE の概念から行こうか。」

SASE（Secure Access Service Edge）は、アメリカの Gartner 社が新たに提唱したネットワークセキュリティモデルだ。ここでは、SASE の定義や他のセキュリティモデルとの違いと SASE の仕組みについて解説していこう。

SASE とは

Gartner 社が2019年8月に発表したレポート、"The Future of Network Security Is in the Cloud"の中で、SASE とは「ネットワーク機能とネットワークセキュリティ機能を一つでまとめて提供する製品」であると説明されている。

同レポートでは、「デジタルビジネスの変革には、いつでもどこでもアプリケーションに接続する必要があり、現在その多くはクラウド上に存在している」とも記載しており、SASE はそのような時代に即したセキュリティモデルと言える。

従来からネットワークセキュリティモデルの主流となっていたのは、境界防御モデルだ。これは、社内ネットワークは安全で社外ネットワークは危険という前提に立つモデルだ。

そのため、重要なデータは社内ネットワーク内に留め、社内ネットワークと社外ネットワークとの境界をファイアウォールなどで守ることで、セキュリティを確保する。

しかし、クラウドサービスの利用増加やテレワークの普及により、明確に社内と社外を区別することが困難となり、境界防御モデルだけでは不十分になってきた。

そこで、新たなセキュリティモデルとして、ゼロトラストセキュリティが注目されている。これは、社内ネットワーク・社外ネットワーク問わず情報にアクセスするもの全てを信用せず検証するという考え方だ。

SASE は、このゼロトラストセキュリティを実現するソリューションとも言える。ネットワーク機能とネットワークセキュリティ機能を統合して提供するため、管理負荷が少なく、データをやり取りするネットワーク自体がセキュリティ機能を持つため、防御力とパフォーマンスにも優れているとされているんだ。

SASE の仕組み

前述の "The Future of Network Security Is in the Cloud" によると、SASE は大きく分けて以下の2要素の組合せで構成されている。

SASE では、離れた場所同士をつなぐ仮想ネットワークである SD-WAN（Software-defined Wide Area Network）がネットワーク機能を担う。

また、セキュリティ機能としては、4つのコア機能が含まれていて、SD-WAN による柔軟なネットワーク機能とこれらのセキュリティ機能でネットワーク自体を保護することになる。

SASE によるセキュリティが注目される３つの背景

新人「なるほど、SASE は仮想化したネットワーク自体にセキュリティ機能を持たせるんですね。」

先輩「そのとおり、次は SASE によるセキュリティが注目されている背景について説明しようか。」

SASE によるセキュリティが注目される背景は以下の３つになる、順番に解説していこう。

テレワークの普及

新型コロナウイルス感染症の拡大防止で急速に進んだが、以前から少子高齢化に伴う労働人口の減少や働き方改革による生産性の向上を目指して、テレワークの普及が推進されている。

株式会社東京商工リサーチの調査（2020年8月29日〜9月8日）によると、アンケートを行った全12,980社のうち34.4%の企業が現在テレワークを実施していると回答した。テレワーク普及の流れは、今後も続くものと推察されている。

テレワークには、コスト削減や事業継続性などメリットが多数存在するが、デメリットも存在する、セキュリティ上のリスクもデメリットの一つだ。

テレワークを実施するにあたっては、社内にあったノートブック PC を社外に持ち出して作業するケースや、自宅やカフェ、サテライトオフィスなど社外ネットワークから社内ネットワークにアクセスして作業するなど、さまざまなケースが想定される。

こうした社内ネットワークの外に端末が持ち出されての作業が多くなると、従来の境界防御のモデルだけではセキュリティ対策としては不十分になってきた。

セキュリティ強化のためにゼロトラストセキュリティを実施するにしても、その結果テレワークでの利便性が減少しては意味がない。そのため、管理側の負荷が少なく優れたパフォーマンスが提供できる SASE が注目されているんだ。

クラウドへのシフト

現在、ニューノーマルへの対応や人材不足の解消を目的に、経済産業省が DX推進ガイドラインを公開するなど、国をあげて DX の推進がなされている。

データ活用により業務改善やイノベーションを推進する DX は、社内だけではなく、クラウドサービスを活用しないと、スピード感や柔軟性が発揮できない。そのためデータ量が大きく増加するだけではなく、社内ネットワークだけでデータを管理するわけにはいかなくなるんだ。

実際、総務省の令和2年度情報通信白書によると、クラウドサービスを一部でも利用している企業の割合は64.7％で、前年の58.7％から6.0ポイント上昇しており、実際にクラウドへのシフトが進んでいることがわかる。

また、クラウドサービスの効果については、「非常に効果があった」または「ある程度効果があった」と回答した企業の割合は85.5％とのアンケート結果も出ており、今後もクラウドへのシフトが続くと想定されている。

ただ、クラウドへのシフトに伴い、明確に社内ネットワークと社外ネットワークを区別することが困難になってきている。それは、従来の境界防御モデルではセキュリティ対策が難しくなってきているという事でもある。そのため、クラウドを前提とした SASE によるセキュリティが注目されているんだ。

拡大する情報漏洩リスク

情報処理推進機構（IPA）の「情報セキュリティ10大脅威 2021」では、組織における情報セキュリティ脅威ランキングで「テレワーク等のニューノーマルな働き方を狙った攻撃」が3位にランクインした。

テレワークへの対応が急務だったこともあり、社外からアクセスできる情報の範囲を広げたり、クラウドサービスを併用して自社で管理できない場所に情報を保管するなど、今までのセキュリティ対策では対応しきれない状況も発生してきている。

さらに、従来の境界防御モデルは、社内ネットワークは安全で社外ネットワークは危険という前提に立っている。しかし、サイバー攻撃の急速な進化により100%の防御は不可能といわれており、もはや社内ネットワークは安全という前提が通用しなくなってきている。

大きく変化するビジネス環境と、テレワーク対応のセキュリティ対策が間に合っていないこと、そして急速に進化するサイバー攻撃により、企業の情報漏洩リスクはこれまでにないほど高くなってきているんだ。

情報漏洩によるセキュリティインシデントは、ビジネスにおいて損害賠償や対策費などといったコスト面と企業ブランドの棄損といったブランディング面の両方に大きな影響を与えるため、これからのビジネス環境に即したより強固なセキュリティを実現させるために、ゼロトラストセキュリティ、さらにはSASEによるセキュリティが注目されてきているんだ。

SASE によるセキュリティが必要な３つの理由

新人「SASE は、クラウドがより重要になるこれからの時代に適したセキュリティというわけなんですね。」

先輩「その通り、では次に SASE がなぜ必要なのかについて考えてみよう。」

SASE は、これまでの境界防御セキュリティやゼロトラストセキュリティと比べて、ネットワークの現状に即しているセキュリティだと言われている。

現在のネットワークに SASE によるセキュリティが必要な理由は次の3つだ。

クラウドに対応したセキュリティ

前述のとおり、現在国をあげて DX やテレワークの推進が進められており、それに伴ったクラウドインフラへのシフトも進んでいる。

クラウドインフラでは、社内ネットワークと社外ネットワークの境界が曖昧になるため、従来主流だった境界防御モデルだけではセキュリティ対策が不十分になる。

また、多くの企業では複数の SaaS 型クラウドサービスを利用するマルチクラウドが普通になってきている。マルチクラウド対応はゼロトラストセキュリティを実施する上で、利用する SaaS 毎にポリシーが異なるなど、管理負荷の増加やパフォーマンス低下などが発生する恐れもあった。

ネットワークとネットワークセキュリティ機能を統合するSASE は、利用するクラウドサービスや接続元などを一元管理できるため、管理負荷が少なく、さらには、SD-WAN によるネットワーク最適化などによりSaaSのパフォーマンスも向上させることができる。

これからも加速していくクラウド化は、今まで以上にネットワークにつながる「入口」と「出口」がビジネスの現場で増えていくことになる。

そういった中では、ネットワークインフラとセキュリティが一体化して動けるようにする SASE のようなセキュリティが必要になってきたわけだ。

統合的なセキュリティ対策の実現

オンプレミスやプライベートクラウドで構築したシステムは、社内ネットワーク内でアプリケーションやデータの管理を行うため、自由自在にカスタマイズできる上に柔軟なセキュリティポリシーの設定も可能だ。

一方、SaaS のようなクラウドサービスでは、スケールアップやスケールアウトを柔軟に行ったり迅速なサービス利用が可能な反面、セキュリティポリシーの適用は SaaS の提供元毎に異る場合がある。

SASE では、SaaS として提供されているアプリケーションへのネットワーク接続を統合管理することで、SaaS を利用する際のセキュリティポリシーの設定を迅速に行えるようになる。

クラウドサービスの利用まで含めた統合的なセキュリティ対策が実現できるため、SaaS のメリットである柔軟性や拡張性をビジネスに素早く取り入れることが可能になるんだ。

働き方の変化に柔軟に対応できる

現在は、新型コロナウイルス感染症の拡大防止だけでなく、働き方改革推進によるテレワークの普及が拡大している。

急速に普及が進んだテレワークだが、企業の業務体制や業種、既存のネットワーク構成やシステムによって、テレワークを実現しているシステムは既存で利用していた VPN を拡大していたり、VDI やデジタルワークスペースのようなサービスを導入したりとさまざまだ。

当然、それに合わせてセキュリティ対策もさまざまな形で行われているが、SASE はクラウドの利用が前提となっているためテレワークを実現するソリューションのいずれとも相性が良い。既存のネットワークシステムを仮想化によってより柔軟に利用できるようになるから、複数のオフィス間での接続などにも対応ができるようになる。

だから従来の境界型モデルとは、異なるアプローチで企業ネットワーク全体を保護する SASE が、これからの変化が激しいビジネス環境では、必要と考えられているんだ。

SASE によるセキュリティを導入する際の留意点

いいこと尽くめに思える SASEによるセキュリティだが、導入する際には、いくつか留意する点がある。

一つ目は、SASE を実現するための「単一のサービス」が非常に少ないことだ。そのため、これまでは SASE を実現させるために、自社の実情に合わせていくつかのソリューションを組み合わせる必要があった。その分、管理が複雑化したり、カスタマイズのコストで導入費用が高くなる場合もある。

二つ目は、SASE の導入方法だ。SASE は企業で使用するネットワークを変更するものである以上、既存のネットワークアーキテクチャのすべてを一斉に切り替えることはあまり現実的ではない。

そのため、最終的なネットワークアーキテクチャをしっかりと見据えた上で、計画的に SASE を導入していくことが必要になる。

三つ目が、他のセキュリティ施策と連携しないと、管理に余計な負担がかかるということだ。

SASE はクラウドベースでネットワークセキュリティを統合するソリューションだ。そのため、SASE ではカバーすることができないエンドポイントセキュリティなどと、システム的に連携させることが重要であり、バラバラに管理しようとするとインフラ側もセキュリティ側もかえって管理に負荷がかかってしまう可能性があるんだ。

まとめ

新人「SASE を導入することで、管理の目も届きやすくなってセキュリティ上は強化されるけど、1つを入れて対策が終わりというわけにはいかないんですね。」

先輩「新しい働き方に最適化されているという事は、古い働き方については別途フォローが必要になるということでもあるからな、それでもネットワークそのものにセキュリティ機能を持たせるというのは、これからの企業にとって必要になってくる対策だと思うな。」

新人「エンドポイントセキュリティにゼロトラストセキュリティ、そして SASE ですか...全部揃えるとだいぶ強固になる気がします。」

先輩「作業をするのが人間である以上、どんなセキュリティソリューションでも万全という事はないが、なるべく最新の体制にしていきたいものだな。」

SB C&S では、VMware による SASE ソリューションである「VMware SASE」を提供して、ハイブリッドクラウドを運用する企業のネットワークセキュリティ保護をサポートします。その他にも、デバイス毎の振る舞いを監視する EDR（Endpoint Detection and Response）によりエンドポイントのセキュリティを強化する、クラウドをベースにした次世代のセキュリティソリューション「 VMware Carbon Black Cloud 」や、持ち出されたデバイスのモダンマネジメントを実現し、従業員に安全なテレワーク環境を提供する「 VMware Workspace ONE 」、企業の社内リソースを保護する「VMware Carbon Black Cloud Workload」、そしてセキュリティ関連製品の連携によりテレワークの従業員をまとめて保護する「 VMware Anywhere Workspace 」など多彩なセキュリティ対策ソリューションをご提供しています。詳しくは、下記の製品ページまたはソリューションページをご確認ください。