サイバーセキュリティのトレンド
SASEを徹底解説!クラウド時代の新しいネットワークセキュリティモデル
- 連載記事/コラム
近年、多くの企業ではクラウドインフラの導入が進んでいます。また、テレワークやハイブリッドワークといった新しい働き方も拡大しています。
しかし、クラウドの利用やテレワークで持ち出された端末によりセキュリティ上のリスクが増大し、従来のネットワークセキュリティモデルでは対応が難しくなってきました。そこで生まれたクラウドに対応したセキュリティモデルが SASE です。
この記事では、SASE の意味に加えて、注目される背景や必要とされる背景について解説し、SASE によるセキュリティを導入する際の留意点も紹介します。
新人「テレワーク向けのセキュリティ強化は、エンドポイントセキュリティ以外だとどんなものがあるんですか?」
先輩「急速に普及したテレワークと合わせて伸びているのがクラウドサービスの利用だな、エンドポイントセキュリティの次は、そのクラウドのネットワーク保護の強化をしたいと考えている企業が増えているな。」
新人「クラウドネットワークの保護ですか...、それは VPN とかゲートウェイの強化という事ですか?」
先輩「そういったものも含めて、注目されているのが SASE というソリューションだ、これからのセキュリティを考える上で重要なキーワードだから、今日は SASE について確認して行こうか。」
SASE は新しいセキュリティモデル
新人「SASE とは、どこかで聞いたような気もしますが、どんなセキュリティなんですか?」
先輩「まずは SASE の概念から行こうか。」
SASE(Secure Access Service Edge)は、アメリカの Gartner 社が新たに提唱したネットワークセキュリティモデルだ。ここでは、SASE の定義や他のセキュリティモデルとの違いと SASE の仕組みについて解説していこう。
SASE とは
Gartner 社が2019年8月に発表したレポート、"The Future of Network Security Is in the Cloud"の中で、SASE とは「ネットワーク機能とネットワークセキュリティ機能を一つでまとめて提供する製品」であると説明されている。
同レポートでは、「デジタルビジネスの変革には、いつでもどこでもアプリケーションに接続する必要があり、現在その多くはクラウド上に存在している」とも記載しており、SASE はそのような時代に即したセキュリティモデルと言える。
従来からネットワークセキュリティモデルの主流となっていたのは、境界防御モデルだ。これは、社内ネットワークは安全で社外ネットワークは危険という前提に立つモデルだ。
そのため、重要なデータは社内ネットワーク内に留め、社内ネットワークと社外ネットワークとの境界をファイアウォールなどで守ることで、セキュリティを確保する。
しかし、クラウドサービスの利用増加やテレワークの普及により、明確に社内と社外を区別することが困難となり、境界防御モデルだけでは不十分になってきた。
そこで、新たなセキュリティモデルとして、ゼロトラストセキュリティが注目されている。これは、社内ネットワーク・社外ネットワーク問わず情報にアクセスするもの全てを信用せず検証するという考え方だ。
SASE は、このゼロトラストセキュリティを実現するソリューションとも言える。ネットワーク機能とネットワークセキュリティ機能を統合して提供するため、管理負荷が少なく、データをやり取りするネットワーク自体がセキュリティ機能を持つため、防御力とパフォーマンスにも優れているとされているんだ。
参考:The Future of Network Security Is in the Cloud | Gartner
SASE の仕組み
前述の "The Future of Network Security Is in the Cloud" によると、SASE は大きく分けて以下の2要素の組合せで構成されている。
- ネットワーク機能
- 包括的セキュリティ機能
SASE では、離れた場所同士をつなぐ仮想ネットワークである SD-WAN(Software-defined Wide Area Network)がネットワーク機能を担う。
また、セキュリティ機能としては、4つのコア機能が含まれていて、SD-WAN による柔軟なネットワーク機能とこれらのセキュリティ機能でネットワーク自体を保護することになる。
SWG(Secure Web Gateway) | Web 全般を対象とした、URL フィルタやアンチウイルスなどの機能 |
---|---|
CASB(Cloud Access Security Broker) | クラウドサービスを対象とした、操作制御やログ記録などの機能 |
FWaaS(Firewall-as-a-Service) | クラウド上でサービスとして提供されるファイアウォール機能 |
ZTNA(Zero Trust Network Access) | ユーザーや端末を対象とした、社内データへのアクセスをそれぞれの条件に照らし合わせて許可する機能(ゼロトラストセキュリティ) |
SASE によるセキュリティが注目される3つの背景
新人「なるほど、SASE は仮想化したネットワーク自体にセキュリティ機能を持たせるんですね。」
先輩「そのとおり、次は SASE によるセキュリティが注目されている背景について説明しようか。」
SASE によるセキュリティが注目される背景は以下の3つになる、順番に解説していこう。
- テレワークの普及
- クラウドへのシフト
- 拡大する情報漏洩リスク
テレワークの普及
新型コロナウイルス感染症の拡大防止で急速に進んだが、以前から少子高齢化に伴う労働人口の減少や働き方改革による生産性の向上を目指して、テレワークの普及が推進されている。
株式会社東京商工リサーチの調査(2020年8月29日〜9月8日)によると、アンケートを行った全12,980社のうち34.4%の企業が現在テレワークを実施していると回答した。テレワーク普及の流れは、今後も続くものと推察されている。
テレワークには、コスト削減や事業継続性などメリットが多数存在するが、デメリットも存在する、セキュリティ上のリスクもデメリットの一つだ。
テレワークを実施するにあたっては、社内にあったノートブック PC を社外に持ち出して作業するケースや、自宅やカフェ、サテライトオフィスなど社外ネットワークから社内ネットワークにアクセスして作業するなど、さまざまなケースが想定される。
こうした社内ネットワークの外に端末が持ち出されての作業が多くなると、従来の境界防御のモデルだけではセキュリティ対策としては不十分になってきた。
セキュリティ強化のためにゼロトラストセキュリティを実施するにしても、その結果テレワークでの利便性が減少しては意味がない。そのため、管理側の負荷が少なく優れたパフォーマンスが提供できる SASE が注目されているんだ。
参考:第8回「新型コロナウイルスに関するアンケート」調査 | 株式会社東京商工リサーチの調査(2020年8月29日〜9月8日)
クラウドへのシフト
現在、ニューノーマルへの対応や人材不足の解消を目的に、経済産業省が DX推進ガイドラインを公開するなど、国をあげて DX の推進がなされている。
データ活用により業務改善やイノベーションを推進する DX は、社内だけではなく、クラウドサービスを活用しないと、スピード感や柔軟性が発揮できない。そのためデータ量が大きく増加するだけではなく、社内ネットワークだけでデータを管理するわけにはいかなくなるんだ。
実際、総務省の令和2年度情報通信白書によると、クラウドサービスを一部でも利用している企業の割合は64.7%で、前年の58.7%から6.0ポイント上昇しており、実際にクラウドへのシフトが進んでいることがわかる。
また、クラウドサービスの効果については、「非常に効果があった」または「ある程度効果があった」と回答した企業の割合は85.5%とのアンケート結果も出ており、今後もクラウドへのシフトが続くと想定されている。
参考:令和2年版情報通信白書 | 総務省
ただ、クラウドへのシフトに伴い、明確に社内ネットワークと社外ネットワークを区別することが困難になってきている。それは、従来の境界防御モデルではセキュリティ対策が難しくなってきているという事でもある。そのため、クラウドを前提とした SASE によるセキュリティが注目されているんだ。
拡大する情報漏洩リスク
情報処理推進機構(IPA)の「情報セキュリティ10大脅威 2021」では、組織における情報セキュリティ脅威ランキングで「テレワーク等のニューノーマルな働き方を狙った攻撃」が3位にランクインした。
参考:情報セキュリティ10大脅威 2021 | 情報処理推進機構(IPA)
テレワークへの対応が急務だったこともあり、社外からアクセスできる情報の範囲を広げたり、クラウドサービスを併用して自社で管理できない場所に情報を保管するなど、今までのセキュリティ対策では対応しきれない状況も発生してきている。
さらに、従来の境界防御モデルは、社内ネットワークは安全で社外ネットワークは危険という前提に立っている。しかし、サイバー攻撃の急速な進化により100%の防御は不可能といわれており、もはや社内ネットワークは安全という前提が通用しなくなってきている。
大きく変化するビジネス環境と、テレワーク対応のセキュリティ対策が間に合っていないこと、そして急速に進化するサイバー攻撃により、企業の情報漏洩リスクはこれまでにないほど高くなってきているんだ。
情報漏洩によるセキュリティインシデントは、ビジネスにおいて損害賠償や対策費などといったコスト面と企業ブランドの棄損といったブランディング面の両方に大きな影響を与えるため、これからのビジネス環境に即したより強固なセキュリティを実現させるために、ゼロトラストセキュリティ、さらにはSASEによるセキュリティが注目されてきているんだ。
SASE によるセキュリティが必要な3つの理由
新人「SASE は、クラウドがより重要になるこれからの時代に適したセキュリティというわけなんですね。」
先輩「その通り、では次に SASE がなぜ必要なのかについて考えてみよう。」
SASE は、これまでの境界防御セキュリティやゼロトラストセキュリティと比べて、ネットワークの現状に即しているセキュリティだと言われている。
現在のネットワークに SASE によるセキュリティが必要な理由は次の3つだ。
- クラウドに対応したセキュリティ
- 統合的なセキュリティ対策の実現
- 働き方の変化に柔軟に対応できる
クラウドに対応したセキュリティ
前述のとおり、現在国をあげて DX やテレワークの推進が進められており、それに伴ったクラウドインフラへのシフトも進んでいる。
クラウドインフラでは、社内ネットワークと社外ネットワークの境界が曖昧になるため、従来主流だった境界防御モデルだけではセキュリティ対策が不十分になる。
また、多くの企業では複数の SaaS 型クラウドサービスを利用するマルチクラウドが普通になってきている。マルチクラウド対応はゼロトラストセキュリティを実施する上で、利用する SaaS 毎にポリシーが異なるなど、管理負荷の増加やパフォーマンス低下などが発生する恐れもあった。
ネットワークとネットワークセキュリティ機能を統合するSASE は、利用するクラウドサービスや接続元などを一元管理できるため、管理負荷が少なく、さらには、SD-WAN によるネットワーク最適化などによりSaaSのパフォーマンスも向上させることができる。
これからも加速していくクラウド化は、今まで以上にネットワークにつながる「入口」と「出口」がビジネスの現場で増えていくことになる。
そういった中では、ネットワークインフラとセキュリティが一体化して動けるようにする SASE のようなセキュリティが必要になってきたわけだ。
統合的なセキュリティ対策の実現
オンプレミスやプライベートクラウドで構築したシステムは、社内ネットワーク内でアプリケーションやデータの管理を行うため、自由自在にカスタマイズできる上に柔軟なセキュリティポリシーの設定も可能だ。
一方、SaaS のようなクラウドサービスでは、スケールアップやスケールアウトを柔軟に行ったり迅速なサービス利用が可能な反面、セキュリティポリシーの適用は SaaS の提供元毎に異る場合がある。
SASE では、SaaS として提供されているアプリケーションへのネットワーク接続を統合管理することで、SaaS を利用する際のセキュリティポリシーの設定を迅速に行えるようになる。
クラウドサービスの利用まで含めた統合的なセキュリティ対策が実現できるため、SaaS のメリットである柔軟性や拡張性をビジネスに素早く取り入れることが可能になるんだ。
働き方の変化に柔軟に対応できる
現在は、新型コロナウイルス感染症の拡大防止だけでなく、働き方改革推進によるテレワークの普及が拡大している。
急速に普及が進んだテレワークだが、企業の業務体制や業種、既存のネットワーク構成やシステムによって、テレワークを実現しているシステムは既存で利用していた VPN を拡大していたり、VDI やデジタルワークスペースのようなサービスを導入したりとさまざまだ。
当然、それに合わせてセキュリティ対策もさまざまな形で行われているが、SASE はクラウドの利用が前提となっているためテレワークを実現するソリューションのいずれとも相性が良い。既存のネットワークシステムを仮想化によってより柔軟に利用できるようになるから、複数のオフィス間での接続などにも対応ができるようになる。
だから従来の境界型モデルとは、異なるアプローチで企業ネットワーク全体を保護する SASE が、これからの変化が激しいビジネス環境では、必要と考えられているんだ。
SASE によるセキュリティを導入する際の留意点
いいこと尽くめに思える SASEによるセキュリティだが、導入する際には、いくつか留意する点がある。
一つ目は、SASE を実現するための「単一のサービス」が非常に少ないことだ。そのため、これまでは SASE を実現させるために、自社の実情に合わせていくつかのソリューションを組み合わせる必要があった。その分、管理が複雑化したり、カスタマイズのコストで導入費用が高くなる場合もある。
二つ目は、SASE の導入方法だ。SASE は企業で使用するネットワークを変更するものである以上、既存のネットワークアーキテクチャのすべてを一斉に切り替えることはあまり現実的ではない。
そのため、最終的なネットワークアーキテクチャをしっかりと見据えた上で、計画的に SASE を導入していくことが必要になる。
三つ目が、他のセキュリティ施策と連携しないと、管理に余計な負担がかかるということだ。
SASE はクラウドベースでネットワークセキュリティを統合するソリューションだ。そのため、SASE ではカバーすることができないエンドポイントセキュリティなどと、システム的に連携させることが重要であり、バラバラに管理しようとするとインフラ側もセキュリティ側もかえって管理に負荷がかかってしまう可能性があるんだ。
まとめ
新人「SASE を導入することで、管理の目も届きやすくなってセキュリティ上は強化されるけど、1つを入れて対策が終わりというわけにはいかないんですね。」
先輩「新しい働き方に最適化されているという事は、古い働き方については別途フォローが必要になるということでもあるからな、それでもネットワークそのものにセキュリティ機能を持たせるというのは、これからの企業にとって必要になってくる対策だと思うな。」
新人「エンドポイントセキュリティにゼロトラストセキュリティ、そして SASE ですか...全部揃えるとだいぶ強固になる気がします。」
先輩「作業をするのが人間である以上、どんなセキュリティソリューションでも万全という事はないが、なるべく最新の体制にしていきたいものだな。」
この記事では、新しいネットワークセキュリティモデルである、SASE について解説しました。
働き方の変化やクラウド環境へのシフトに伴い、多くの企業においてクラウドサービスの活用は今後ますます増えていくものと考えられます。それとともに、SASE を含めたセキュリティの一元管理の導入を検討する企業も増加すると予想されています。自社に SASE の導入を検討される場合は、現状のネットワーク環境、セキュリティ環境の洗い出しから始められることをおすすめします。
SB C&S では、VMware による SASE ソリューションである「VMware SASE」を提供して、ハイブリッドクラウドを運用する企業のネットワークセキュリティ保護をサポートします。その他にも、デバイス毎の振る舞いを監視する EDR(Endpoint Detection and Response)によりエンドポイントのセキュリティを強化する、クラウドをベースにした次世代のセキュリティソリューション「 VMware Carbon Black Cloud 」や、持ち出されたデバイスのモダンマネジメントを実現し、従業員に安全なテレワーク環境を提供する「 VMware Workspace ONE 」、企業の社内リソースを保護する「VMware Carbon Black Cloud Workload」、そしてセキュリティ関連製品の連携によりテレワークの従業員をまとめて保護する「 VMware Anywhere Workspace 」など多彩なセキュリティ対策ソリューションをご提供しています。詳しくは、下記の製品ページまたはソリューションページをご確認ください。
VMware SASE
-
ネットワークとセキュリティをクラウドで統合し、必要な機能をエッジに対して提供するフレームワーク
VMware Anywhere Workspace
-
組織が離れた場所で働く従業員のエンゲージメントを維持し、セキュアに働けるよう支援。分散した従業員向けの包括的なツールセットにより、 IT システムとそれを使う従業員の間に生じている課題を解消。
テレワークを"あたりまえ"にする
デジタルワークスペース
-
VMware Workspace ONE モダンマネジメントを実現し、さまざまなデバイスから、いつでもどこでも、簡単・セキュアに業務アプリケーションを利用できる「デジタルワークスペース」を提供するプラットフォームをご紹介します。
VMware が提唱する
VMware Security ソリューション
-
新しい時代に対応する VMware のセキュリティ VMware Security は、これまでとは異なるアプローチで「一歩先を行く対策」を実現する新しい考え方です。VMware が提唱する次世代のセキュリティである VMware Security 、SASE (サッシー)、ゼロトラストセキュリティを実現する、セキュリティソリューションについて分かりやすく解説します。
次世代のエンドポイントセキュリティ
-
VMware Carbon Black Cloud 変革の進む IT 環境と進化するサイバー脅威に対応する、クラウドベースの EDR (Endpoint Detection and Response)ソリューション
VMware Carbon Black Cloud Workload
-
複数のクラウド環境をまたぐ最新のワークロードの保護に特化した高度な保護機能により、進化するサイバー脅威に対するセキュリティ強化と攻撃対象領域の縮小を実現。