ESET/サイバーセキュリティ情報局
新たなセキュリティフレームワーク「SASE」とは
本記事はキヤノンマーケティングジャパンが提供する「サイバーセキュリティ情報局」に掲載された「SASEの運用管理を代行するマネージドサービスとは?」を再編集したものです。
昨今、セキュリティの世界で注目を集める、ゼロトラストと呼ばれるセキュリティ概念。その実現に向けた具体的な仕組み・ソリューションの1つとしてSASEが挙げられる。この記事では、新たなセキュリティフレームワークとして注目されるSASEの機能や導入によるメリット、ソリューション選定時の注意点について解説していく。
新たなセキュリティフレームワークのSASE
デジタル技術の活用が企業・組織の事業継続における要所となって久しい。その結果、多くの取引や業務がデジタル化され、効率化を後押ししている。そうした恩恵を受ける一方、デジタルの脆弱性を狙うサイバー攻撃も増大。攻撃の手口を高度化・巧妙化させながら、その牙を企業・組織に向けている。
そうした時代の流れを踏まえ、2019年にガートナー社によって提唱されたセキュリティフレームワークがSASE(Secure Access Service Edge)だ。ネットワーク機能とセキュリティ機能を統合的に提供することで、企業・組織のIT環境の安全性を包括的に高めることを狙う。
コロナ禍を経て普及したリモートワークといった働き方の多様化に伴い、かつての閉域網神話はもはや崩れつつある。さらに社内だけでなく社外クラウドサービスの利用も拡大し、データやアプリケーションが多様な環境で分散して管理されるようになった。こうした分散により、各拠点やデバイス間の通信、認証方法、アクセスの管理が複雑化し、従来のセキュリティ対策では網羅できない新たな脅威が生まれている。
その結果、これらの分散された環境が統一的に管理されていないことが、企業・組織のセキュリティ対策におけるウィークポイントとなっている。SASEでは、こうした状況を解消するため、一体的にソリューションを提供し、分散した環境を包括的にカバーすることで、セキュリティレベルを高めるのだ。
その結果、これらの分散された環境が統一的に管理されていないことが、企業・組織のセキュリティ対策におけるウィークポイントとなっている。SASEでは、こうした状況を解消するため、一体的にソリューションを提供し、分散した環境を包括的にカバーすることで、セキュリティレベルを高めるのだ。
近年、ランサムウェア被害をはじめ、リモートワークに起因する脆弱性が狙われることが少なくない。このような状況に呼応すべく、世の中にゼロトラストセキュリティという概念が一気に広まったように、企業・組織ではネットワークとセキュリティを別と考えず統合して対策を講じる必要性に迫られている。その結果、新しいフレームワークとしてのSASEに注目が集まっており、実際に導入も広がっている。
SASEに内包される機能とは
先述のとおり、SASEはネットワーク機能とセキュリティ機能を一元的に提供するソリューションだ。クラウドベースとなるため、柔軟に機能が追加されるが、主に以下のような機能を提供している。
・CASB(Cloud Access Security Broker)
クラウドサービスの普及期であった2012年、ガートナー社によって提唱されたセキュリティ概念の1つがCASBだ。「可視化」、「脅威防御」、「コンプライアンス」、「データ保護」という4つの機能により、クラウドサービスの利用状況を把握するソリューションであり、業務効率を下げることなく、セキュリティポリシーの適用が可能となる。後述するSWGやFWaaS 、SD-WANなどを内包するソリューションも存在する。
・SWG(Secure Web Gateway)
従来のプロキシサーバーのようにネットワークの境界(ゲートウェイ)に設置してネットワークのセキュリティレベルを高めるソリューションがSWGだ。URLフィルタリング、アプリケーションフィルター、アンチウイルス、サンドボックスといった機能を備え、組織の内外における不正な通信を検出して制御する。
・FWaaS(Firewall as a Service)
クラウド上に仮想的に構築されたファイアウォールを提供するサービスのことで、クラウド型ファイアウォールとも呼ばれる。業務環境の変化に伴ってネットワークの境界が不明瞭となる中、クラウドサービスを保護するためのファイアウォールとして機能する。
・ZTNA(Zero Trust Network Access)
「すべての通信を信頼しない」ことを前提に対策を講じる、セキュリティ概念であるゼロトラスト・セキュリティ・モデルに基づいた、リモートアクセスのためのソリューションがZTNAだ。「最小権限の原則」、「高度なユーザー認証」、「端末ごとの信頼性評価」といった特長を有し、スケーラビリティや通信パフォーマンスを確保しながら、セキュリティレベルの高いアクセスを実現する。
・SD-WAN(Software Defined Wide Area Network)
業務環境がインターネットの介在を前提としたものに変化する中で、従来型のWANではその変化に対処しきれなくなっている。そこで登場してきたのがSD-WANであり、クラウドをベースとしながら、ネットワークをソフトウェアで制御することによって、自社の状況に応じた柔軟なネットワーク環境を実現できる。
・NaaS(Network as a Service)
複雑化するネットワーク環境を維持するコストは年々、企業にとって大きな負担となっている。また、そのための専任人材の配置もかつてなく困難な状況となっている。そうした時代背景を踏まえ、ネットワークの構築から運用・保守までを一括でアウトソーシングできるサービスがNaaSだ。ネットワークに付随するセキュリティ対策も包括したサービスもあり、その場合、自社で行うネットワークセキュリティ対策は最小化されるため、セキュリティの観点からもこうしたサービスに注目が集まっている。
・IDaaS(Identity as a Service)
クラウド経由で認証に関するサービスを提供するのがIDaaSだ。主に、「ID管理」、「シングルサインオン」、「多要素認証」、「アクセスコントロール」、「ログ管理」などの機能を提供し、煩雑化するID管理を効率化しながら、高いセキュリティレベルの認証を可能とする。
ここまでに紹介したソリューションは製品によっては機能が包括、あるいは重複するケースもある。また、製品ごとに強みを持つ領域も異なっているため、自社の状況を分析した上で、マッチするソリューションを選択するようにしたい。
SASE導入によるメリット
SASEを導入することで多くのメリットを享受できる。以下、具体的に紹介する。
・包括的なネットワークセキュリティの実現
SASEは先述のようなセキュリティ機能、ネットワーク機能を内包することで、包括的なネットワークセキュリティを実現する。かつてのように社内ネットワークだけですべての業務を遂行することが困難な状況となり、クラウドと社内ネットワークを横断的に監視する必要に迫られる中で、こうしたソリューションの有用性が高まっている。
・ネットワークの拡張性と柔軟性
ビジネスにおけるデジタル依存が加速度的に高まる昨今、そうした変化を見越した対応が求められている。クラウドベースのソリューションであるSASEを用いることで、セキュアかつ拡張性・柔軟性を確保したネットワーク環境の実現が可能だ。
・効率的なセキュリティ体制の構築
サイバーセキュリティにおけるアタックサーフェスの増加に伴い、その都度セキュリティ体制を再構築してきた企業・組織も少なくないだろう。こうしたケースだと、一本化したセキュリティポリシーの適用が難しいため、管理業務だけでなく、現場における効率も下げている場合がある。SASEでは一元的に機能が提供されることで、こうした非効率の改善が期待できる。
・ネットワークトラフィックの効率化
コロナ禍を経て活用が広まったVPNでは、しばしばトラフィックの集中による接続上限数がボトルネックとなり業務に支障をきたすことがあった。SASEではネットワークとセキュリティの機能を一元的に提供することで、セキュリティレベルを維持しながら、トラフィックの最適化や通信品質を確保することで、ネットワーク機器への負荷を軽減するのだ。
SASE選定時の注意点
SASEとして提供されるソリューションは提供事業者によって異なってくる。というのも、従来の製品から派生したソリューションが少なくないためだ。FWaaSやSWG、ZTNA、CASBといったソリューションを原点とするものでは、それぞれサービスの特長や運用の方法も異なるケースがあるため、注意が必要だ。また、先述のようなメリットも製品によっては得られないこともある。以下のような点も含め、導入の検討段階で確認するようにしたい。
・自社のセキュリティ要件の明確化
当然ながら、業務内容や取引先によって重視するべきセキュリティ要件は異なってくる。1つの拠点でほとんどの業務が完結する企業・組織と、入り組んだサプライチェーン上にある企業・組織では講じるべき対策も費用負担も大きく変わる。自社のビジネスにおけるセキュリティのウィークポイントを洗い出し、どういった脅威に対して、どのような資産を保護するのか。そのための方法として最適な選択は何なのか。それらを整理した上で、自社のセキュリティポリシーを確立し、必要な手段を選択するのが望ましい。
・SASE導入時のボトルネックの有無
ほとんどの企業・組織では何かしらセキュリティ対策を講じているはずだ。SASEでは一元的にサービスを提供するため、こうした既存の対策で導入したソリューションと機能が競合してしまう可能性がある。また、レガシーシステムを利用している場合、そもそも導入ができないケースも考えられる。導入検討時にはこうしたボトルネックとなり得ることを洗い出し、精査することが求められる。
・自社内の運用体制の構築可否
SASEの導入によってネットワーク、セキュリティを一元的に管理できる。その一方で高度なセキュリティソリューションであるがゆえ、導入段階、運用において一定の専門性を求められることになる。こうした背景を踏まえても、導入検討時には自社における運用体制の構築可否についても検討する必要がある。事業内容によってはコアな領域としてみなすのではなく、運用体制自体を外部に委託するという選択があってもいいだろう。
フルマネージドサービスSASEという選択肢
先述のとおり、SASEは多くの機能を内包して一元的に提供することで強固なセキュリティ基盤を提供する。その一方で、こうした高度なセキュリティソリューションの場合、導入時の設定に加え、運用段階における調整も求められる。自社の状況に応じて、各ソリューションをチューニングしていくことで、はじめて適切な効果を得られるからだ。
しかし、一部の大規模な企業・組織を除いて、運用専任の人材を充当するのは困難な場合が多い。昨今、セキュリティ人材は枯渇状態にあり、自社雇用するのもままならない。と同時に、コストや時間的な面を踏まえても、セキュリティ人材を社内で育成していくのも容易ではなく、育成には不確実性も伴う。
その結果、注目が集まっているのがSASEの導入から運用までを委託するフルマネージドサービスだ。例えば、マネージドSASEサービス「Verona」は“カンタン導入、運用負荷ゼロ、カンタン導入”を実現している。
図1:一般的なSASEとVeronaの違い
Veronaでは、すべての機能がクラウドベースで提供されることから、将来的な変化へも柔軟に対応することが可能となる。自社の状況に応じて環境がチューニングされるため、業務負担も最小化できる。障害発生時もサポートセンターがコントロールするため、安心して業務に集中できるのだ。加えて、サービス費用にはSIサービスなどすべてが含まれているため、大幅なコスト削減も見込める。
最後に、SASEの検討において意識しておきたいのが、中長期にわたる自社のビジネス戦略だ。今後どのようなビジネスを展開していくのか、それに向けてどのように社内体制を整え、業務環境をどのように変化させるべきか。これらの点を勘案してセキュリティ要件を定義した上で、導入の検討を進めることが望ましいと言えるだろう。