5分でわかるゼロトラストを実現する「SASE」とは?

5分でわかるゼロトラストを実現する「SASE」とは?

SASEという言葉を頻繁に耳にするようになりました。新たなセキュリティ対策ソリューションと捉える人が多いようですが、SASEはクラウド上で提供されるさまざまなセキュリティおよびネットワークの製品群のことです。政府による「クラウド・バイ・デフォルト」やデジタルトランスフォーメーション(DX)の実現に寄与するものであり、ゼロトラストの考え方にも当てはまります。ここでは、SASEが求められている背景やメリットなど、SASEの基礎知識を紹介します。

目次

SASEが求められている背景

企業のセキュリティ対策はこれまで、境界の内側と外側という考え方によって構築されていました。企業の中に閉じたネットワークを作り、そこに外部であるインターネットに接続する境界であるゲートウェイを設け、そこにファイアウォールやIDS(侵入検知システム)/IPS(侵入防御システム)などを設置することで、インターネットからの脅威を内部に入れさせないという考え方でした。

それが、クラウドサービスの普及やモバイル機器の進化によって変化しました。「Microsoft 365」(旧Office 365)や「Google Workspace」(旧G Suite)といったビジネスアプリケーションがSaaSとしてクラウドで提供されたことから、企業は社内にアプリケーションサーバーを持つ必要が少なくなり、進化したモバイルデバイスによって場所を選ばず業務が行えるようになりました。

モバイルデバイスから企業のネットワークを介さずにSaaSを利用できるようになったことで、これまで社内ネットワークにあったゲートウェイが機能しなくなったとも言えます。こうした環境は、クラウド・バイ・デフォルトやデジタルトランスフォーメーション(DX)といった、以前から政府が推進していた環境でもあります。

従来の企業ネットワーク
これからのネットワーク

新たなネットワークセキュリティモデルSASEとは

ビジネス活動が社内ネットワークを介さずに行われるようになったことで、従来のセキュリティ対策では保護できなくなってきました。そこで注目を集めているのが「SASE」(サッシー)です。SASEは、2019年にアメリカの調査会社であるガートナー社が提唱した、新たなネットワークセキュリティモデルのことで、「Secure Access Service Edge」の略です。

SASEは、クラウド上で提供されるネットワーク機能とセキュリティ機能を併せ持ったプラットフォームで、いわばNetwork as a ServiceとSecurity as a Serviceが統合された環境です。ガートナーでは、SASEで提供される機能を「コア機能」「推奨機能」「オプション機能」にグループ化しており、まずはコア機能を揃えることから始めるアプローチを推奨しています。

コア機能には、SD-WANなどのネットワーク機能と、セキュアWebゲートウェイ(SWG)やCASB、ゼロトラストネットワークアクセス(ZTNA)などのセキュリティ機能が含まれます。このように、SASEとは1つの製品やソリューションではなく、さまざまな機能を持った製品・ソリューション群のことを指します。さらに、それらを単一のコンソール上で管理することが求められます。

従来の企業のセキュリティ対策は、ポイントごとのセキュリティ対策でした。エンドポイントではウイルス対策ソフトから統合セキュリティ対策ソフト、そしてサンドボックス、EDRへと変遷していますし、ゲートウェイにおいてもファイアウォールとIDS/IPSからWAF、次世代ファイアウォールと進化しています。しかし、ポイントごとの対策のため全体では統合されておらず、運用や管理が課題になっていました。SASEは統一されたプラットフォーム上に展開するので、新たな脅威にも新たな機能の追加で対応できます。

SASEを構成するさまざまな機能

ゼロトラストとSASEの関係

SASEとともに語られるキーワードに「ゼロトラスト」があります。ゼロトラストは、製品やソリューションあるいは機能のことではなく「考え方」であり「セキュリティ戦略」のことです。ゼロトラストは、アメリカの標準技術研究所(NIST)が2020年8月に公開した「Special Publication(SP)800-207 ゼロトラスト・アーキテクチャ」に由来します。

SP800-207には、「企業は暗黙の信頼を全て取り除き、資産やビジネスに対するリスクを評価して、これらのリスクを回避するための防御を行うこと」と記載されており、その考え方として7つの理念が表記されています。

7つの理念

1:すべてのデータソースとコンピューティングサービスはリソースと見なす

2:ネットワークの場所に関係なく、すべての通信を保護する

3:企業リソースへのアクセスは、セッション単位で付与する

4:リソースへのアクセスは、クライアントID、アプリケーション、要求する資産の状態、その他の行動属性や環境属性を含めた動的ポリシーによって決定する

5:企業は、すべての資産の整合性とセキュリティ動作を監視し、測定する

6:すべてのリソースの認証と認可は動的に行われ、アクセスが許可される前に厳格に実施する

7:企業は、資産やネットワークインフラストラクチャ、通信の現状について可能な限り多くの情報を収集し、それをセキュリティ対策の改善に利用する

ゼロトラストというと、認証やID管理と思われがちですが、まずは「すべてを信頼できないもの」と捉え、ユーザー、エンドポイント、ワークロード、アプリケーション、コンテンツなど、すべてのリソースに対し、その都度、動的に可視化、監視、制御を継続していくことなのです。その観点において、SASEはゼロトラストの実現に適していると言えます。

ゼロトラストに内包されるSASE
目次