SASEを構成する「セキュリティ」とは?

SASEを構成する「セキュリティ」とは?

ゼロトラストを体現するSASEでは、まさに全方位のセキュリティ対策を構築するものとなっています。すべての機能をクラウドサービスとして提供さすることで、必要なときに必要なだけリソースを割り振ることができます。今回は、SASEを構成するセキュリティ機能について紹介します。

目次

SASEを構成するセキュリティ機能:CASB

CASBは「Cloud Access Security Broker」の略で、キャスビーと呼ばれます。利用者とクラウドサービスの間に単一のコントロールポイントを設置することで、クラウドサービスの利用状況を可視化しするとともに、企業などのセキュリティポリシーを適用するための仕組みです。

その背景には、企業などの部署単位でクラウドサービスを利用するケースが増えたことで、企業側が利用状況を把握できなくなっている現状があります。これは従業員が個人所有のスマートフォンで業務を行う「シャドーIT」と同様に、企業などにリスクをもたらします。

CASBを導入することで、企業のネットワークを介して接続されるクラウドサービスを可視化し、自社のセキュリティポリシーを適用できます。また、やり取りされるデータの中に機密情報やマルウェアが混入していないかを確認することができます。さらに、クラウド上に保存されるデータに対して暗号化を行うことも可能です。ただし、CASBの対象となるクラウドサービスは限定されるため、対象外のクラウドサービスを制御するにはSWG(Secure Web Gateway)などが必要になります。

CASB

SASEを構成するセキュリティ機能:ZTNA/VPN

ZTNA/VPNは、ZTNA(ZeroTrust Network Access)およびVPN(Virtual Private Network)のことで、リモートアクセスのための仕組みです。

これまで社外から社内ネットワークにアクセスする際には、VPNが使用されていましたが、急速に普及したリモートワークでは、VPNに多くの問題が発生しました。例えば、VPNのアクセス数で、VPNの帯域をオーバーしてしまい交代で利用するケースもありました。また、VPNでは通信経路が遠回りになって遅延が発生したり、VPN機器の管理が一元化されていないことも問題になりました。

ZTNAにはいくつかの種類がありますが、SASEではクラウドで提供されるタイプが想定されています。クラウドサービスのため柔軟なスケーラビリティがあり、急激にユーザーが増えても対応できます。また、ZTNAはクラウドサービスへの通信のみを中継する形になるため、それ以外へのアクセスを遮断できるほか、アクセスしてきたユーザーの認証も行います。これにより企業のセキュリティポリシーの適用とゼロトラストの推進を実現できます。

ZTNA

SASEを構成するセキュリティ機能:Remote Browser Isolation

Remote Browser Isolationは「リモートブラウザー分離」とも呼ばれ、ブラウザー経由でアクセスするコンテンツを無害化する仕組みです。例えば、ブラウザーでうっかりマルウェアサイトにアクセスしてしまうと、感染してしまうことがあります。同様に、ブラウザーでメールを開いた場合にも、添付ファイルに仕込まれたマルウェアが実行されてしまう可能性があります。

Remote Browser Isolationでは、ブラウザーとコンテンツの間に仮想環境を用意し、その仮想環境上でコンテンツを実行します。このため、たとえマルウェアが仕込まれた添付ファイルを実行しても、マルウェアサイトにアクセスしても、仮想環境上でマルウェアが実行されるだけです。仮想環境は感染しても終了すればすべてクリアされるため、コンテンツを無害化できます。

SASEを構成するセキュリティ機能:WAAP as a Service

WAAPはWeb Application and API Protection(WebアプリケーションとAPIの保護)の略で、WAAP as a Serviceは「サービスとしてのWAAP」のことです。脆弱性の影響を受けやすく、サイバー攻撃のきっかけにもなっています。

Webアプリケーションは従来のファイアウォールやIPSでは保護できないため、WAF(Webアプリケーション・ファイアウォール)が多く利用されていました。WAAPではWAF機能に加え、APIセキュリティ、ボット対策、DDoS対策といった機能も含まれており、これらの攻撃にも対応できます。

WAAP

SASEを構成するセキュリティ機能:Firewall as a Service

Firewall as a Serviceは「サービスとしてのファイアウォール」のことで、「FWaaS」とも呼ばれます。

従来のファイアウォールや次世代ファイアウォール(NGFW)は、企業のゲートウェイに設置するものでした。しかし、現在はリモートワークやクラウドサービスの普及によって、ビジネスで使用するネットワークアクセスが必ずしも企業のネットワークを介さなくなりました。FWaaSを経由することでNGFWの機能を適用することができます。これをSASEに組み込むことで、一元管理が可能になります。

SASEを構成するセキュリティ機能:サンドボックス

「砂場」を意味するサンドボックスは、セキュリティの領域では、危険なものか安全なものかを判断できないグレーゾーンのファイルを実行して判断する「仮想的な場所」という意味です。

従来のサンドボックスは判断に時間がかかる傾向にあり、危険なものであると判明したときにはすでにエンドポイントに届いているというケースが少なくありませんでした。サンドボックスをクラウドサービスとして提供することで、豊富なリソースを使用して迅速な判断を行えるようになります。これをSASEに組み込むことで、マルウェアと判断されたときに他のセキュリティサービスに情報を共有したり、同様のファイルが他にないかを確認できるようになります。

サンドボックス
目次