SSE vs. CASB：9つの重要な違い

リモートワークモデルの台頭は、クラウドセキュリティサービスに対する私たちの見方を変えました。セキュリティサービスエッジ（SSE）とクラウドアクセスセキュリティブローカー（CASB）は、堅牢なクラウドセキュリティアーキテクチャの重要な構成要素です。従来の境界防御は機能しないため、これらのソリューションを導入し、その違いを理解することが重要です。

ネットワークおよびクラウドセキュリティアクセスファブリックは、ゼロトラストセキュリティを基盤として構築する必要があります。より広範な観点では、SSEはリモートワーク、セキュアなエッジコンピューティング、デジタルトランスフォーメーションに関して組織が直面する多くの課題を解決します。SSE市場は2023年から2028年にかけて年平均成長率（CAGR）25.4%で成長する見込みです。多くの新しいSSE製品が登場する中、組織はマイクロセグメンテーション、強化されたデータ保護、適応型アクセス制御などの独自機能へのアクセスを期待できます。

セキュアWebゲートウェイ（SWG）やゼロトラストネットワークアクセス（ZTNA）ソリューションがクラウド業界セグメントに普及するにつれ、CASBツールの需要は増加します。北米、アジア太平洋、中東・アフリカ、ラテンアメリカなどの地域で急速な成長が見込まれます。

では、SSEとCASBのどちらが自社に適しているかどうすれば分かるのでしょうか？ 当社がその答えを見つけます。

SSEとは？

ガートナーは、SSEをクラウドセキュリティコミュニティに、同社のSASEサービスの一部としてセキュリティサービス要素として導入しました。SSEは包括的な用語であり、以下の技術で構成されます：ファイアウォール・アズ・ア・サービス（FWaaS）、セキュアWebゲートウェイ（SWG）、クラウドアクセスセキュリティブローカー（CASB）、ゼロトラストネットワークアクセス（ZTNA）、SSEのネットワークコンポーネントであるSD-WAN、CASB、そしてミッションクリティカルなデータを保護し、クラウドホスト型機密情報を守るために最適なSSEツールが使用されます。

SSEの主な特徴とは？

SSEは従来のネットワークセキュリティと異なり、場所を問わずユーザーとアプリケーション間の接続を保護します。すべてのセキュリティサービスを統合的に提供することで、リスクを低減し、個別製品間に生じるギャップを解消します。リモートワーカーがパブリックインターネットに接続するケースが増える中、企業WANがデータを安全に伝送する手段が求められています。

SD-WANは各SSEソリューションの中核コンポーネントであり、効率的な接続性を提供し、ユーザーとアプリケーション間のエクスペリエンスを最適化します。

SSEの主な機能は以下の通りです：

1. SSEのZTNAは、アプリケーションへのユーザーおよびデバイスのアクセスを制御し、認証することができます。SSEは物理環境とクラウドベースのZTNAサービスを統合し、デバイスやユーザーがオンプレミスかオフプレミスかを問わず、最適なセキュリティアクセスポリシーを適用します。
2. SSEは組織内へ流入する無制限のトラフィックを保護し、検証します。強力なネットワークアクセス制御とアプリケーションアクセスポリシーを適用可能です。企業がSSEをCASBソリューションに代えて利用すれば、プライベートリソースを保護でき、突然の乗っ取りや侵害を心配する必要がなくなります。&
3. SSEはクラウド組織全体を包括的に可視化し、レポート、ロギング、分析機能を提供します。オンプレミス管理とハイブリッドクラウド環境の相互運用が可能です。企業は、安全なポリシーの実施、一貫したオーケストレーションを確保し、ユーザーとアプリケーションの両方を安全に保つことができます。
4. SSE は、進化する攻撃対象領域の拡大と新しいネットワークエッジの生成を削減することができます。ネットワークとクラウドセキュリティをAI駆動型防御と統合し、組織の生産性向上と優れたユーザー体験の実現を支援します。
5. CASB対SSEにおいて、SSEソリューションはSASE展開をシームレスに管理し、全アプリケーション・ユーザー・デバイスに統合セキュリティを提供します。全てのセキュリティ機能とネットワーク機能を統合する単一管理コンソールを実現します。
7. SSEはトラフィックの流れを最適化し、複数ベンダーの管理負担を軽減することでコスト削減を実現し、組織のパフォーマンス向上に貢献します。

CASBとは？

クラウドセキュリティアクセスブローカー（CASB）は、クラウドサービスの安全性を維持する様々なセキュリティ技術の集合体です。クラウドセキュリティアクセスブローカーは、サイバー攻撃から防御し、クラウド上にホストされている機密データを保護します。CASBベンダーは、クラウドホスト型ソフトウェアとしてサービスを提供するか、オンプレミス型ハードウェアアプライアンスまたはオンプレミス型ソフトウェアの形態を取ることがあります。

CASBの主な機能とは？

現代の企業セキュリティに最適なCASBの主な機能は以下の通りです：

1. CASBは機密データが社外に流出するのを完全に防止します。すべてのワークフローとサービスを文書化することで可視性を向上させます。未知のセキュリティリスクに遭遇する心配はなく、既存インフラ内の状況を把握できます。CASBは内部・外部攻撃から組織を保護し、データ漏洩を阻止します。
2. SSEとCASBソリューションは、URLフィルタリング、パケット検査、ブラウザ分離などの機能を提供し、サイバー攻撃の遮断を支援します。主要なCASB技術は以下の通りです：クラウドアクセス制御、シャドーIT検出、データ漏洩防止（DLP）技術ソリューションです。
3. CASBはクラウドアカウントやサービスへのアクセスをリアルタイムで監視・制御します。身元確認や非アクティブ／未使用アカウントの監査によりインフラを保護。誰がどのリソースにアクセスできるかを把握し、不要な権限を削除できます。
4. CASBは、継続的な規制コンプライアンス達成を支援する形でデータの保存・処理を可能にします。企業がユーザーにデータへのアクセスや使用を許可する方法が不正な場合もあります。CASBは強力なデータアクセス制御を用いて、こうした事例すべてにチェックを実装します。特定の業界、地域、規制の法令遵守を支援します。
5. CASBベンダーと協議することで、多くのCASBサービスの機能を拡張できます。SSEおよびCASBベンダーは、お客様の固有のビジネス要件に応じて、他のセキュリティ企業と連携し追加サービスを提供することが可能です。

SSEとCASBの4つの重要な相違点

SSEとCASBの4つの重要な相違点は以下の通りです：

#1. SSE vs CASB：アクセスと接続性

CASBはクラウド固有のセキュリティのみを扱い、誰がどのリソースにアクセスできるか（およびその逆）を制御します。SSEはSASEアーキテクチャの一部であり、ネットワーク中心のセキュリティを含むより広範な範囲に焦点を当てています。CASBソリューションはクラウドリソースを保護しますが、ネットワークコンポーネントを保護することはできません。SSEは、すべてのネットワークエンドポイントにわたるシームレスな接続性、セキュリティ、可視性を確保することでこの役割を担います。

#2. SSE vs CASB：可視性と構成

増加するデータ量に対応するにはWAN最適化が必須であり、SSEは自動化を活用して最適な接続オプションの選択と構成が可能です。SSEとWANエッジが一体となってSASEを構成します。

SSEはあらゆるエッジで脅威保護を実現する一貫性のある柔軟なセキュリティを保証します。クラウド可用性を最適化することでビジネスパフォーマンスを向上させます。CASBはワークロードを削減し、異なる場所からの各種サービスへのアクセスを保護することで、インフラの複雑性を低減します。CASBはきめ細かな制御と深い可視性を提供します。SSEはリモートネットワーク接続を保護し、分散した従業員への安全なアクセスを実現します。またSSEでは、単一画面ビューによるWANトラフィック管理も可能です。 

#3. SSE vs CASB:主な焦点

CASBは主にクラウドアプリケーション、データ、ユーザーの保護を目的としており、Office 365、Google Workspace、SalesforceなどのクラウドベースSaaSアプリにも対応します。SSE vs CASBは、SaaS、IaaS（Infrastructure as a Service）、PaaS（Platform as a Service）などのクラウドベースのサービス、およびオンプレミス環境やハイブリッド環境のセキュリティに焦点を当てています。

CASBは保護範囲を絞り込み、特定のクラウドアプリケーション群に集中することも可能です。一方、SSEは複数のクラウドサービスをカバーし、その保護範囲をネットワーク、オンプレミス環境、ハイブリッドクラウド環境にまで拡張します。

#4. SSE vs CASB：技術、アーキテクチャ、導入方法

CASBは脅威対策、データガバナンス、クラウドアプリケーションの発見・監視、データ漏洩防止（DLP）といった技術の集合体を利用します。（DLP）。一方SSEは、クラウドセキュリティゲートウェイ、セキュアWebゲートウェイ（SWG）、クラウドワークロード保護プラットフォーム（CWPP）、クラウドネットワークセキュリティ（CNS）、ゼロトラストネットワークアクセス（ZTNA）などの技術を組み合わせています。

SSEとCASBのアーキテクチャを比較すると、CASBはプロキシベースまたはエージェントベースのソリューションを使用していることがわかります。CASBはユーザーとクラウドアプリケーションの間に位置します。SSEとCASBの文脈では、SSEの実装はクラウドベースのサービス、仮想アプライアンス、またはソフトウェアエージェントとして行われる場合があります。CASBは、ほとんどの場合、クラウドベースのサービスとして導入されますが、オンプレミスでの最小限のインフラストラクチャが必要です。  SSEとCASBの導入において、SSEは、組織のニーズ、規模、インフラストラクチャに応じて、クラウドベースのサービス、仮想アプライアンス、またはオンプレミスソリューションとして提供できます。

SSEとCASB：主な違い

SSEとCASBのメリットとは？

SSEとCASBのメリットは以下の通りです：

1. SSEは仮想環境の保護、最重要データの保護、クラウド情報の保護を目的に設計されています。多くの場合、SSEは導入が容易なSD-WANアクセスを提供し、よりユーザーフレンドリーで導入コストも低くなります。
2. 信頼性が高く柔軟なセキュリティを提供し、あらゆるポイントで脅威を阻止するSSEは、企業がウェブ上で誰が、何を接続しているかを正確に把握するのに役立ちます。これによりクラウドリソースを通じたパフォーマンスが向上し、ユーザーはどこからでもアプリケーション、リソース、インターネットに迅速かつ安全にアクセスできるようになります。
3. CASBの最も重要な利点の一つは、外部および内部に由来するマルウェアやフィッシングを含むサイバー脅威を阻止することです。これにより、重要データへのアクセス制限、ユーザーによるオンライン活動のリアルタイム監視、特権アカウントの管理、クラウド内でのファイル共有の統制を通じて組織リスクを低減します。ユーザー活動に関するポリシー（アクセス・デバイス・場所に基づく制限を含む）によるデータ漏洩防止を支援し、クラウド環境の保護、最重要データの保護、クラウド情報の安全確保を実現します。多くの場合、SSEは導入が容易なSD-WANアクセスを提供し、よりユーザーフレンドリーで導入コストも低減されます。
4. 最大の違いは、保護対象資産とのセキュリティ統合にあります。SSEとCASBの統合を比較すると、CASBは一般的にSaaSアプリケーションを保護し、組織のセキュリティスタックに追加可能です。一部のSSE製品はHTTPSトラフィックなどのWebベースネットワークトラフィックを分析する機能さえ備えています。これらは組織向けに、クラウドネットワークセキュリティとは何か？などの機能を提供する可能性があります。what-is-cloud-network-security/" target="_blank" rel="noopener">クラウドネットワークセキュリティの機能を提供します。具体的にはクラウドファイアウォールモジュールや検知・防止システムなどが挙げられます。

SSEとCASBの主な制限事項とは？

組織にとってSSEとCASBの主な制限事項は以下の通りです：

1. CASBは他のセキュリティツールとの統合が必要であり、異なるベンダーからツールを調達する場合、複雑さとコストが増加します。CASBはSaaSアプリケーションのセキュリティ確保という課題には対応し、アプリケーション層で機能しますが、この技術は上位レベルのネットワークパフォーマンス問題や経路最適化の問題を解決しません。&
3. CASBの保護機能は主にSaaSアプリケーションに有効です。セキュリティエコシステム全体の他のツールと連携しない限り、IT環境の他の部分は保護対象外となる可能性があります。
4. SSEアーキテクチャへの移行時には、物理ネットワークと仮想ネットワークの両システムで大幅な変更が生じる可能性があります。SSEの利用はベンダー依存を生み出し、異なる技術ソリューション間の選択肢を制限する恐れもあります。SSEは比較的新しい技術であるため、標準や実践手法が未成熟であり、懸念や組織的な変更抵抗を引き起こす可能性があります。

CASBとSSEの選択タイミングは？

SSEとCASBのどちらを選ぶべきか迷っていますか？ご安心ください。

以下の場合にはSSEを選択すべきです：

• インターネット上の脅威を主に懸念している場合。マルウェア、フィッシング、データ侵害などの脅威に対する防御を組織が非常に重視しているなら、SSEがより適切な選択肢となる可能性があります。SSEソリューションはウェブトラフィックをスキャンし制御するように設計されているためです。&
• より伝統的なセキュリティソリューションを希望する場合。セキュリティオプションに関して組織が従来型であり、クラウド固有のCASBの高度な機能を必要としない場合、SSEがより良い選択肢となる可能性があります。SSEは通常、前者と比較して設定や運用が容易です。
• 組織がクラウドサービスをあまり利用していない、または利用予定がない場合、SSEでセキュリティ要件を満たせます。多くの場合、SSEソリューションはクラウド関連の機能を提供しますが、CASBソリューションほど包括的ではありません。&

CASBを選択すべき場合：

• Microsoft Office 365、Google Workspace、Salesforceなど複数のクラウドサービスを活用している組織には、CASBが最適です。CASBソリューションはクラウドサービスへのアクセス監視・管理に特化して設計されているため、主にクラウド上で運用する組織に理想的です。
• 高度なクラウド機能が必要な場合。クラウド上のデータ損失防止、クラウドデータの暗号化、クラウド内アクセス制御などの高度なクラウド機能が必要な組織には、CASBがより適した選択肢となる可能性が高いです。CASBソリューションはクラウド環境向けに構築された多様な高度な機能を提供します。
• セキュリティ強化を求める場合。クラウドリソースと非クラウドリソースへのアクセスを監視・管理する高度なセキュリティソリューションが必要な場合、CASBが最適な選択肢となる可能性が高いです。CASBソリューションの多くは、クラウドベースおよび非クラウドベースの企業リソースへのアクセスを監視・制御する多様な機能を提供します。

SSEとCASBのユースケース比較

主なユースケースは以下の通りです：

1. 従業員がネットワーク外から組織リソースを利用する場合、SSEソリューションはウェブトラフィックを保護し、データ侵害をリアルタイムで可視化します。CASBソリューションは、Microsoft 365、Google Workspace、Salesforceなどのクラウドアプリにおけるデータアクセスと利用状況を監視し、データ侵害を検知・防止します。
2. CASBでクラウド上のデータを暗号化し、不正アクセスを防止できます。インターネットに接続するデバイスが増加する中、SSEソリューションはIoTトラフィックの保護に活用できます。SSEソリューションは、マルウェア、フィッシング、ランサムウェアなどのウェブ脅威を検知・ブロックします。
3. CASBソリューションは、クラウド上に存在するデータやアプリケーションを明確に可視化し制御することで、組織がコンプライアンス基準を順守するのを支援します。SSE と CASB を比較すると、SSE ソリューションは Web トラフィックの全体像を提供することでコンプライアンスを維持します。

結論

SSEとCASBは、それぞれ異なるニーズと脅威に対応するために設計された二つの異なるセキュリティソリューションです。一方、SSEはウェブトラフィックの安全確保とウェブベースの脅威への対策に優れています。他方、CASBはクラウドアプリケーションとデータを不正アクセスや侵害から保護するために設計されています。したがって、組織は各ツールの強みと弱みを理解することで、どちらか一方を選択するか、あるいは両方を併用するかという賢明な判断を下せます。最終的に、SSE 対 CASB の選択は、組織が直面するセキュリティ要件と目標に依存します。