SASE（Secure Access Service Edge）とは？

セキュア・アクセス・サービス・エッジ（SASE）は、ネットワーク機能とセキュリティ機能を単一のクラウドベースサービスに統合する、ネットワークセキュリティの革新的なアプローチです。本ガイドでは、SASEの原則、組織にとってのメリット、そしてセキュアなリモートアクセスを強化する方法について解説します。

SD-WANやゼロトラストセキュリティを含むSASEの構成要素と、現代のサイバーセキュリティ戦略におけるそれらの役割について学びましょう。進化するセキュリティニーズに適応しようとする組織にとって、SASEを理解することは極めて重要です。

SASEの構成要素

包括的なSASEソリューションは、セキュアWebゲートウェイ（SWG）、サービスとしてのファイアウォール（FwaaS）、クラウドアクセスセキュリティブローカー(CASB)、ゼロトラスト ネットワークアクセス（ZTNA）、およびSD-WANを統合し、クラウドネイティブのセキュリティプラットフォームからすべてのネットワークエッジを保護します。

SWG

セキュアWebゲートウェイ（SWG）は、リンクのスクリーニング、SSL（Secure Sockets Layer）の復号化、Webセッション中のエクスプロイト防止を行います。SWGは、許容可能な利用ポリシーを適用し、悪意のあるWebサイトへのアクセスを防止することで、ユーザーをWebベースの脅威から保護します。

ファイアウォール・アズ・ア・サービス（FWaaS）

クラウドで提供されるレイヤー7次世代ファイアウォールは、ネットワークアクセス制御（NAC）を追加し、悪用を防止します。FWaaSは、アプリケーションを識別し、トラフィックを検査して悪用やマルウェアを検知し、セキュリティポリシーを適用するクラウド提供型のファイアウォール機能を提供します。

CASB

クラウドアクセスセキュリティブローカー（CASB）は、SaaSアプリケーションをマルウェアから監視します。追加されたデータ漏洩防止（DLP）(DLP) は特定データが企業外へ流出するのを防止します。CASBはクラウドアプリケーションとデータに対する可視性と制御を提供し、認可されたアクセスとコンプライアンスを確保します。

ZTNA

ゼロトラストネットワークアクセスは、IDとアクセス権限を検証し、アプリケーションへのアクセスポリシーを適用して機密情報を保護します。ZTNA は、アプリケーションやリソースへのアクセスを許可する前にユーザーとデバイスのアイデンティティを検証し、暗黙の信頼を排除します。

SD-WAN

ソフトウェア定義の広域ネットワークは、直接的なネットワークおよびインターネットのルーティング、セキュリティ、速度のためにオーバーレイネットワークを抽象化します。SD-WAN は、アプリケーションのパフォーマンスを最適化し、安全な接続を提供する、ソフトウェア定義のクラウド提供型広域ネットワークを実現します。

SASE のユースケース

クラウドネイティブの SASE プラットフォームは、ネットワークのパフォーマンスとセキュリティに関する多くの一般的なユースケースのニーズに対応します。SASE は、ネットワークパフォーマンスをブランチアプリケーションの配信ニーズに合わせて調整しながら、コンプライアンス要件を満たします。SASE は、ネットワークをアプリケーションのニーズに合わせて調整しながら、ネットワークセキュリティ、速度、スケーリング能力を拡張します。ガバナンス要件を満たし、セキュリティギャップを解消します。

SASE はまた、クラウドデータセンターの能力を超える SD-WAN により、ブランチ拠点の容量を加速します。企業はネットワークおよびセキュリティサービスにおけるコスト削減を実現します。最後に、SASEはハードウェアソリューションの欠点を回避し、デジタルトランスフォーメーションと拡張を促進する集中型セキュリティを提供します。SASEはSD-WAN、AI、動的ファイアウォール技術を統合し、ネットワーク可視性、悪用防止、データストリーム管理を実現します。

SASEのメリット

このプラットフォームの利点は、可観測性、制御性、簡素性、コスト削減であり、企業全体のモバイルユーザーやハイブリッドユーザーに最適です。

ハイブリッド環境の可視性

SASEは、ユーザー、拠点、クラウド、データセンターを横断したハイブリッド環境およびハイパーコンバージド環境への可視性を実現します。セキュリティチームはエコシステム全体のネットワーク動作を透明化できます。

効率的なデータ・アプリケーション制御

SASEアプローチはレイヤー7トラフィックを分類することでセキュリティを強化し、きめ細かなセキュリティポリシーと制御を可能にします。SASEはアイデンティティとアクセス制御を活用し、アプリケーションとデータへの最小権限アクセスを実現します。

シームレスなアラートと監視機能

SASEは監視とレポートを集中化することで、より優れたメトリクスとセキュリティアラートを実現します。SASEが検知するすべてのエッジにおけるネットワークトラフィック、ユーザー行動、潜在的な脅威をリアルタイムで可視化することで、シームレスなインシデント対応とトラブルシューティングを可能にします。組織は問題や攻撃を検知・解決できます。集中管理されたSASEクラウドプラットフォームは、成熟した分析技術、履歴分析、データモデルを活用し、パフォーマンスやセキュリティイベントにおける異常行動の閾値を超えた場合にアラートを発します。

シンプル性

SASEは点在するソリューションをクラウドネイティブサービスに置き換え、複雑性を低減します。SASEは、企業ネットワークの統合管理を通じてネットワークパフォーマンスとセキュリティを簡素化します。組織は、クラウドに集中管理されたセキュアアクセスポリシーを管理します。これにより、複数のサイロ化された管理概念が排除され、単一のクラウドコンソールが実現されます。SASEは運用を合理化し、オーバーヘッドを削減します。また、ITセキュリティおよびネットワーク部門が中核業務に集中できるようにします。

データセキュリティ

SASEはエッジにおけるデータセキュリティを優先し、DLPポリシーを適用して機密データが組織外に流出するのを防止します。SASEは、きめ細かいアクセス制御とデータ暗号化による堅牢なセキュリティを提供します。ユーザーは自身の役割と責任に必要なデータのみにアクセスできます。データ暗号化が保存時および転送中のデータを保護するため、ユーザーは安全にデータを受信・操作できます。

統合の最小化

SASEのクラウド上で相互に連携する多様なネットワーク・セキュリティ機能により、無数のマルチベンダー製ネットワーク機器やセキュリティ製品の複雑な統合が不要になります。

優れたネットワーク性能と信頼性

SASEはSD-WANを提供し、多様な拠点やハイブリッド／モバイルユーザー向けにネットワーク性能と信頼性を強化します。MPLS、ブロードバンド、LTEなどの複数ソースに対し、フェイルオーバー構成、集約、負荷分散といった性能・耐障害性サービスを提供します。トラフィックの輻輳や遅延を低減することで、トラフィックを最適化します。

ユーザーエクスペリエンスの向上

SASEは、追加のハードウェアやソフトウェアのインストールを必要とせず、ユーザーの場所に関係なくユーザーエクスペリエンスを監視、管理、最適化します。SASEプラットフォームは、インテリジェントなトラフィックルーティングを使用して、アプリケーションリソースへのシームレスで安全なアクセスを提供します。SASEはネットワーク経路を動的に最適化し、遅延を最小限に抑えることで、どこからでもクラウドベースのアプリケーションやサービスにアクセスするユーザーに高性能な接続性を保証します。

SASE導入における潜在的な課題

SASEが新しい技術だからといって導入を躊躇する必要はありませんが、克服可能な以下の導入課題には留意してください。

チーム役割とコラボレーションの再定義

SASEには新たなIT役割が求められます。ネットワーク部門とセキュリティ部門の連携強化は、SASEのためのハイブリッドクラウド構成を強化します。オンプレミスとクラウドで分断されたチームは、壁を打ち破り協働する必要があります。

包括的なカバレッジの確保

多くの支店に必要なオンプレミス環境において、SASEはクラウドとオンプレミスのアプローチをバランスよく組み合わせ、セキュリティとネットワークを相互に連携させます。クラウドネイティブのアプローチにより、両ネットワークエッジ間の速度とセキュリティが確保されます。

製品選定と統合

サイロ化されたITチームはSASE向けに複数の製品を導入する可能性があります。SASEプロバイダーは、運用効率化とSASE構築の容易化のため、それらの製品の互換性を保証すべきです。チームをサイロから解放し、チームとその人材を統合することで、製品選定が加速されます。

SASEに関する2つの一般的な誤解

SASEに関する誤解が、組織がすべてのエッジ向けに高速で安全なネットワークソリューションを導入する妨げになってはいけません。SASEはVPNやリモートワークソリューション以上のものです。

SASEは単なるクラウドベースのVPNである

SASEはクラウドVPNとセキュアWebゲートウェイ、CASB、サービスとしてのファイアウォールを統合プラットフォームで組み合わせます。従来のVPNの多くはハードウェアを使用するため、組織はネットワーク全体で即座に必要なだけ反復・仮想化できません。

SASEソリューションはリモートワーク環境専用ではない

SASEは、ハイブリッド勤務者とオフィス勤務者に一貫したネットワークとセキュリティを提供することで、オフィスインフラにもメリットをもたらします。SD-WANの速度と、仮想化ネットワーク機能として提供される主要ソリューションのセキュリティを組み合わせることで、組織はアプリケーションに適合するネットワークポリシーを用いてネットワークとセキュリティを最適化できます。

SASE導入のベストプラクティス

SASE導入のベストプラクティスに従うことで成功を確実なものにします。

チーム連携と協働の促進

SASEはセキュリティチームとネットワークチームの優先事項を同期させることで、速度とセキュリティを向上させます。DevOps のモデルに基づいてネットワークチームとセキュリティチームの関係を進化させることで、SASE はネットワークとセキュリティの単なる合計以上の強さを提供します。

柔軟な SASE ロードマップを作成する

ロードマップを使用して、時間をかけて SASE を導入します。ロードマップ作成チームには全てのステークホルダーを参加させましょう。これにより、ビジネスの動的なネットワーク・セキュリティ要件に柔軟に対応できる実装が保証されます。クラウド環境では拡張性があることを忘れないでください。

経営陣の合意形成を確保する

トップからの合意は絶対条件です。経営陣がROI、メリット、ベンダー依存度の低減を理解していることを確認してください。クラウドに集約された包括的なセキュリティは、深刻化するサイバー脅威に対してはるかに優れています。

選定、テスト、導入

組織は、最終的な理想的で互換性のあるベスト・オブ・ブリードのソリューション群を導入する前に、選定したSASEコンポーネントをテストする必要があります。ソフトウェア自動化により仮想ネットワークやセキュリティ製品を簡単に起動・テストし、削除して別の製品をテストする作業を繰り返すことで、組織は導入に最適なソリューションを選定できます。ハードウェアソリューションでは、テストと導入が時間のかかる手作業プロセスとなります。

監視、最適化、進化

機敏な組織は、SASEの監視と最適化のために技術と専門的なネットワーク・セキュリティサポートを提供します。SASEの実装は、関係者のフィードバック、トレンド、変化するニーズに応じて維持されるべきです。

SASEプロバイダーの選定方法

優れたSASEプロバイダーはこれらのテストとチェックリストをクリアします。最適なサービスは全基準を満たすため、各プロバイダーを慎重に比較検討してください。

ネットワークとセキュリティの統合性を評価する

SASEの主目的はネットワークとセキュリティの融合であるため、両者の統合がどのように進められているかを確認してください。結果として提供されるSASEには、SD-WAN、Firewall-as-a-Service、IPS、CASB、ゼロトラストネットワークアクセス、SWGが含まれている必要があります。

クラウドネイティブ設計の確認

組織がオンプレミス、モバイル、クラウドを含むネットワークエッジを扱うためにクラウドネイティブ設計を採用していることを確認してください。クラウドネイティブとは、アプリケーションがアプリケーションコンテナ内で作成・提供されることを意味します。

グローバルネットワーク性能の評価

地理的要因がSASEの到達範囲や性能を制限すべきではありません。組織は、グローバルなSLA保証付きプライベートバックボーンを提供するプロバイダーを優先すべきです。SLA はアプリケーションのパフォーマンス要件を満たし、十分な帯域幅を提供する必要があります。

ゼロトラストネットワークアクセス (ZTNA) を確認する

ZTNA は侵害を軽減し、各ユーザーまたはデバイスの ID と、クラウド、モバイル、オンサイトリソースとの関係に対して最小限のアクセス権を付与するため、あらゆる場所で ZTNA を使用してください。これにより、セキュリティグループは集中管理されたポリシーを採用し、SD-WAN およびインターネットトラフィックの可観測性を実現できます。

スケーラビリティと柔軟性の確保

スケーラブルで適応性の高い SASE は、将来のニーズに対応し、レガシーシステムを統合します。SASE はネットワークの柔軟性をサポートし、拡張ニーズに合わせてリソースをスケールアップします。SASE はネットワークハードウェアのフットプリントを縮小します。コストと関連機能の検討

利用可能な機能に基づいたコスト分析を実施します。サードパーティ統合に伴う可能性のあるコストを理解します。適切なベンダー選定・管理手法を用いてサードパーティを慎重に選択します。

SASEと補完技術を探る

SASEと最新技術は組織の共通目標達成に貢献します。SASE、5G、DLPを組み合わせることで、エッジユーザーの速度とセキュリティ要件に対応します。

SASEと5Gの連携方法

5GはSASEと連携し、トラフィックの高速化とネットワーク遅延の低減を実現します。新たなセキュリティ課題を生み出す一方で、動的なネットワークに適した集中型セキュリティフレームワークを備えるSASEが解決策となるでしょう。

IoTとSASEの統合方法

SASEはIoTシステムの遅延課題を解決します。多くのレガシーIoTデバイスはリソースが乏しく、堅牢というより単純な構造です。SASEはこうしたデバイスが欠く速度とセキュリティを補完します。

SASEとDLPによるデータ保護

SASEを伴うDLPは、データ発見と分類の集中管理を意味します。ユーザー認証を行い、検知のためのデータ中心ポリシーを適用します。DLP テンプレートは、組織外に持ち出してはならないデータを識別します。SASE は、DLP がすべてのデータをこれらのテンプレートに通して精査することを可能にします。

SASE と他のテクノロジーおよびセキュリティソリューションとの比較

SASE は、他のソリューションでは不可能なことを実現します。SASEは、組織が選択した汎用ハードウェアやホワイトボックスハードウェア上で、ネットワークセキュリティ機能を仮想化して実現します。

SASEと従来のネットワークセキュリティの比較

従来のネットワークセキュリティは境界を保護する固定ハードウェアソリューションを基盤とする一方、SASEはWANとネットワークセキュリティサービスを中央集約型のクラウドに統合します。SASEは速度とセキュリティのためにソフトウェアに依存し、特定の場所で稼働する必要があり特別な保守・修理を要するアプライアンスの制約を打破します。

SASEとファイアウォールの比較

ハードウェアファイアウォールは単一ネットワーク接点における入出トラフィックに焦点を当てます。SASEはZTNA、DLPなどファイアウォールでは提供できない要素を統合し、デジタル化に対応します。

SASE vs. VPN

クラウドネイティブのネットワーク・セキュリティソリューションであるSASEは、中央サーバーのボトルネックを回避して遅延を低減するクラウド中心の統合ソリューションにより、VPNの枠を超えています。SASE導入では、包括的なセキュリティのためにZTNA、DLP、SWG、FwaaSを活用します。

Conclusion

SASEはSD-WANとネットワークセキュリティ機能を統合し、世界中のハイブリッドユーザーに高速ネットワークと安全な接続を提供します。あらゆるエッジで全てのユーザーに対応する包括的なクラウドネイティブソリューションです。