SASEとは?| セキュアアクセスサービスエッジ

セキュア・アクセス・サービス・エッジ(SASE)アーキテクチャは、セキュリティとネットワーキング・サービスを1つのクラウドプラットフォームに統合したITモデルです。

学習目的

この記事を読み終えると、以下のことができるようになります。

  • セキュアアクセスサービスエッジ(SASE)モデルの定義
  • SASEが重要な理由と組織にもたらすメリットについて学ぶ
  • SASEプラットフォームを構成するテクノロジーコンポーネントの詳細を確認する
  • シングルベンダーSASEやデュアルベンダーSASEなど、他のネットワーキングアプローチとSASEを比較して理解する

関連コンテンツ


さらに詳しく知りたいとお考えですか?

是非、Cloudflareが毎月お届けする「theNET」を購読して、インターネットで最も人気のある洞察をまとめた情報を入手してください!

当社がお客様の個人データをどのように収集し処理するかについては、Cloudflareのプライバシーポリシーをご確認ください。

記事のリンクをコピーする

Access Service Edge(SASE)とは?

SASE(Secure Access Service Edge)は、ネットワーク接続とネットワークセキュリティ機能を単一のプラットフォームに統合するアーキテクチャモデルです。従来のエンタープライズネットワーキングとは異なり、最新のSASEアプローチでは、企業のデータセンターではなくクラウドエッジにネットワーク制御を設置します。これにより、企業は場所を問わず、あらゆるユーザーからあらゆるアプリケーションへ、よりシンプルかつ安全で、一貫したアクセスを提供することができます。

つまり、SASEは、これまでバラバラであったインフラストラクチャ(ネットワーキングとアクセス制御)を統合して管理する合理的な方法を組織に提供することになります。

SASEプラットフォームは、ネットワーク接続と最小権限の原則を採用した複数のZero Trustセキュリティサービスを統合します。Zero Trustでは、正常に認証されたユーザーは、その役割に必要なリソースとアプリケーションにのみアクセスできます。

SASEは、インターネット上で実行されるクラウドサービスをベースに、統合型企業ネットワークを構築します。これにより、企業は多くのアーキテクチャレイヤーや個別ポイントソリューションを管理する作業から脱却することができます。

SASEアーキテクチャは、Zero Trustセキュリティとネットワーク・サービスを組み合わせたものです。

SASEが重要な理由とは?

SASEアーキテクチャが重要なのは、現代の組織の従業員を接続し、保護する上で、従来のITセキュリティよりも効果的であるためです。

「旧世界」モデル(「城と堀」モデルのセキュリティアーキテクチャ)では、組織のITインフラストラクチャはほぼ均一で、ファイアウォールで保護されています。ネットワークリソースにアクセスするために、オフィスにいる従業員(または請負業者やその他のサードパーティ)は、仮想プライベートネットワーク(VPN)とファイアウォールを介してネットワークに接続するか、パブリックIPアドレスを介して別のネットワークルートを使用します。そして、ネットワークの「境界」の内側にいるユーザーは、そのネットワーク内のアプリケーションやデータにもアクセスできます。

しかし、より多くのアプリケーションやデータがクラウドに存在するようになったため、このアプローチでネットワークセキュリティを管理することは、よりリスクが高く、複雑になってきました。たとえば、従来型のセキュリティでは以下のトレンドに対応するのが困難です。

  • モバイルワークの増加:多くの組織がリモートワークやハイブリッドワークを受け入れ、非管理型(会社の管理ではない)デバイスの使用をサポートしています。したがって、より多くの人々、そして仕事に必要なアプリケーションは、いわゆる「堀」の外に置かれています。
  • クラウド導入の加速:企業は、多くのアプリ、データ、インフラストラクチャをオンプレミスのデータセンターからパブリックまたはプライベートクラウド環境に移行しています。生成AIやその他のデジタルトランスフォーメーションイニシアチブでも、クラウドへのデプロイメントが増加しています。
  • 攻撃対象領域の拡大:すべてのデジタルシステムには、攻撃者が侵入口にすることができる領域があります。侵入口が増えるということは、悪用できる潜在的な攻撃ベクトルが増えることを意味し、そのためラテラルムーブメントのリスクが高まります。
  • 運用の複雑性:ハイブリッドワークが普及し、アプリケーションが主にクラウド経由でデプロイされるようになったことにより、ネットワークに対する要件が変化しています。そのため、管理が複雑になり、セキュリティ管理の適用方法との一貫性が失われています。
  • ネットワーク関連コストの増加:従来のネットワークでは、各地域をサポートするために(ファイアウォール、ルーター、スイッチなど)多くの機器をプロビジョニングおよび購入する必要がありました。機器の数が増えると、サブスクリプションや帯域幅のコストも上がる可能性があります。
  • データプライバシーとコンプライアンス規制:データプライバシーとコンプライアンスの最新の基準、認証、規制要件への準拠は容易ではありません。データ保護法は国や業界によって大きく異なり、生成AIの普及に伴って進化し続けています。

SASEは、この種の課題に対処するのに適しています。SASEは、従業員、職場、ワークロードに安全で高速かつ信頼性の高い接続を提供します。企業は、独自の最新ネットワークを構築して運用するだけでなく、クラウドネイティブの分散型サービスを利用して、セキュリティと接続性の管理を簡素化することができます。

ホワイトペーパー
SASEの使用例に関するバイヤーズガイド
ガイド
アプリケーションへのアクセスを保護するためのZero Trustガイド

SASEのトップ5メリット

SASEアーキテクチャによるサービスとしてのセキュリティとネットワークの機能を統合することにより、以下のようないくつかのメリットがあります。

  1. サイバーリスクの低減:SASEは、Zero Trustセキュリティモデルに重点を置いて運用されます。このモデルでは、たとえネットワーク境界の内側にいる場合でも、身元が確認されるまでアプリケーションやデータへのアクセスを許可しません。Zero Trustセキュリティが考慮するのは、エンティティのIDだけではありません。ジオロケーション、デバイスポスチャ、企業のセキュリティ基準、および追加のコンテキストシグナルに基づくリスク/信頼の継続的な評価がすべて考慮されます。ユーザーは、明示的に許可されたリソースにのみアクセスできます。これにより、ネットワーク全体に脅威が広がるのを防ぎ、ラテラルムーブメントのリスクを低減します。
  2. コスト削減:セキュリティハードウェア(ネットワークファイアウォールSWG(Secure Web Gateway)ボックスなど)は、購入費用だけでなく運用コストがかかります。設置、保証、修繕、パッチ管理はすべて、追加の支出とITリソースを必要とします。ネットワークセキュリティをクラウドに移行してそうしたコストを排除することで、総所有コストを削減できます。
  3. 複雑性の低下:SASEを導入すると、複数のサイロ化されたネットワーキングツールやセキュリティツールを使用する必要がなくなるため、IT運用が簡素化されます。管理を合理化し、単一のインターフェースから場所、従業員、デバイス、アプリケーション全体で一元化されたポリシー適用と監視を実現します。たとえば、SASEアーキテクチャは、組織がさまざまな規制を満たすために必要なセキュリティ設定をより効率的に構成できるように、可視化および自動化ツールを提供することで、コンプライアンスを簡素化することができます。
  4. 一貫したデータ保護:SASEプラットフォームは、データ保護ポリシーを一貫して適用する統一された方法により、Web、SaaS、プライベートアプリにおけるデータの可視性と制御を統合します。たとえば、機密データへのアクセスの保護、データ漏洩の防止、クラウドアプリのリスク管理、Webブラウジングの保護を行うSASEサービスはすべて、組織が規制要件を満たすことに貢献します。SASEは、ロギングの一元化、暗号化、リアルタイムの脅威軽減などをサポートすることで、セキュリティをさらに強化し、コンプライアンスを簡素化します。
  5. 従業員体験の向上:インターネット接続の信頼性が高まることで、生産性が向上します。SASEを導入すると、ネットワークルーティングの最適化により、可能な限りユーザーに近い場所でトラフィックを処理することで、パフォーマンスを高め、遅延を削減することができます。さらに、SASEによってITチームはより多くのワークフローを自動化し、アクセス関連のチケットへの対応に費やす時間を削減することができます。
サインアップ
従業員とアプリをオンラインで保護

SASEの典代表的なテクノロジーコンポーネント

通常、SASEプラットフォームには以下のコアテクノロジーコンポーネントが含まれます。

  • アクセスの安全を確保するためのZero Trustアプローチを可能にする主要な技術は、ゼロトラストネットワークアクセス(ZTNA)です。ZTNAは、IDやデバイスポスチャーなど、細かな背景情報をリソース単位で継続的に検証することで、デバイスや場所を問わずにあらゆるユーザーとアプリを簡単かつ安全に接続します。
  • SWG(Secure Web Gateway)は、不要なWebトラフィックコンテンツをフィルタリングし、オンラインでの危険な行動や未承認の行動をブロックすることで、脅威を防ぎデータを保護します。SWGはどこからでもWebトラフィックをフィルタリングできるため、ハイブリッドワークフォースに最適です。
  • クラウドやSaaSアプリを利用すると、データのプライベート性と安全性の確保が難しくなります。クラウドアクセスセキュリティブローカー(CASB)は、この課題を解決する手段の1つです。CASBは、企業・組織のクラウドホストサービスとアプリケーションに対するデータセキュリティ管理(および可視化)を提供します。また、データが許可なく盗まれたり破壊されたりするのを防ぐため、Web、SaaS、およびプライベートアプリケーションでの機密データの存在をデータ損失防止(DLP)技術が検出します。DLPソリューションは、SWGと組み合わせることで、転送中のデータをスキャンすることができます(例:アップロードまたはダウンロードしたファイル、チャットメッセージ、フォーム入力など)。DLPソリューションは、CASBと組み合わせることで保存中のデータをスキャンすることができます。
  • SASEアーキテクチャでは、組織はソフトウェア定義ワイドエリアネットワーク(SD-WAN)またはWANaaS(WAN-as-a-Service)のいずれかを採用し、長距離間に渡るオペレーション(オフィス、小売店、データセンターなど)を接続し、拡張します。SD-WANとWANaaSは異なるアプローチを採用しています。
    • SD-WANテクノロジーは、企業サイトのソフトウェアと集中型コントローラーを用い、従来のWANアーキテクチャみられた一部の制限を克服し、運用とトラフィックステアリングの決定工程を簡素化します。
    • WANaaSは、物理的なロケーション内に必要最小限のハードウェアを配置し、最も近い「サービスエッジ」ロケーションに到達するために低コストのインターネット接続を使用する「ライトブランチ、ヘビークラウド」アプローチを取ることで、SD-WANの利点を構築しています。これにより、総コストの削減、より統合されたセキュリティの提供、ミドルマイル(中距離間オペレーション)のパフォーマンスの向上など、クラウドインフラストラクチャにより優れたサービスを提供することができています。
  • 次世代ファイアウォール(NGFW)は、従来のファイアウォールよりも深いレベルでデータを検証します。NGFWは、アプリケーションの認識と制御、侵入防御、脅威インテリジェンスをもたらし、これによって通常のトラフィックの中に隠れている可能性のある脅威を特定してブロックすることができます。クラウド上で展開できるNGFWは、クラウドファイアウォールまたはサービスとしてのファイアウォール(FWaaS)と呼ばれています。
  • リモートブラウザ分離(RBI)は、デフォルトでいかなるWebサイトコードの実行も信頼しないことを前提として、WebのブラウジングにZero Trustの原則を適用します。RBIは、Webページの読み込み、そして関連するコードの実行をクラウド上で行います。この分離により、マルウェアのダウンロードを防止し、ブラウザの脆弱性のリスクを最小限に抑え、zero-dayブラウザの脆弱性を最小化し、ブラウザが媒介するその他の脅威から保護します。RBIは、ブラウザベースのリソースにデータ保護コントロールを適用することもでき、管理対象外のデバイスへのアクセスの保護に有用です。
  • すべてのサービスを統合する中央集中型管理により、管理者はポリシーを定義できます。定義されたポリシーは、接続されたすべてのサービスに適用されます。

ベンダーの能力によっては、SASEプラットフォームには以下も含まれる場合があります。

下図は、SASEプラットフォームがこれらすべての機能を統合し、すべてのプライベートアプリケーション、サービス、ネットワークに安全な接続を提供し、従業員のインターネットアクセスのセキュリティを確保する仕組みを示しています。

SASEがすべてのプライベートアプリケーション、サービス、ネットワークにセキュアなアクセスを適用

SASEユースケース例

SASEは、段階的に(数か月から数年単位で)実装されるのが一般的です。実装計画は多種多様で、次のような固有の要素によって異なります。

  • 組織の短期および長期の成長戦略
  • サイバー攻撃のリスクが高い役割とアプリ
  • 個々のチームの柔軟性と変化に対する寛容さ
  • 移行の潜在的なスピード、複雑さ、コスト

組織によって状況は異なるため、SASEの導入に「万能」アプローチはありません。しかし、SASEを有効にするユースケースは、一般的に以下の5つのIT優先事項のいずれかに分類されます。

1. Zero Trustの導入

ZTNAから始め、(より広範なSASEの取り組みの原則として)Zero Trustの原則を適用することで、次のようなユースケースが可能になります。

  • リスクの高いVPNやその他の従来型ハードウェアベースのセキュリティに代わるアプローチ
  • サードパーティアクセスおよびBYODアクセスの簡素化
  • ランサムウェア攻撃の軽減
  • SaaSアプリとクラウドストレージにおけるデータ露出の制限

2. 攻撃対象領域の保護

SASEアーキテクチャは、「場所を選ばない働き方、どこでも勤務」のアプローチをサポートし、ネットワークの内外を問わず脅威に対して一貫した可視性と保護を実現します。以下のユースケース例があります。

  • メール、ソーシャルメディア、コラボレーションアプリ、その他のチャネルでのフィッシングを阻止
  • リモートワーカーのために接続を保護
  • クラウドやインターネット上の任意の宛先へのトラフィックの保護と最適化
  • ワイドエリアネットワーク(WAN)の保護

3. ネットワークの最新化

企業は、従来の企業ネットワークを維持する代わりに、クラウドネイティブな分散型SASEサービスを活用することができます。これにより、次のようなユースケースが可能になります。

  • MPLSおよび従来のSD-WANに比べ、ブランチオフィスの接続を簡素化
  • DMZセキュリティをクラウドにシフト
  • ローカルエリアネットワーク(LAN)への過度の信頼を排除
  • 合併および買収(M&A)の際にITリスクを低減し、接続を加速

4. データの保護

認可されていない生成AIやシャドーITを使用することで機密データが開示されると、セキュリティ侵害やデータ漏洩につながり、修復に費用がかかる可能性があります。しかし、 SASEアーキテクチャは、次のようなユースケースを可能にします。

  • データセキュリティ規制コンプライアンスの簡素化
  • シャドーITの管理
  • 生成AIの利用を保護
  • 機密データの検出と管理

5. アプリケーションの最新化

アプリはエンドユーザーにとって安全で、レジリエンスとパフォーマンスに優れ、データガバナンス要件を満たしながらデータの増加に対応できるスケーラビリティも併せ持つ必要があります。SASEアーキテクチャを使えば、アプリの最新化プロセスのいくつかのステップを簡素化し、安全性を確保することができます。例:

  • 重要インフラへの特権(開発者/IT)アクセスの保護
  • 開発者コードの漏洩や窃取を防止
  • DevOpsワークフローを保護
  • クラウド移行中のアプリの保護

SASEと他のネットワーキングアプローチの比較

SASEと従来のネットワーキングの比較

従来のネットワークモデルでは、データとアプリケーションはコアデータセンターに存在します。ユーザー、ブランチオフィス、アプリケーションは、ローカライズされたプライベートネットワーク内、またはセカンダリネットワーク内からデータセンターに接続します(通常、このセカンダリネットワークは安全な専用回線かVPNを介してプライマリネットワークに接続します)。組織がSaaSアプリやデータをクラウドでホストしている場合、このプロセスはリスクが高く、非効率となる可能性があります。

従来のネットワーキングとは異なり、SASEは、企業のデータセンターではなくクラウドエッジにネットワーク制御を設けます。別々のコンフィギュレーションと管理を必要とするサービスをレイヤー化する代わりに、SASEは単一のコントロールプレーンによりネットワークとセキュリティサービスを融合させます。エッジネットワークにアイデンティティベースのZero Trustセキュリティポリシーを実装することで、SASEは、企業があらゆるリモート・ユーザー、支社・事務所、デバイス、アプリケーションへネットワークアクセスを拡大することを可能にします。

SASEとMPLSの比較

MLPS(Multiprotocol Label Switching)は、あらかじめ決められたネットワークパスに沿ってネットワークパケットを送信します。MPLSの結果、パケットが毎回同じ経路をたどることが理想的です。これが、MPLSが一般に信頼性があると思われる理由の1つですが、柔軟性に欠けます。たとえば、MPLSでは、中央に集中した「ブレイクアウト」拠点を介してセキュリティ制御が適用され、インバウンドトラフィックはすべて本社経由でルーティングされます。したがって、セキュリティ機能に到達するためにはトラフィックのバックホーリングが必要です。

SASEは、MPLSの専用ネットワークパスを使わず、低コストのインターネット接続を使います。これは、低コストでネットワークの効率化を目指す組織に適しています。SASEプラットフォームは、柔軟でアプリケーション認識インテリジェントルーティング、統合セキュリティ、ネットワークのきめ細かな可視性を提供します。

SASEとSSE(セキュリティサービスエッジ)の違い

SASEは、ユーザーの安全なアクセスをネットワークアーキテクチャの一部として組み込んでいます。しかし、すべての企業・組織がIT、ネットワークセキュリティ、ネットワーキングの各チームで一貫したアプローチをとっているわけではありません。そうした企業は、SASE機能のサブセットであるSSE(Security Service Edge)を優先する場合があります。SSEは、Web、クラウドサービス、プライベートアプリケーションへの社内ユーザーのアクセスの安全確保に重点を置いたコンポーネントです。

SSEは、一般的に全面的なSASEの展開前の足がかりとなります。単純化しすぎかもしれませんが、 SASEを「SSE + SD-WAN」と考える組織もあります。

シングルベンダーSASEとデュアルベンダーSASEの比較

SASEにおけるデュアルベンダーアプローチは、ZTNA、SWG、CASB、SD-WAN/WANaaS、FWaaS用に2つ以上のプロバイダーを持つことを意味します。多くの場合、1つはセキュリティで、もう1つはネットワークです。これにより、企業は技術スタックをカスタマイズし、各ベンダーの利点を活用することができます。また、組織には異なるサービスを調整し統合するための時間と社内リソースが必要であることも意味します。

マルチベンダーの代わりに、シングルベンダーSASE(SV-SASE)モデルを追求することもできます。これにより、セキュリティとネットワーキングのそれぞれ異なるテクノロジーは単一のクラウド配信プラットフォームに統合されます。SV-SASEは、ポイント製品の統合、TCOの削減、一貫したポリシーの適用を少ない労力で実現したい企業に最適です。

どちらのアプローチを採用するにしても、SASEプラットフォームは、ネットワークオンランプ、ID管理エンドポイントセキュリティ、ログストレージ、その他のネットワークセキュリティコンポーネント用の既存ツールを拡張または統合できなければなりません。

SASEベンダー候補に対する質問内容

どちらのSASEアプローチを選択する場合も、ベンダーを評価する際には、次の基準と質問例を検討してください。

リスクの低減

  • SaaSスイートを介したすべてのデータフローと通信は全チャネルにおいて保護されるか?
  • どのようなユーザー/デバイスリスクスコアリングと分析が利用できるか?
  • ネットワークオンランプに基づいてバイパスされるセキュリティ機能はあるか?
  • アプリケーショントラフィックはシングルパスで復号化され、検査されるか?デプロイメントに関する補足説明はありますか?
  • 脅威インテリジェンスフィードをアーキテクチャに統合できるか?

ネットワークの耐障害性

  • セキュリティおよびネットワーク機能は、デフォルトでネイティブ統合されているか?
  • 各接続手法とSASEサービスは、どんな順番でも相互運用可能か?
  • すべての機能がすべてのデータセンター拠点から提供されるか?
  • アップタイムやエンドユーザー側の遅延は保証されているか?
  • 障害が発生した場合にサービスの継続性を確保するために、ネットワークはどのように設計されているか?

未来志向のアーキテクチャ

  • クラウドを切り替えた場合、SASEのサービスやコストはどうなるか?
  • そのプラットフォームは開発者にとって使いやすいものか?将来のSASEの機能は現行アプリで動作するか?
  • どのようなデータローカライゼーション機能とコンプライアンス機能が組み込まれているか?
  • そのプラットフォームはポスト量子暗号化など、将来のインターネットやセキュリティの標準にどのように対応しているか?

CloudflareでSASEを実現する方法

CloudflareのSASEプラットフォーム(Cloudflare One)は、企業のアプリケーション、ユーザー、デバイス、ネットワークを保護します。同プラットフォームはCloudflareのコネクティビティクラウド上に構築されています。コネクティビティクラウドは、あらゆるネットワーク(企業およびインターネット)、クラウド環境、アプリケーション、ユーザー間のAny-to-Any接続を可能にする、統一され、コンポーザブルかつプログラマブルなクラウドネイティブサービスプラットフォームです。

Cloudflareサービスはすべて、あらゆるネットワークロケーションで実行するよう設計されているため、最善のパフォーマンスと一貫したユーザーエクスペリエンスを実現できるよう、ソースに近い場所ですべてのトラフィックが接続、検査、フィルタリングされます。遅延を発生させるバックホーリングやサービスチェイニングはありません。

また、Cloudflare Oneは組織がセキュリティとネットワーク最新化のユースケースを任意の順序で導入できるように組立可能なSASEオンランプおよびサービスを提供します。たとえば、Cloudflareの多くのお客様は、攻撃対象領域の削減、フィッシングやランサムウェアの阻止、ラテラルムーブメントの防止、データの保護のために、Zero Trust SSEサービスから始めています。Cloudflare Oneを段階的に導入することで、企業はアプライアンスやポイントソリューションの寄せ集めから脱却し、セキュリティとネットワーキングの機能を単一の統合コントロールプレーン上に集約することができます。CloudflareがSASEを提供する仕組みについての詳細はこちらをご覧ください。

SASEに関してよくある質問

SASEアーキテクチャとは何ですか?

SASEアーキテクチャは、ネットワーク接続とセキュリティの機能を、1つのクラウド配信サービスにまとめたものです。SD-WANの機能とCASB、SWG、Zero Trustなどのセキュリティサービスを単一のプラットフォームに統合します。

SASEソリューションは分散型ワークフォースにどのようなメリットをもたらしますか?

SASEソリューションは、ユーザーの居場所にかかわらずリソースへのセキュアなアクセスを提供し、リモートワークやハイブリッドワークの環境に最適です。一貫したセキュリティポリシーをすべての接続に適用し、ユーザーがオフィスにいようがリモート勤務していようと、ユーザーとデータを保護します。

SASE実装の主要コンポーネントは何ですか?

SASEの実装には、通常、SD-WAN、FWaaS、CASB、ZTNA、SWGのコンポーネントが含まれます。これらすべてが連携して、ネットワーク接続とセキュリティを統合されたサービスとして提供します。

SASEは従来のネットワークセキュリティとどう違いますか?

定義されたネットワークから脅威を排除することに重点を置いた従来のネットワークセキュリティと異なり、SASEはセキュリティをクラウドに移行し、ユーザーが接続する場所を問わずそれを適用します。また、SASEではネットワーキングとセキュリティの機能を1つのクラウドベースサービスに統合することにより、複数のポイントソリューションを使う必要がなくなります。

SASEを導入する際、組織はどのような課題に直面する可能性がありますか?

実装中に、既存のセキュリティインフラストラクチャと新しいSASEデプロイメントモデルの統合の課題に直面する可能性があります。(ITチームがオンプレミスからクラウドリソースの管理に移行する際の)スキルギャップ、変更管理、データがクラウドを通過する際の規制コンプライアンスの確保、新しいワークフローに関する従業員再トレーニングの必要性などが課題となります。さらに、適切なSASEベンダーを選択するためには、ネットワークとセキュリティの両方の機能を慎重に評価してすべての要件が満たされていることを確認する必要があります。