SASEアーキテクチャとは|セキュアアクセスサービスエッジ

セキュア・アクセス・サービス・エッジ(SASE)アーキテクチャは、セキュリティとネットワーキング・サービスを1つのクラウドプラットフォームに統合したITモデルです。

学習目的

この記事を読み終えると、以下のことができるようになります。

  • セキュアアクセスサービスエッジ(SASE)モデルの定義
  • SASEのアーキテクチャコンポーネントについて
  • SASEのアドバンテージとユースケースを探る
  • SASEとSSEおよびZero Trustセキュリティとの関係を知る

関連コンテンツ


さらに詳しく知りたいとお考えですか?

是非、Cloudflareが毎月お届けする「theNET」を購読して、インターネットで最も人気のある洞察をまとめた情報を入手してください!

当社がお客様の個人データをどのように収集し処理するかについては、Cloudflareのプライバシーポリシーをご確認ください。

記事のリンクをコピーする

SASEとは?

セキュア・アクセス・サービス・エッジ(SASE)は、ネットワーク接続とネットワーク・セキュリティ機能を統合し、単一のクラウドプラットフォームや集中型ポリシー・コントロールを通じてそれを提供するアーキテクチャ・モデルです。

企業がアプリケーションやデータをクラウドに移行する傾向が強まるにつれ、従来の「城と堀」のようなアプローチによるネットワーク・セキュリティの管理は、より複雑でリスクの高いものへと変容しています。従来のネットワーキングのアプローチとは異なり、SASEはセキュリティとネットワーキングを1つのクラウドプラットフォームと単一のコントロールプレーンに統合し、あらゆるユーザーからあらゆるアプリケーションまでに渡る一貫した可視性、コントロール、エクスペリエンスを実現します。

こうしてSASEは、インターネット上で実行されるクラウドサービスをベースとした新しい統合型企業ネットワークを構築し、企業による多くのアーキテクチャ・レイヤーやポイントソリューションからの移行を可能実現させます。

SASEアーキテクチャは、Zero Trustセキュリティとネットワーク・サービスを組み合わせたものです。

SASEと従来のネットワーキングの違いは何か?

従来のネットワークモデルでは、データとアプリケーションはコアデータセンターにあります。こうしたリソースにアクセスするために、ユーザー、支社オフィス、アプリケーションはローカライズされたプライベートネットワーク内、またはセカンダリネットワークからデータセンターに接続します。この、セカンダリネットワークは通常、安全な専用回線かVPNを通してプライマリネットワークに接続します。

ただしこのモデルでは、新しいクラウドベースのサービスや分散型ワークフォースの優勢化によってもたらされる複雑性には対応できません。例えば、組織がSaaSアプリやデータをクラウドでホストしている場合、すべてのトラフィックを集中データセンター経由で迂回させることは現実的ではありません。

対照的にSASEでは、企業のデータセンターではなくクラウドエッジにネットワーク制御を設けます。別々のコンフィギュレーションと管理を必要とするサービスをレイヤー化する代わりに、SASEは単一のコントロールプレーンによりネットワークとセキュリティサービスを融合させます。エッジ・ネットワークにアイデンティティ・ベースのZero Trustセキュリティポリシーを実装することで、企業はあらゆるリモート・ユーザー、支社・事務所、デバイス、アプリケーションへのネットワークアクセスを拡大できます。

ホワイトペーパー
SASEの使用例に関するバイヤーズガイド
ガイド
アプリケーションへのアクセスを保護するためのZero Trustガイド

SASEが提供する機能

SASEプラットフォームは、サービスとしてのネットワーク(NaaS)機能と、単一のインターフェースから管理され、かつ単一のコントロールプレーンから提供される多くのセキュリティ機能とを組み合わせています。

このサービスに含まれるのは、以下のものが挙げられます:

  • さまざまなネットワークを1つの企業ネットワークに接続するワイドエリアネットワーク(SD-WAN)やサービスとしてのWAN(WANaaS)など、接続性を簡素化するネットワークサービス。
  • ユーザーやデバイスのアクセスを保護し、脅威から守り、機密データを保護する、ネットワークを出入りするトラフィックに適用されるセキュリティサービス
  • ネットワーク監視やロギングなど、プラットフォーム全体の機能を提供する運用サービス
  • すべてのコンテキスト属性とセキュリティルールを支え、接続されたすべてのサービスにポリシーを適用するポリシーエンジン

これらのサービスを統一されたアーキテクチャに統合することで、SASEはネットワークインフラを簡素化しています。

サインアップ
従業員とアプリをオンラインで保護

SASEプラットフォームのテクノロジー・コンポーネント

セキュアアクセスサービスエッジは、従来は異質であった数多くのサービスを統合するものであるため、企業・組織は一度にすべてではなく段階的にSASEアーキテクチャに移行できます。企業・組織はまず、最優先のユースケースを満たすコンポーネントを実装した後、すべてのネットワーキング・サービスとセキュリティサービスを単一のプラットフォームに移行させられます。

SASEプラットフォームでは、典型的には以下の技術コンポーネントを含んでいます:

  • Zero Trustネットワークアクセス(ZTNA): Zero Trustセキュリティモデルでは、ネットワークの内外に脅威が存在することを前提としています。したがって、個人、アプリ、デバイスが企業ネットワーク上のリソースにアクセスしようとするたびに、厳密なコンテキスト検証が必要となります。Zero Trustネットワークアクセス(ZTNA)は、Zero Trustアプローチを実現させる技術です。ユーザーおよびユーザーが必要とするリソースとの間に1対1の接続を設定し、それらの接続の定期的な再検証と再作成を行います。
  • セキュアWebゲートウェイ(SWG):SWGは、迷惑なWebトラフィックコンテンツをフィルタリングし、オンラインでの危険または不正ユーザーの行動をブロックすることで、サイバー脅威を防ぎ、データを保護します。SWGはどこにでも導入できるため、ハイブリッド作業のセキュリティの保護に最適です。
  • クラウドアクセスセキュリティブローカー(CASB):クラウドやSaaSアプリの利用により、データのプライベート性と安全性の確保が難しくなります。CASBは、この課題に対する1つの解決策となります。CASBは、企業・組織のクラウドホストサービスとアプリケーションに対するデータセキュリティ管理(および可視化)をもたらすためです。
  • ソフトウェア定義WAN(SD-WAN)、またはWANaaS:SASEアーキテクチャでは、企業はSD-WANまたはサービスとしてのWAN(WANaaS)のいずれかを採用し、長距離間に渡るオペレーション(オフィス、小売店、データセンターなど)を接続し、拡張します。SD-WANとWANaaSは異なるアプローチを採用しています:
    • SD-WANテクノロジーは、企業サイトのソフトウェアと集中型コントローラーを用い、従来のWANアーキテクチャみられた一部の制限を克服し、運用とトラフィックステアリングの決定工程を簡素化します。
    • WANaaSは、物理的なロケーション内に必要最小限のハードウェアを配置し、最も近い「サービスエッジ」ロケーションに到達するために低コストのインターネット接続を使用する「ライトブランチ、ヘビークラウド」アプローチを取ることで、SD-WANの利点を構築しています。これにより、総コストの削減、より統合されたセキュリティの提供、ミドルマイル(中距離間オペレーション)のパフォーマンスの向上など、クラウドインフラストラクチャにより優れたサービスを提供することができています。
  • 次世代ファイアウォール(NGFW)NGFWは、従来のファイアウォールよりも深いレベルでデータを検証します。例えばNGFWは、アプリケーションの認識と制御、侵入防御、脅威インテリジェンスをもたらし、これによって通常のトラフィックの中に隠れている可能性のある脅威を特定してブロックすることができます。クラウド上で展開できるNGFWは、クラウド・ファイアウォールまたはファイアウォール・アズ・ア・サービス(FWaaS)と呼ばれています。

ベンダーの能力によっては、上記のSASEコンポーネントはクラウドメールセキュリティWeb アプリケーションおよびAPI保護(WAAP)、DNSセキュリティ、および以下にさらに説明するセキュリティサービスエッジ(SSE)機能ともバンドルとして提供しています。

SASEの主な利点

SASEは、従来のデータセンターベースのネットワークセキュリティモデルと比較して、いくつかの利点があります。

Zero Trust原則によるリスクの低減:SASEは、Zero Trustセキュリティモデルを重んじて実践しています。このモデルでは、たとえユーザーがすでにプライベート・ネットワークの境界内にいたとしても、ユーザーの身元情報が確認されるまでアプリケーションやデータへのアクセスを許可しません。アクセス・ポリシーを確立する際、SASEアプローチではエンティティのID以外にも、地理的な位置、デバイスポスチャー、企業のセキュリティ基準、およびリスク・信頼性の継続的な評価などの要素を考慮します。

プラットフォームの統合によるコスト削減:SASEは、シングルポイント・セキュリティ・ソリューションを1つのクラウドベースのサービスに統合することで、企業・組織はやり取りするベンダーの数がより少なくなり、異なる製品の統合に費やす時間や費用、社内リソースを削減できます。

運用の効率性と俊敏性:SASEは、連携して動作するような設計となっていないポイントソリューションをあれこれ取り扱うのではなく、あらゆる場所、ユーザー、デバイス、アプリケーションにわたるセキュリティポリシーの設定、調整、実施が単一のインターフェースから可能になります。IT管理部門はより効率的にトラブルシューティングを行えるようになり、単純な問題の解決に費やす時間を短縮できます。

ハイブリッドワークにおけるユーザーエクスペリエンスの向上:ネットワークルーティングの最適化により、ネットワークの混雑状況などに基づいた最速のネットワーク・パスを決定できます。SASEにより、トラフィックが可能な限りユーザーの近くで処理されるグローバルエッジネットワークでトラフィックを安全にルーティングできるため、エンドユーザー側での遅延が軽減されます。

一般的なSASEのユースケース

VPNの増強または置き換えによる最先端なセキュアなアクセス

SASEアーキテクチャに移行する一般的な要因の1つとなるのが、リソースへのアクセスと接続性を向上させたいとのニーズです。VPNを経由するのではなく、可能な限りユーザーに近いグローバル・クラウド・ネットワーク上でネットワークトラフィックをルーティングし処理することで、エンドユーザー側での不便を減らし、ラテラルムーブメントのリスクが排除されます。

請負業者(第三者)にとってのアクセスの簡素化

セキュアアクセスサービスエッジにより、社内の従業員だけでなく、請負業者、パートナー、その他臨時もしくは独立した労働者などの第三者にもセキュアなアクセスを拡大できます。リソースベースのアクセスにより、企業・組織は請負業者に対するオーバープロビジョニングのリスクを軽減できます。

分散型オフィスとリモートワーカーのための脅威防御

SASEにより、組織は場所に関係なく、すべてのユーザーに一貫したITセキュリティポリシーを適用できます。SASEは、すべての送受信ネットワークトラフィックをフィルタリングし検査することで、マルウェアベースの攻撃、マルチチャネルフィッシング(複数の通信チャネルにまたがる攻撃)、内部脅威、データ流出などの脅威を防げます。

規制コンプライアンスのためのデータ保護

SASEは全てのネットワーク・リクエストを可視化するため、企業・組織はリクエストのデータに個別にポリシーを適用できます。こうしたポリシーにより、企業・組織が特定の方法で機密データを処理することを要求するデータプライバシー法の遵守を支えます。

ブランチ接続を簡素化

SASEアーキテクチャは、マルチプロトコルラベルスイッチング(MPLS)回線とネットワークアプライアンスのパッチワークを補強または置き換えることで、拠点間のトラフィックをより簡単にルーティングし、異なる地理的位置間の接続をスムーズなものにします。

SASEとSSE(セキュリティサービスエッジ)の違い

業界アナリストのガートナーはセキュアアクセスサービスエッジを評するに当たり、SD-WAN、SWG、CASB、NGFW、ZTNAを包含し「リアルタイムのコンテキストとセキュリティおよびコンプライアンスポリシーと組み合わせた、デバイスまたはエンティティのアイデンティティに基づくZero Trustアクセスを実現する」サービスだと述べています。

つまり、SASEはユーザーの安全なアクセスをネットワークアーキテクチャの一部として組み込んでいると認めていることになります。(業界アナリストのフォレスターは、SASEモデルを「Zero Trust Edge」(ZTE)と分類しています。)

しかし、すべての企業・組織がIT、ネットワーク・セキュリティ、ネットワーキングの各チームで一貫したアプローチをとっているわけではありません。そのため、主にWeb、クラウドサービス、プライベートアプリケーションへのアクセスの安全性に焦点を当てたSASE機能のサブセットであるセキュリティサービスエッジ(SSE)を優先する場合があります。

さらに、ほとんどのSASEプラットフォームは先に述べた中核的な機能を備えてはいるものの、中には以下に挙げる付加的SSE機能を備えているものもあります:

  • リモートブラウザ分離(RBI):RBIは、Webのブラウズに対し、一切のWebサイトコード(例:HTML、CSS、JavaScript)がそのまま信頼されて実行されるべきではないと前提するZero Trust原則を適用しています。RBIは、Webページの読み込み、そして関連するコードの実行をクラウド上で行います。この分離により、マルウェアのダウンロードを防止し、ブラウザの脆弱性のリスクを最小限に抑え、zero-dayブラウザの脆弱性を最小化し、ブラウザが媒介するその他の脅威から保護します。
  • データ損失防止(DLP):データが許可なく盗まれたり破壊されたりするのを防ぐため、DLPテクノロジーはWeb、SaaS、プライベートアプリケーションでの機密データの存在を検知します。DLPソリューションは、SWGと組み合わせれば転送中のデータをスキャンでき、CASBと組み合わせれば保存データをスキャンできます。
  • デジタル・エクスペリエンス・モニタリング(DEM):DEMは、Webサイトのトラフィックやアプリのパフォーマンスに関するユーザーの行動や体験をモニタリングするためのツールです。DEMは、組織がネットワークの問題、パフォーマンスの低下、アプリケーションの停止に関するリアルタイムデータの取得に役立ちます。これにより、ネットワークの問題を特定し、接続異常の根本原因を特定できます

SSEは、一般的に全面的なSASEの展開前の足がかりとなります。しかし、一部の企業・組織(特にSD-WANの導入状況が成熟している企業・組織)は、完全に単一のSASEベンダーによる統合を検討していない場合があります。こうした企業・組織の場合、個々のSASEコンポーネントを導入し、当面のユースケースに対応することになります。

CloudflareでSASEを実現する方法

Cloudflare Oneは、企業のアプリケーション、ユーザー、デバイス、ネットワークを保護するCloudflareのSASEプラットフォームです。 同プラットフォームは、あらゆるネットワーク(企業およびインターネット)、クラウド環境、アプリケーション、ユーザー間のAny-to-Any接続を可能にする、統一され、コンポーザブルかつプログラマブルなクラウドネイティブサービスプラットフォームであるCloudflareのコネクティビティクラウド上に構築されています。

SASEのすべての機能的側面を含んだCloudflare Oneサービスは、すべてのCloudflareネットワークロケーションで実行する前提で設計されており、最善のパフォーマンスと一貫したユーザーエクスペリエンスを実現するためにソースに近い場所ですべてのトラフィックが接続、検査、フィルタリングされます。Cloudflare Oneおよびその他のネットワークセキュリティソリューションに関する詳細をご覧ください。