SASEとは?| セキュアアクセスサービスエッジ

Secure access service edge, or SASE, refers to a cloud-based IT model that combines networking and security services.

学習目的

この記事を読み終えると、以下のことができるようになります。

  • セキュアアクセスサービスエッジ(SASE)を定義する
  • SASEに含まれるサービスに関する詳細
  • SASEと従来のネットワークアーキテクチャとの違い
  • SASEフレームワークを採用する利点を詳しく見る

記事のリンクをコピーする

SASEとは?

セキュアアクセスサービスエッジ(SASE)は、クラウドベースのセキュリティモデルです。ネットワークセキュリティ機能とセットになったソフトウェア定義ネットワーキング で、単一のサービスプロバイダーから提供されます。SASE(サシー)という言葉は、2019年にグローバルリサーチとアドバイザリー企業のGartnerが新しく定義しました。

sase - セキュアアクセスサービスエッジ

SASEは、従来の「ハブアンドスポーク」ネットワークインフラストラクチャに新しく取って代わるクラウドベースのモデルで、複数のロケーション(スポーク)にいるユーザーを一元化されたデータセンター(ハブ)でホストされたリソースに接続するために使われます。従来のネットワークモデルでは、データとアプリケーションはコアデータセンターにあります。こうしたリソースにアクセスするために、ユーザー、支社オフィス、アプリケーションはローカライズされたプライベートネットワーク内、またはセカンダリネットワークからデータセンターに接続します。この、セカンダリネットワークは通常、安全な専用回線かVPNを通してプライマリネットワークに接続します。

ハブアンドスポークモデルは、原則としてシンプルなものですが、Software-as-a-Service(SaaS)のようなクラウドベースのサービスに伴う複雑性と労働力の分散化に対応するには、十分な設備を揃えていません。より多くのアプリケーション、ワークロード、機密性の高い企業データがクラウドに移行すると、企業はネットワークトラフィックを調べ、ユーザーアクセスポリシーを確実に管理する方法と場所について再考する必要に迫られます。アプリケーションとデータの大部分がクラウドでホストされている場合、すべてのトラフィックを一元化されたデータセンターを介して再ルーティング (またはトロンボーンルーティング)をするのは実用的ではありません。その理由は、不要なレイテンシーを引き起こす可能性があるためです。その一方で、多数のリモートユーザーがVPN経由で、企業ネットワークに接続した場合に、相当のレイテンシーが発生することがあります。また、セキュアでない接続で企業リソースにアクセスした場合には、余計なセキュリティリスクにさらされる可能性も出てきます。

それに対してSASEは、企業のデータセンターではなくクラウドエッジにネットワーク制御を設置します。個別の設定と管理を必要とするクラウドサービスを階層化する代わりに、SASEはネットワークサービスとセキュリティサービスを効率化して、安全でシームレスなネットワークエッジを作り上げます。IDベースのゼロトラストアクセスポリシーをエッジネットワークで実装することで、企業はリモートユーザー、支社オフィス、デバイス、アプリケーションすべてにネットワーク境界を拡張することができます。そして、これによりレガシーVPNとファイアウォールの必要性がなくなるため、企業はネットワークセキュリティポリシーでさらにきめ細かく制御することができます。このため、SASEフレームワークは単一のグローバルネットワーク上で構築され、統合したサービスをエンドユーザーに近づけられるのです。

SASEが必要な理由とは?

従来のネットワークアーキテクチャモデルを銀行の実店舗だと考えてみてください。今、ボブさんが家賃を支払う前に自分の口座残高をチェックしたいと思っています。チェックするには、実際に銀行まで足を運んで窓口で自分の身元を証明する必要があります。毎月、これを繰り返すために銀行まで行かなければなりません。ボブさんの自宅が銀行から遠いところにある場合、時間と労力がかなりかかってしまいます。

これは、ハードウェアを中心とするネットワークアーキテクチャと少し似ています。セキュリティとアクセス決定をして実施するのは、クラウドではなく固定のオンプレミスのデータセンターです。クラウドサービスを従来のネットワークアーキテクチャモデルに追加するということは、銀行に電話をかけるだけで、口座残高が確認できる選択肢をボブさんに提供するようなものです。銀行まで車で行くよりも便利ですが、別の身元確認の全プロセスを完了する必要があります(IDカードを手渡すのではなく、電話越しに自分の身分を証明するために、別の機密情報を提供する必要があるかもしれません)。銀行は、顧客の口座情報の安全に維持するめに、さまざまな手続きを管理する必要があります。

ハブアンドスポークネットワークモデル

従来のハブアンドスポークインフラストラクチャは、クラウドサービスを考慮した設計ではありません。コアデータセンター周辺に構築された安全なネットワーク境界に依存しますが、これは企業のアプリケーションとデータの大部分が境界内に配置されている場合のみ有効です。さまざまなセキュリティサービスとアクセスポリシーを管理するITチームにとって、管理や最新の状態を維持していくのが難しくなります。

一方、SASEはボブさんのモバイルデバイスに入っている銀行アプリのようなものです。ボブさんは口座をチェックするためにわざわざ銀行まで運転して行ったり、電話口で長い時間をかける代わりに、世界のどこにいてもデジタル処理で身元確認ができて、すぐに自分の口座にアクセスできるということです。これはボブさんだけに限らず、この銀行の顧客全員がどこにいようともこのように利用できます。

ハブアンドスポークネットワークモデル

SASEは、こうした重要なプロセスをクラウドに移行することで、ネットワークセキュリティサービスとアクセス制御をエンドユーザーに近づけることができます。そして、こうしたプロセス中のレイテンシーを最小限に抑えるためにグローバルネットワークで稼働します。

SASEにはどのような機能があるか

セキュアアクセスサービスエッジは、ソフトウェア定義の広範囲なネットワーキング (SD-WAN)機能と多数のネットワークセキュリティ機能を一つにまとめ、単一のクラウドプラットフォームから提供と管理を行います。SASE製品には、4つのセキュリティコンポーネントがあります。

  1. セキュアWebゲートウェイ(SWG):SWGはセキュアインターネットゲートウェイとも呼ばれ、Webトラフィックからの不必要なコンテンツをフィルタリングした上で不正なユーザー行為をブロックし、さらに企業のセキュリティポリシーを適用することで、サイバー脅威やデータ漏えいを防止します。SWGはどこにでもデプロイできるため、リモートワークをする従業員の安全を守るための理想的なサービスです。
  2. クラウドアクセスセキュリティブローカー(CASB):CASB(キャスビー)はクラウドでホストされるサービスに向けて、いくつかのセキュリティ機能を実行します。たとえば、シャドーIT(承認されていない企業システム)の特定、アクセス制御と情報漏えい防止対策(DLP)による機密性の高いデータの保護、データプライバシー規制の確実な順守などがあります。
  3. ゼロトラストネットワークアクセス(ZTNA):ZTNAプラットフォームはパブリックビューから社内リソースをロックダウンし、すべての保護されたアプリケーションに対して、ユーザーのリアルタイムな検証を要求することで、潜在的データ漏えいを防ぎます。
  4. Firewall-as-a-Service (FWaaS):FWaaSは、サービスとしてのクラウドから提供されるファイアウォールのことです。FWaaSは、クラウドベースのプラットフォームとインフラストラクチャ、アプリケーションをサイバー攻撃から保護します。従来のファイアウォールとは異なり、FWaaSは物理的なアプライアンスではなく、URLフィルタリング、侵入防止、ネットワークトラフィック全体で統一のポリシー管理を含むセキュリティ機能がセットになったものです。

Depending on the vendor and the needs of the enterprise, these core components may be bundled with any number of additional security services, from web application and API protection (WAAP) and remote browser isolation to recursive DNS, Wi-Fi hotspot protection, network obfuscation/dispersion, edge computing protection, and so on.

SASEフレームワークの利点とは?

SASEは、従来のデータセンターベースのネットワークセキュリティモデルと比較して、いくつかの利点があります。

  • 実装と管理の効率化SASEは複数の単一ポイントセキュリティソリューションを1つのクラウドベースサービスに結合するため、企業は複数のベンダーとのやりとり、時間や費用、物質的なインフラストラクチャを設定、保守を行う社内リソースに悩まされる必要がなくなります。
  • シンプルなポリシー管理SASEを使うと、個別のソリューションの複数のポリシーに対応する代わりに、組織は単一ポータルからロケーション、ユーザー、デバイス、アプリケーション全部でアクセスポリシーを設定、監視、調整、適用できます。
  • IDベースでゼロトラストのネットワークアクセスSASEは、ゼロトラストセキュリティモデルに大きく依拠しており、ユーザーがすでにプライベートネットワーク境界内にいたとしても、ユーザーの身元が明らかになるまでアプリケーションとデータへのアクセス権を付与しません。アクセスポリシーを定める際、SASEアプローチはエンティティのID以上のものを考慮します。ユーザーロケーション、時刻、企業セキュリティ基準、コンプライアンスポリシー、継続的なリスク/信頼の評価などの要因も考慮されます。
  • レイテンシーを最適化するルーティングレイテンシーの影響を受けるサービス(例:ビデオ会議、動画配信、オンラインゲームなど)を提供する企業にとって、レイテンシーの大幅な増加は問題となります。SASEは、グローバルエッジネットワーク内全体で、トラフィックができるだけユーザーに近いところで処理できるように、ネットワークトラフィックをルーティングしてレイテンシーを削減するのに役立ちます。ルーティングの最適化は、ネットワークの輻輳と他の要因に基づいて、最速のネットワークパスを決定するのに役立ちます。

SASEの実装は、すべて同じではないことに注意してください。IDベースのアクセスポリシーとネットワークセキュリティサービス、クラウド中心のアーキテクチャなど、共通する主要な特徴もありますが、組織のニーズによって顕著な違いもあります。SASEを実装すると、たとえば、マルチテナントアーキテクチャではなく、シングルテナントアーキテクチャを選択したり、IoT(モノのインターネット)をエッジデバイスのネットワークアクセス制御に組み込んだり、追加のセキュリティ機能を提供したり、最小限のハードウェア/仮想アプライアンスに依拠してセキュリティソリューションを提供したりします。

Cloudflareは、SASEの採用にどう役立つのか

Cloudflare’s SASE model applies to both Cloudflare for Infrastructure and Cloudflare for Teams, both of which are backed by a single global network that services approximately 25 million Internet properties. Cloudflare is uniquely architected to deliver a platform of integrated network and security services across each of its 200+ globally distributed cities, eliminating the need for companies to purchase and manage a complex collection of point solutions in the cloud.

Cloudflare for Infrastructureには、Cloudflareの統合セキュリティとパフォーマンスサービスのスイートが含まれており、オンプレミス環境やハイブリッド環境、クラウド環境の信頼性を確保・加速化・保証します。Cloudflare for Infrastructureでは、Cloudflare Magic Transitが重要な位置を占めています。Magic Transitは、DDoS脅威とネットワーク層攻撃からネットワーキングインフラストラクチャを保護し、Cloudflare Web Application Firewall(WAF)と連携して、脆弱性の悪用を防御します。また、Cloudflareのグローバルネットワークを使って、最適なレイテンシーとスループットを実現するために正当なネットワークトラフィックを加速させます。Cloudflare Magic Transitの詳細をお読みください。

Cloudflare for Teamsは、ゼロトラストネットワークアクセスソリューションのCloudflare Accessと、マルウェアやフィッシングのような脅威から保護するDNSフィルタリングとネットワークセキュリティサービスCloudflare Gatewayの2つの方法で、企業データを保護します。Cloudflare Accessは、レガシーVPNの必要性をなくし、ユーザーの場所に関わらず、社内アプリケーションとデータへのセキュアでIDベースのアクセスを可能にします。Cloudflare Gatewayは、悪意のあるコンテンツをフィルタリング、ブロックした上で、侵害/危害を受けたデバイスを特定して、ユーザーデバイスで悪意のあるコードが作成されるのを防止するためのブラウザ分離テクノロジーを使用して、ユーザーと企業データを守ります。Cloudflare for Teamsの詳細をお読みください。