SASEとは?| セキュアアクセスサービスエッジ

セキュアアクセスサービスエッジ(SASE)とは、ネットワーキングサービスとセキュリティサービスを組み合わせたクラウドベースのITモデルです。

学習目的

この記事を読み終えると、以下のことができるようになります。

  • セキュアアクセスサービスエッジ(SASE)を定義する
  • SASEアプローチの構成要素を学ぶ
  • SASEフレームワークを採用する利点を詳しく見る

記事のリンクをコピーする

SASEとは?

セキュアアクセスサービスエッジ(SASE)とはクラウドベースのITモデルのことで、Software Defined Networkingとネットワークセキュリティ機能をバンドルし、単一のサービスプロバイダーから提供します。「SASE」という言葉は2019年、世界的な調査・助言会社であるGartnerによって作られました。

SASEのアプローチで、企業ネットワークにアクセスするユーザー、トラフィック、データのコントロールと可視化が向上します。これは、グローバルに展開する現代の組織にとって欠かすことのできない機能です。SASEで構築されたネットワークは、柔軟性と拡張性に優れており、世界中に分散している従業員やオフィスを、あらゆる場所、あらゆるデバイスを介して繋ぐことができます。

sase - セキュアアクセスサービスエッジ

SASEにはどのようなセキュリティ機能があるか?

SASEは、Software-Defined Wide Area Network(SD-WAN)の機能と、多数のネットワークセキュリティの機能を組み合わせ、これらすべてを単一のクラウドプラットフォームから提供します。これにより、SASEは、従業員がどこからでも認証を受けて社内リソースに安全に接続することを可能にし、組織は社内ネットワークに出入りするトラフィックやデータをより適切に管理することができます。

SASEには、4つのコアコンポーネントがあります。

  1. セキュアWebゲートウェイ(SWG):SWG は、Webトラフィックからの不必要なコンテンツをフィルタリングした上で不正なユーザー行為をブロックし、さらに企業のセキュリティポリシーを適用することで、サイバー脅威やデータ漏えいを防止します。SWGはどこにでもデプロイできるため、リモートワークをする従業員の安全を守るための理想的なサービスです。
  2. クラウドアクセスセキュリティブローカ(CASB):CASBは、シャドーIT(企業で承認されていないシステム)の明確化、アクセス制御データ損失防止(DLP)による機密データの保護、データプライバシー規制への準拠の確保など、クラウドでホスティングされるサービスへのセキュリティ機能を実行します。
  3. Zero Trustネットワークアクセス(ZTNA):ZTNAプラットフォームはパブリックビューから社内リソースをロックダウンし、すべての保護されたアプリケーションに対して、ユーザーとデバイスのリアルタイムな検証を要求することで、潜在的データ漏えいを防ぎます。
  4. Firewall-as-a-Service (FWaaS):FWaaSは、サービスとしてのクラウドから提供されるファイアウォールのことです。FWaaSは、クラウドベースのプラットフォームとインフラストラクチャ、アプリケーションをサイバー攻撃から保護します。従来のファイアウォールとは異なり、FWaaSは物理的なアプライアンスではなく、URLフィルタリング、侵入防止、ネットワークトラフィック全体で統一のポリシー管理を含むセキュリティ機能がセットになったものです。

ベンダーや企業のニーズに応じて、これらのコアコンポーネントに、ウェブアプリケーションとAPIの保護(WAAP)、リモートブラウザの分離、Wi-Fiホットスポットの保護などの、追加のセキュリティサービスがバンドルされる場合もあります。

SASEフレームワークの利点とは?

SASEは、従来のデータセンターベースのネットワークセキュリティモデルと比較して、いくつかの利点があります。

  • IDベースでZero Trustのネットワークアクセス。SASEは、Zero Trustセキュリティモデルに大きく依拠しており、ユーザーがすでにプライベートネットワーク境界内にいたとしても、ユーザーの身元が明らかになるまでアプリケーションとデータへのアクセス権を付与しません。アクセスポリシーを定める際、SASEアプローチはエンティティのID以上のものを考慮します。ユーザーロケーション、時刻、企業セキュリティ基準、コンプライアンスポリシー、継続的なリスク/信頼の評価などの要因も考慮されます。
  • ネットワークインフラへの攻撃をブロック。SASEのファイアウォールとCASBのコンポーネントは、外部からの攻撃(DDoS攻撃や脆弱性の悪用など)が侵入して内部リソースが危険にさらされるのを防ぎます。SASEのアプローチでは、オンプレミスとクラウドベースの両方のネットワークを保護することができます。
  • 悪意のある活動を防止。URL、DNSクエリ、その他の送受信されるネットワークトラフィックをフィルタリングすることで、SASEはマルウェアベースの攻撃、データの流出、その他の企業データに向けられる脅威を防止します。
  • 実装と管理の効率化。SASEは複数の単一ポイントセキュリティソリューションを1つのクラウドベースサービスに結合するため、企業は複数のベンダーとのやりとり、時間や費用、物質的なインフラストラクチャの設定を行う社内リソースに悩まされる必要がなくなります。
  • シンプルなポリシー管理。SASEを使うと、個別のソリューションの複数のポリシーに対応する代わりに、組織は単一ポータルからロケーション、ユーザー、デバイス、アプリケーション全部でアクセスポリシーを設定、調整、適用できます。
  • レイテンシーを最適化するルーティングSASEは、グローバルエッジネットワーク内全体で、トラフィックができるだけユーザーに近いところで処理できるように、ネットワークトラフィックをルーティングしてレイテンシーを削減するのに役立ちます。ルーティングの最適化は、ネットワークの輻輳と他の要因に基づいて、最速のネットワークパスを決定するのに役立ちます。

SASEと従来のネットワーキングの違いは何か?

従来のネットワークモデルでは、データとアプリケーションはコアデータセンターにあります。こうしたリソースにアクセスするために、ユーザー、支社オフィス、アプリケーションはローカライズされたプライベートネットワーク内、またはセカンダリネットワークからデータセンターに接続します。この、セカンダリネットワークは通常、安全な専用回線かVPNを通してプライマリネットワークに接続します。

このモデルは、Software as a Service(SaaS)のようなクラウドベースのサービスや、分散型の労働環境の増加によってもたらされた複雑さに対処するには十分に整備されていないことが分かっています。アプリケーションやデータがクラウドで提供されている場合、すべてのトラフィックを中央のデータセンター経由で再ルーティングすることはもはや現実的ではありません。

それに対してSASEは、企業のデータセンターではなくクラウドエッジにネットワーク制御を設置します。個別の設定と管理を必要とするクラウドサービスを階層化する代わりに、SASEはネットワークサービスとセキュリティサービスを効率化して、安全なネットワークエッジを作り上げます。IDベースのZero Trustアクセスポリシーをエッジネットワークで実装することで、企業はリモートユーザー、支社オフィス、デバイス、アプリケーションすべてにネットワーク境界を拡張することができます。

組織がSASEを導入する方法

多くの組織は、SASEの導入に断片的なアプローチをとっています。実際、知らないうちにSASEの要素をすでに採用している場合もあります。SASEモデルを完全に採用するために組織が取ることのできる主なステップは以下の通りです。

  1. リモートワーク中の従業員を守る
  2. 支社オフィスをクラウド境界の背後に位置づける
  3. DDoS攻撃対策をエッジに移動する
  4. 自社開発アプリケーションをクラウドへ移行する
  5. セキュリティアプライアンスを、統合型のクラウドネイティブポリシーを推進するものに置き換える

これらのステップについては、ホワイトペーパー「Getting started with SASE」で詳しく説明されています。ダウンロードはこちらから

CloudflareでSASEを実現する方法

Cloudflareは、270以上に及ぶグローバルに分散した都市のデータセンターに、統合されたネットワークとセキュリティサービスのプラットフォームを提供するように独自に設計されており、企業が複雑なポイントソリューションのコレクションを購入・管理する必要がありません。

Cloudflare Oneは、リモートユーザー、オフィス、データセンターを相互に、そして必要なリソースを安全に接続するSASEプラットフォームです。Cloudflare Oneの始め方については、Cloudflare One製品ページをご覧ください。また、SASEを支える重要なテクノロジーであるZTNAについても紹介しています