SASEとは?| セキュアアクセスサービスエッジ

セキュアアクセスサービスエッジ(SASE)とは、ネットワーキングサービスとセキュリティサービスを組み合わせたクラウドベースのITモデルです。

Share facebook icon linkedin icon twitter icon email icon

SASE

学習目的

この記事を読み終えると、以下のことができます。

  • セキュアアクセスサービスエッジ(SASE)を定義する
  • SASEに含まれるサービスに関する詳細
  • SASEと従来のネットワークアーキテクチャとの違い
  • SASEフレームワークを採用する利点を詳しく見る

SASEとは?

セキュアアクセスサービスエッジ(SASE)は、クラウドベースのセキュリティモデルです。ネットワークセキュリティ機能とセットになったソフトウェア定義ネットワーキング で、単一のサービスプロバイダーから提供されます。SASE(サシー)という言葉は、2019年にグローバルリサーチとアドバイザリー企業のGartnerが新しく定義しました。

sase - セキュアアクセスサービスエッジ

SASEは、従来の「ハブアンドスポーク」ネットワークインフラストラクチャに新しく取って代わるクラウドベースのモデルで、複数のロケーション(スポーク)にいるユーザーを一元化されたデータセンター(ハブ)でホストされたリソースに接続するために使われます。従来のネットワークモデルでは、データとアプリケーションはコアデータセンターにあります。こうしたリソースにアクセスするために、ユーザー、支社オフィス、アプリケーションはローカライズされたプライベートネットワーク内、またはセカンダリネットワークからデータセンターに接続します。この、セカンダリネットワークは通常、安全な専用回線かVPNを通してプライマリネットワークに接続します。

ハブアンドスポークモデルは、原則としてシンプルなものですが、Software-as-a-Service(SaaS)のようなクラウドベースのサービスに伴う複雑性と労働力の分散化に対応するには、十分な設備を揃えていません。より多くのアプリケーション、ワークロード、機密性の高い企業データがクラウドに移行すると、企業はネットワークトラフィックを調べ、ユーザーアクセスポリシーを確実に管理する方法と場所について再考する必要に迫られます。アプリケーションとデータの大部分がクラウドでホストされている場合、すべてのトラフィックを一元化されたデータセンターを介して再ルーティング (またはトロンボーンルーティング)をするのは実用的ではありません。その理由は、不要なレイテンシーを引き起こす可能性があるためです。その一方で、多数のリモートユーザーがVPN経由で、企業ネットワークに接続した場合に、相当のレイテンシーが発生することがあります。また、セキュアでない接続で企業リソースにアクセスした場合には、余計なセキュリティリスクにさらされる可能性も出てきます。

それに対してSASEは、企業のデータセンターではなくクラウドエッジにネットワーク制御を設置します。個別の設定と管理を必要とするクラウドサービスを階層化する代わりに、SASEはネットワークサービスとセキュリティサービスを効率化して、安全でシームレスなネットワークエッジを作り上げます。IDベースのゼロトラストアクセスポリシーをエッジネットワークで実装することで、企業はリモートユーザー、支社オフィス、デバイス、アプリケーションすべてにネットワーク境界を拡張することができます。そして、これによりレガシーVPNとファイアウォールの必要性がなくなるため、企業はネットワークセキュリティポリシーでさらにきめ細かく制御することができます。このため、SASEフレームワークは単一のグローバルネットワーク上で構築され、統合したサービスをエンドユーザーに近づけられるのです。

SASEが必要な理由とは?

従来のネットワークアーキテクチャモデルを銀行の実店舗だと考えてみてください。今、ボブさんが家賃を支払う前に自分の口座残高をチェックしたいと思っています。チェックするには、実際に銀行まで足を運んで窓口で自分の身元を証明する必要があります。毎月、これを繰り返すために銀行まで行かなければなりません。ボブさんの自宅が銀行から遠いところにある場合、時間と労力がかなりかかってしまいます。

これは、ハードウェアを中心とするネットワークアーキテクチャと少し似ています。セキュリティとアクセス決定をして実施するのは、クラウドではなく固定のオンプレミスのデータセンターです。クラウドサービスを従来のネットワークアーキテクチャモデルに追加するということは、銀行に電話をかけるだけで、口座残高が確認できる選択肢をボブさんに提供するようなものです。銀行まで車で行くよりも便利ですが、別の身元確認の全プロセスを完了する必要があります(IDカードを手渡すのではなく、電話越しに自分の身分を証明するために、別の機密情報を提供する必要があるかもしれません)。銀行は、顧客の口座情報の安全に維持するめに、さまざまな手続きを管理する必要があります。

ハブアンドスポークネットワークモデル

従来のハブアンドスポークインフラストラクチャは、クラウドサービスを考慮した設計ではありません。コアデータセンター周辺に構築された安全なネットワーク境界に依存しますが、これは企業のアプリケーションとデータの大部分が境界内に配置されている場合のみ有効です。さまざまなセキュリティサービスとアクセスポリシーを管理するITチームにとって、管理や最新の状態を維持していくのが難しくなります。

一方、SASEはボブさんのモバイルデバイスに入っている銀行アプリのようなものです。ボブさんは口座をチェックするためにわざわざ銀行まで運転して行ったり、電話口で長い時間をかける代わりに、世界のどこにいてもデジタル処理で身元確認ができて、すぐに自分の口座にアクセスできるということです。これはボブさんだけに限らず、この銀行の顧客全員がどこにいようともこのように利用できます。

ハブアンドスポークネットワークモデル

SASEは、こうした重要なプロセスをクラウドに移行することで、ネットワークセキュリティサービスとアクセス制御をエンドユーザーに近づけることができます。そして、こうしたプロセス中のレイテンシーを最小限に抑えるためにグローバルネットワークで稼働します。

SASEにはどのような機能があるか

セキュアアクセスサービスエッジは、ソフトウェア定義の広範囲なネットワーキング (SD-WAN)機能と多数のネットワークセキュリティ機能を一つにまとめ、単一のクラウドプラットフォームから提供と管理を行います。SASE製品には、4つのセキュリティコンポーネントがあります。

  1. セキュアWebゲートウェイ(SWG):SWGはセキュアインターネットゲートウェイとも呼ばれ、Webトラフィックからの不必要なコンテンツをフィルタリングした上で不正なユーザー行為をブロックし、さらに企業のセキュリティポリシーを適用することで、サイバー脅威やデータ漏えいを防止します。SWGはどこにでもデプロイできるため、リモートワークをする従業員の安全を守るための理想的なサービスです。
  2. クラウドアクセスセキュリティブローカー(CASB):CASB(キャスビー)はクラウドでホストされるサービスに向けて、いくつかのセキュリティ機能を実行します。たとえば、シャドーIT(承認されていない企業システム)の特定、アクセス制御と情報漏えい防止対策(DLP)による機密性の高いデータの保護、データプライバシー規制の確実な順守などがあります。
  3. ゼロトラストネットワークアクセス(ZTNA):ZTNAプラットフォームはパブリックビューから社内リソースをロックダウンし、すべての保護されたアプリケーションに対して、ユーザーのリアルタイムな検証を要求することで、潜在的データ漏えいを防ぎます。
  4. Firewall-as-a-Service (FWaaS):FWaaSは、サービスとしてのクラウドから提供されるファイアウォールのことです。FWaaSは、クラウドベースのプラットフォームとインフラストラクチャ、アプリケーションをサイバー攻撃から保護します。従来のファイアウォールとは異なり、FWaaSは物理的なアプライアンスではなく、URLフィルタリング、侵入防止、ネットワークトラフィック全体で統一のポリシー管理を含むセキュリティ機能がセットになったものです。

企業のニーズとベンダーに応じて、こうした主要コンポーネントはWebアプリケーションやAPI保護(WAAP)、リモートブラウザ分離から再帰DNS、WiFiホットスポット保護、ネットワークの難読化/分散、エッジコンピューティング保護まで、様々な追加のセキュリティサービスとセットになります。

SASEフレームワークの利点とは?

SASEは、従来のデータセンターベースのネットワークセキュリティモデルと比較して、いくつかの利点があります。

  • 実装と管理の効率化SASEは複数の単一ポイントセキュリティソリューションを1つのクラウドベースサービスに結合するため、企業は複数のベンダーとのやりとり、時間や費用、物質的なインフラストラクチャを設定、保守を行う社内リソースに悩まされる必要がなくなります。
  • シンプルなポリシー管理SASEを使うと、個別のソリューションの複数のポリシーに対応する代わりに、組織は単一ポータルからロケーション、ユーザー、デバイス、アプリケーション全部でアクセスポリシーを設定、監視、調整、適用できます。
  • IDベースでゼロトラストのネットワークアクセスSASEは、ゼロトラストセキュリティモデルに大きく依拠しており、ユーザーがすでにプライベートネットワーク境界内にいたとしても、ユーザーの身元が明らかになるまでアプリケーションとデータへのアクセス権を付与しません。アクセスポリシーを定める際、SASEアプローチはエンティティのID以上のものを考慮します。ユーザーロケーション、時刻、企業セキュリティ基準、コンプライアンスポリシー、継続的なリスク/信頼の評価などの要因も考慮されます。
  • レイテンシーを最適化するルーティングレイテンシーの影響を受けるサービス(例:ビデオ会議、動画配信、オンラインゲームなど)を提供する企業にとって、レイテンシーの大幅な増加は問題となります。SASEは、グローバルエッジネットワーク内全体で、トラフィックができるだけユーザーに近いところで処理できるように、ネットワークトラフィックをルーティングしてレイテンシーを削減するのに役立ちます。ルーティングの最適化は、ネットワークの輻輳と他の要因に基づいて、最速のネットワークパスを決定するのに役立ちます。

SASEの実装は、すべて同じではないことに注意してください。IDベースのアクセスポリシーとネットワークセキュリティサービス、クラウド中心のアーキテクチャなど、共通する主要な特徴もありますが、組織のニーズによって顕著な違いもあります。SASEを実装すると、たとえば、マルチテナントアーキテクチャではなく、シングルテナントアーキテクチャを選択したり、IoT(モノのインターネット)をエッジデバイスのネットワークアクセス制御に組み込んだり、追加のセキュリティ機能を提供したり、最小限のハードウェア/仮想アプライアンスに依拠してセキュリティソリューションを提供したりします。

Cloudflareは、SASEの採用にどう役立つのか

CloudflareのSASEモデルは、Cloudflare for InfrastructureとCloudflare for Teamsの両方に適用されます。どちらも2500万を超えるインターネットプロパティにサービスを提供する単一のグローバルネットワークでサポートされます。Cloudflareのアークテクチャは他社とは異なり、世界中の都市に広がる200+ 以上のデータセンターそれぞれで統合ネットワークとセキュリティサービスのプラットフォームを提供します。そのため、企業はポイントソリューションの複雑なコレクションを購入してクラウド上で管理する必要がなくなります。

Cloudflare for Infrastructureには、Cloudflareの統合セキュリティとパフォーマンスサービスのスイートが含まれており、オンプレミス環境やハイブリッド環境、クラウド環境の信頼性を確保・加速化・保証します。Cloudflare for Infrastructureでは、Cloudflare Magic Transitが重要な位置を占めています。Magic Transitは、DDoS脅威とネットワーク層攻撃からネットワーキングインフラストラクチャを保護し、Cloudflare Web Application Firewall(WAF)と連携して、脆弱性の悪用を防御します。また、Cloudflareのグローバルネットワークを使って、最適なレイテンシーとスループットを実現するために正当なネットワークトラフィックを加速させます。Cloudflare Magic Transitの詳細をお読みください。

Cloudflare for Teamsは、ゼロトラストネットワークアクセスソリューションのCloudflare Accessと、マルウェアやフィッシングのような脅威から保護するDNSフィルタリングとネットワークセキュリティサービスCloudflare Gatewayの2つの方法で、企業データを保護します。Cloudflare Accessは、レガシーVPNの必要性をなくし、ユーザーの場所に関わらず、社内アプリケーションとデータへのセキュアでIDベースのアクセスを可能にします。Cloudflare Gatewayは、悪意のあるコンテンツをフィルタリング、ブロックした上で、侵害/危害を受けたデバイスを特定して、ユーザーデバイスで悪意のあるコードが作成されるのを防止するためのブラウザ分離テクノロジーを使用して、ユーザーと企業データを守ります。Cloudflare for Teamsの詳細をお読みください。