SASEとは？​​ゼロトラストセキュリティを実現する仕組みを解説

SASEとは

SASE（Secure Access Service Edge）とは、2019年に米ガートナー社によって提唱されたゼロトラストセキュリティの実現をサポートするためのフレームワークで、読み方は「サッシー／サシー」です。ネットワークとセキュリティ機能をクラウドベースで統合するセキュリティソリューションとして注目を集めています。​

​​SASEは単一の機能ではなく、複数のセキュリティ機能（CASB、SWG、ZTNAなど）とネットワーク機能（SD-WANなど）を統合している点が特徴です。従来、個別に導入されていたセキュリティ製品の機能を統合しクラウドに移行することで、ユーザーが各拠点や自宅、外出先など異なる場所からアクセスしても、安全な業務の遂行が可能になります。​

ゼロトラストとの違​​い​

​​ゼロトラストとSASEは、どちらもセキュリティに特化したモデルですが、それぞれの役割は異なります。​

​​ゼロトラストは「誰も信頼しない」という原則に基づき、ネットワーク内外すべてのアクセスを検証する考え方です。ネットワークセグメントや個々のデバイスごとに厳格な制御を適用するとともに、従業員​​には最小​​限のアクセス権限を与えることで社内外さまざまなリスクを排除することを目的としています。​

​​下図のように、クラウド利用やリモートワークの拡大により社内外の境界が曖昧になった現代では、従来の「社内は信頼でき、社外は信頼できない」という境界型セキュリティモデルでは攻撃を防ぎきることが困難になっています。そこで、ゼロトラストのように通信のすべてを疑って検証する考え方が求められています。​

​​一方、SASEはゼロトラストの考えを実現するためのフレームワークです。ネットワークとセキュリティをクラウドベースで統合し、統一されたセキュリティ基準を維持しながら運用する仕組みを提供します。​

​​例えば、ハイブリッドワークにより働く場所が分散している場合でも、SASEを導入することで安全な環境を構築できます。例えば下図のように、未認証のデバイスからのアクセスは拒否し、認証済みのユーザーには特定のクラウドサービスやサーバーなど、必要なリソースのみ接続するよう設定が可能です。​

​​つまり、ゼロトラストは「誰も信頼せず、必ず通信を検証する」というセキュリティの考え方であるのに対し、SASEはゼロトラストを実現し、運用しやすくするためのフレームワークだといえます。​

​​ゼロトラストについて詳しくは、以下の記事もご覧ください。​

SASEが必要とされる背​​景​

​​続いて、SASEが必要とされる背景を解説します。​

​​従来の境界型防御ではセキュリティレベルが不十分​

クラウドサービスの普及やハイブリッドワークの拡大により、「社内＝安全」という従来の境界型セキュリティは限界を迎えています。

WebやSaaS、IaaSの利用が拡大しトラフィックが増大する中、データセンターなど固定された場所にセキュリティ機能を集中させる構成では、十分な防御の維持・確保が困難になっています。また、拠点追加や端末増加に伴う設備投資も避けられず、スケーラビリティの側面においても課題が生じます。

こうした状況に対し、ネットワークとセキュリティをクラウド上で統合し、一貫した保護や柔軟な拡張を提供できるSASEが有効なアプローチとして注目されています。

複数のセキュリティ製品の利用による運用・管理の煩雑化

ゼロトラストを実現するには、EDRやUTM、ファイアウォールなど複数のセキュリティ製品を組み合わせて利用する必要があります。しかし、製品が増えるほど監視対象が分散し、情報システム部門の負荷が増大するのが課題です。

また、すべてのアクセスをオンプレミスのゲートウェイで検証する構成では回線がひっ迫し、遅延や利便性の低下を招きます。こうした背景から、複数機能をクラウドで一元的に管理できるSASEが求められています。

フルマネージド型SASEでネットワーク・セキュリティの課題を解決「Verona」の詳細はこちら

SASEの仕組みと主な構成要素

SASEは、ネットワーク機能とセキュリティ機能をクラウド上で統合し、場所やデバイスを問わず一貫した保護を提供する仕組みです。その中心となるのが、ZTNAやSD-WAN、CASB、SWG、FWaaSといった複数の機能です。

ここでは、SASEを構成する5つの要素についてそれぞれ解説します。

ZTNA

ZTNA（Zero Trust Network Access）とは、ユーザーやデバイスを個別に認証・検証したうえで、必要なリソースにのみアクセスを許可する仕組みです。「何も信頼しない、常に検証する」がZTNAの基本原則で、ゼロトラストセキュリティに基づいたネットワーク管理を実現します。ZTNAを利用するメリットは、以下の通りです。

• 不要なアクセスを排除し、情報漏えいリスクを軽減
• アプリケーション単位で細かなアクセス制御が可能
• ハイブリッドワーク環境に適した安全なリモート接続が実現

ZTNAについては、以下の記事で詳しく解説しています。合わせてぜひご覧ください。

SD-WAN

SD-WAN（Software Defined WAN）は、拠点間接続やクラウド接続などをソフトウェアで制御し、通信を最適な経路に振り分ける仕組みです。ソフトウェアによりネットワークを柔軟に一元管理でき、ネットワーク通信への負荷を軽減します。SD-WANを利用するメリットは、以下の通りです。

• SaaSやクラウドへの通信を最適化し、遅延を低減
• 障害発生時も予備の通信経路へ変更でき、事業継続性を確保
• 複雑なネットワーク構成の簡略化により、コストを削減

SD-WANについて詳しくは、以下の記事もぜひご覧ください。

CASB

CASB（Cloud Access Security Broker）は、複数のクラウドサービスの利用状況を可視化・制御し、一元管理できるセキュリティソリューションです。従業員が企業に無断でクラウドサービスを利用するシャドーITを発見し、アクセス制御を行えます。CASBを利用するメリットは、以下の通りです。

• 従業員によるクラウドサービスの利用状況の可視化
• 未許可のクラウドサービスへデータのアップロードを防止
• セキュリティポリシーに基づきクラウドサービスの利用を制御

SWG

SWG（Secure Web Gateway）は、ユーザーがインターネットへ安全に接続するために、マルウェアやフィッシングなどの脅威をブロックするクラウド型のセキュリティ機能です。Webアクセスをリアルタイムで検査し、安全な通信のみを許可することで、インターネット経由のリスクを低減します。SWGを利用するメリットは、以下の通りです。

• URLフィルタリング機能で、危険なWebサイトへのアクセスを自動で遮断
• マルウェアやフィッシングなどWeb経由での攻撃を防止
• SSL検査により暗号化されたトラフィックを分析し、脅威を検出

FWaaS

FWaaS（Firewall as a Service）は、従来オンプレミスに設置していたファイアウォール機能をクラウド上で提供するサービスです。FWaaSは単体で利用されるケースは少なく、SASEを実現するために他のセキュリティ機能と組み合わせて用いられます。FWaaSを利用するメリットは、以下の通りです。

• クラウドベースで利用でき、柔軟な拡張が可能
• セキュリティポリシーをクラウドで一元管理
• 他のセキュリティ機能と組み合わせてゼロトラストセキュリティを実現

SASEを導入するメリット

SASEの導入メリットとして、セキュリティ強化や担当者の管理負荷軽減、ネットワーク遅延の低減などが挙げられます。ここでは、3つのメリットについて詳しく解説します。

セキュリティ強化

SASEは、認証されたユーザーやデバイスのみが通信できる環境を構築する形でセキュリティ性を向上します。

クラウド利用が増加している現代のビジネス環境では、従業員が自宅や外出先から社内ネットワークにアクセスする機会が増えています。こうした状況では、アクセスを監視し安全な通信を確保することがこれまで以上に重要です。しかし、社内ネットワークを信頼する従来の境界型セキュリティでは、このような分散したアクセスに対し十分な対応が困難になっています。

そこで、SASEを導入しCASB機能を利用することで、企業の管理下にないシャドーITを検出したり、すべてのクラウド接続先に対し一元的なセキュリティを適用したりすることが可能です。

担当者の管理負荷軽減

SASEの導入により、従来は個別に管理していたネットワーク機能とセキュリティ機能をクラウド上で一元化します。これにより、担当者は複数の管理ツールやプロセスを統合的に扱えるようになり、運用負担を軽減できます。

また、クラウド環境とオンプレミス環境に共通のポリシーを適用できるため、統一されたセキュリティルールの管理が可能な点もメリットです。加えて、機能の一元管理により運用業務の効率化だけでなく、コスト削減にも寄与します。

ネットワーク遅延の低減

SASEはSD-WANの技術を取り入れることで、トラフィックの動的な最適化を実現します。クラウド利用の拡大によって増えたトラフィックを管理し、ネットワーク負荷を分散させることで、ネットワーク遅延を軽減することが可能です。

従来のセキュリティモデルでは、社外から社内へ安全にアクセスするためにVPNが用いられていました。しかし、2020年以降のコロナ禍ではVPNユーザーが急増し、いわゆる「VPN渋滞」の発生や、サービスの脆弱性を狙ったサイバー攻撃が課題になっていました。

一方SASEでは、VPN渋滞の一因にもなっている物理的なファイアウォールではなく、クラウド上でファイアウォール機能を実現するため、VPN渋滞を回避しながらセキュアな通信を行うことが可能です。クラウドを経由することで社外からのアクセスにも一元的なセキュリティを適用し、セキュアで快適な通信を実現できます。

フルマネージド型SASEでネットワーク・セキュリティの課題を解決「Verona」の詳細はこちら

SASE導入で懸念される2つのハードル

SASE導入に向けて、レガシーシステムとのバランスや環境構築のコスト負担は考慮すべき問題です。ここでは、多くの企業で懸念事項になり得る2つのハードルを紹介します。

レガシーシステムとのバランス

国内企業の多くは、閉域網やVPNといった長年使用しているレガシーシステムを維持しながら運用を行っています。そのため、クラウドベースのSASEへの完全移行が難しい場合もよく見られます。

特に、オンプレミスシステムとの統合を検討する際には、既存システムへの影響を最小限に抑えつつ、SASEのメリットを最大化する戦略が必要です。

SASEの導入を成功させるためには、段階的な移行計画の策定や、必要に応じてハイブリッド環境の構築を検討することも重要です。

環境構築にかかるコスト負担

SASEは、ネットワーク機能とセキュリティ機能を統合するため、導入時には高額な費用がかかる可能性があります。特に、ネットワークの再設計や既存インフラの改修が必要な場合、コストはさらに増大します。

そのため、予算に制約がある組織にとっては、導入へのハードルが高くなることが考えられます。SASEの導入を検討する際は、短期的な投資だけでなく、長期的な費用対効果を評価し、適切なプランを策定することが不可欠です。

ゼロトラストセキュリティの考え方を取り入れるための4つのアイデア

レガシーシステムとのバランスやコスト負担、専門知識の不足などさまざまなハードルが考えられる中、課題を解決するためにはさまざまなアイデアがあります。ここでは、ゼロトラストセキュリティの考え方を取り入れるための4つのアイデアを解説します。

クラウド型セキュリティを導入する

クラウドベースのセキュリティサービスを活用することで、オンプレミスの設備に依存せずにセキュリティ対策を強化できます。

クラウド型セキュリティの導入は、初期導入が簡単であり、企業の規模やニーズに応じたスケーラブルな環境を構築しやすいという利点があります。

特に、リモートワークの普及に伴い、安全で柔軟なセキュリティ対策が求められる中、クラウド型セキュリティは効果的な選択肢のひとつです。

マネージドネットワークを活用する

専門的な知識やリソースが不足している場合は、マネージドネットワークサービスを活用するのもよいでしょう。

現在の環境を踏まえたセキュリティ設定、権限設定などの初期構築、またその後の運用を外部のマネージドサービスに委託することで、SASE環境を迅速かつ効率的に整えることが可能です。

権限設定やセキュリティポリシーの適用など、専門知識が必要かつ複雑な作業を任せることで、管理負担を軽減しつつ安全で効率的なネットワーク環境を実現できます。

クラウドID管理サービスを利用する

クラウドID管理サービスを活用すると、ゼロトラストセキュリティの考え方に基づいたアクセス制御を容易に実現できます。ユーザー認証やアクセス制御を強化し、セキュリティリスクを低減することが可能です。

SASEとの併用により、分散した環境でも統一されたセキュリティ基準を適用し、柔軟な働き方をサポートする安全な環境を実現できます。

現行のネットワークを増強する

既存のネットワークを、段階的にSASEに移行する企業も多くみられます。第一段階として、現行のネットワーク機器やシステムの見直しを行い、将来の通信量の増加を見越して増強を行っておくことで、無理なく移行を進められます。

SASEはクラウドベースの仕組みであるため、インターネット回線の品質が性能に影響する可能性があります。移行前にネットワーク基盤を強化しておくことは、SASE導入後の安定した運用を実現する上でも大切です。

NURO Bizのフルマネージド型SASE「Verona」

「NURO Biz（ニューロ・ビズ）」は、高速インターネット接続サービス「NUROアクセス」を中心に、ネットワーク、クラウド、セキュリティなどをワンストップで提供する法人向けブランドです。高速インターネット回線からセキュリティ製品までをトータルで利用できる点が、「NURO Biz」の特長です。

NURO Bizではフルマネージド型SASE「Verona」を提供しています。これは、ネットワーク、セキュリティ機能を提供するVerona SASE、SASEゲートウェイのVerona Edge、クライアントソフトのVerona Client、およびそれらをコントロールするVerona Cloudから構成されるソリューションです。設定管理や日々の運用、障害対応までをエンジニアが代行するフルマネージドサポートで、専門スキルがなくてもSASEの運用が実現します。

以下のように、足回り回線からVeronaの導入、AWSとの接続など、ご要望に応じてネットワーク・セキュリティの課題解決を支援します。

その他、クラウドサービスを安全に利用するためのクラウド型ID管理・シングルサインオンサービス「OneLogin」の導入も可能です。詳しくは、以下のリンクや資料をぜひご覧ください。

SASEは、ゼロトラストの原則を取り入れながら、安全なアクセス制御と統合されたネットワーク管理を実現するクラウド型のモデルです。リモートワークやクラウド活用が進む現代において、拠点やデバイスなどが分散していても、一貫したセキュリティと柔軟なネットワーク管理を実現できる点が魅力です。

SASEをより効果的に運用するには、ネットワークからセキュリティ、クラウド基盤までを統合的に扱えるパートナーの存在が欠かせません。NURO Bizが提供するフルマネージド型SASE「Verona」 は、インターネット回線やセキュリティ、クラウドまでをワンストップで導入でき、専門スキルがなくてもゼロトラストに対応した安全なネットワーク環境を構築・運用できます。

企業のセキュリティ強化と運用の効率化を同時に進めたい場合、以下のリンクもぜひご覧ください。