ネットワークの概念が変わる？！リモートワーク環境を刷新するSSE、SASEとは

近年、テレワークの普及やクラウドシフトにより私たちの働き方は急速に変化しています。これまでのオフィス中心の働き方から、場所や時間にとらわれない柔軟な働き方へとシフトする中で、従来のセキュリティ対策では対応しきれない課題が増えています。企業のセキュリティ対策も進化を求められるようになり、注目されているのが「ゼロトラスト」と「SASE（Secure Access Service Edge）」という二つのセキュリティアプローチです。ゼロトラストは、社内外のネットワークをすべて信用しないことを前提にすべてのアクセスを疑い、検証することで内部の脅威や不正アクセスを防ぎ、より強固なセキュリティを実現するという考え方です。そして SASE はこのゼロトラストの考え方を前提にしてネットワークとセキュリティを統合した新しいフレームワークです。今回はこの SASE およびその構成要素でもある SSE に注目し皆様にご案内します

なぜ SASE が注目されるのか。

さて、前述のとおり SASE は ゼロトラストの考え方をベースとしているため、双方を同じ意味として受け取りがちですが、両者は厳密には異なるものです。ゼロトラストは何も信頼しないという前提で従来の境界型セキュリティを再構築することを目的としますが、SASE はこのゼロトラストを前提としてクラウドベースのセキュリティサービスとネットワークサービスを組み合わせた環境構築を目的としています。言い換えるとゼロトラストという考え方を実行するための方法の一つが SASE ということになります。

下記は従来型システムの課題やリスクの例になりますが、この課題やリスクを解決し「ユーザーがどこにいても安全にアクセスできる環境」を確保することが今後の業務の安全を支える大切な要素となります。

従来型システムの課題やリスク
————————————————————————————
リモートワークの増加によるトラフィックの逼迫

これまでのリモートワークの多くは VPN 接続だったが、ユーザー数の急激な増加でトラフィックが逼迫しているため、快適なネットワーク環境とは言えなくなっていること、今後もユーザー数の増加が予想されている。

クラウドシフトで集中するアクセス

Zoom、MS365、Slack、Gmail、 SaaS など様々なクラウドサービスが普及し、データセンターへの通信やトラフィックが集中してしまい、レスポンスの低下につながっている。

セキュリティリスクの増加

業務がオンプレからクラウドへシフトし、ユーザーが場所を問わずアクセスするようになった。このため従来型のセキュリティでは対応しきれずランサムウェアやマルウェア、その他の脅威に晒されている。
————————————————————————————

SASEの構成要素

SASE がネットワークとセキュリティを統合したフレームワークというところまでは理解したものの、具体的にどのような仕組みで成り立っているのでしょうか。そもそもSASE は「SASEという製品」があるわけではありません。SASE の概念に基づきベンダー各社が製品サービスを提供しています。ベンダーによってその構成要素は異なりますが、下記のような基本的な要素が含まれています。

SD-WAN (Software Defined-Wide Area Network)
SD-WAN はネットワークをソフトウェアで制御するSDNを物理的なネットワーク機器で構築したWANに適用する技術で、拠点間を仮想ネットワークで接続する VPN と違い、複数のネットワークの集合体を構成して仮想的に一元管理することができます。

FWaaS（Firewall as a Service）
FWaaS は新しい規格のファイアウォールで、これまでのような物理的なアプライアンスではなく、クラウド上でURLフィルタリング、高度な脅威対策、侵入防止システム(IPS)、DNSセキュリティなどのアクセス制御を含む高度なファイアウォール機能を提供します。

SWG (Secure Web Gateway)
SWG は利用者が社外ネットワークへのアクセスを安全に行うためのクラウド型プロキシで、内部および外部のネットワークの境界上で中継する役割があります。プロキシに通信を中継させて外部からのアクセスが不正アクセスやウイルスではないかの確認が可能、内部ユーザーのインターネット閲覧時にトラフィックをチェックし、悪意の含まれるサイトやコンテンツへのアクセスをブロックします。

CASB (Cloud Access Security Broker)
クラウドサービスの利用を監視して適切なセキュリティ対策を行うことができるソリューションです。クラウドストレージのアクセスを可視化し、決められたセキュリティポリシーに適合しているかを監視、ファイルが正しい権限で利用されるように設定、不審なアクセスやマルウェアを検知するなどの機能があります。

ZTNA (Zero Trust Network Access)
ZTNA を利用したリモートアクセスはユーザーからのアクセス要求がある毎に ユーザー ID や利用している端末のセキュリティ状態の検証を行い、決められた条件に基づいてデータへのアクセスを動的に許可します。

SASE の セキュリティ機能を担う SSE

さて、SASE の構成について見てみましたが、SSE（セキュリティサービスエッジ）についてはご存知でしょうか。SASE の構成要素のうち、セキュリティ機能部分を担うのが SSE です。SSE は SASE に対しセキュリティサービスを提供していますが、ネットワーク接続の最適化や WAN のセキュリティには対応していません。先ほどの SASE 構成図に出てきた右側のセキュリティ部分が該当します。

SSE はセキュリティ機能に特化しているため、上記の FWaaS、SWG、CASB、ZTNA で決められたルールに従ってそのアクセスや利用を制御します。

SASE と SSE どちらを選択する？

ゼロトラスト対応を検討している企業の多くは従来の境界型セキュリティの脆弱性からの脱却を目指していることでしょう。そしてその中には当初から SASE へ収束させることを前提として計画している企業もあります。一方で導入コストや規模の問題から SSE 導入によるセキュリティ上の恩恵を享受しながらも必要に応じて後日 SD-WAN を統合するといったステップを踏むといった選択肢を選ぶ企業も存在します。

このあたりは企業のIT戦略的な問題なのでここでどちらが良いのかを断言することはできませんが、それぞれを導入した場合にどのようなメリットがあるのかを考察していきます。

『SASE を選ぶ』

SASE の導入は企業の IT環境にとって様々な恩恵がありますが、大別すると下記の 3つになります。

クラウドサービスへの快適なアクセス
クラウドサービスの利用だけでなく、リモートワークや WEB会議など業務遂行には多くのトラフィックが発生しますが、これまでのような接続方法ではトラフィックの輻輳が生じていました。SASE の導入で拠点や端末利用場所から直接インターネットに接続して通信を分散させられるので快適な接続ができるようになります。

運用負荷を軽減しコストも削減
SASE はそれぞれの機能に特化したサービスを導入したり運用機器を準備したりする必要がありません。このため、従来よりも運用にかかる人的・物的・金銭的な負荷を削減することができます。また、クラウド型サービスなのでスケールアップやスケールアウトも容易に行えます。

セキュリティ対策
これまでのように個別に管理するセキュリティ対策ではポリシーが複雑化し、個々の設定ミスが起こり得ましたが、SASE の導入で社内・社外の場所を問わず、同じセキュリティ対策が可能になります。

これらを踏まえ、SASE 導入は クラウドを中心とした業務基盤の整備が進んだ企業 や リモートアクセスとセキュリティの統合を重視する企業 に向いていると言えるでしょう。もちろん導入の際にはデメリットにも注意しなければなりません。SASE はクラウド型のサービスなのでネットワーク回線や SASE のシステムにトラブルが生じてしまうと業務に影響が生じてしまいます。メリットだけを強調するのではなく、こうしたトラブルが発生した際の対応を事前に確立しておくことも重要となっています。

『SSE を選ぶ』

SSE は境界型防御をオンプレからクラウドへ移行するソリューションです。SSE 導入を選択された場合はデータセンター集約型のセキュリティ境界をオンプレのファイアウォールからクラウドへ移すだけなので「境界型防御」という形に変わりはありません。しかし、CASB による社内既定のセキュリティポリシー適用でクラウドサービスや WEBのアクセスに関するリスクの軽減につながります。また、リモートアクセスについては ZTNA がサポートされるため、社外アクセスがサポートされ形式上のゼロトラストアクセスは実現できることになります。

既存のITインフラを大幅に刷新はできないものの、SSE 導入でセキュリティ上の恩恵を享受しながらも後日 SD-WAN 統合を目指していくかもしれない、リモートアクセスが増えてきたので対策だけはしておきたいといった企業に向いています。

ITインフラの次のステップに向けて

SASE や SSE の導入は、企業のセキュリティを次のレベルへと引き上げる重要なステップです。これにより、スタッフの生産性を向上させつつ、企業の情報資産を保護することが可能となります。三谷商事では皆様のビジネスが安全で効率的に進むことを全力でサポートします。これまでの豊富な経験と実績に基づきお客様の現状や課題を分析し、技術的なサポートなどをご提供します。