近年、リモートワークやクラウドサービスの普及を受け、情報セキュリティに求められる形も変化しています。

こういった現状にあわせて、自社のセキュリティを見直し、SASEの導入を検討している方も多いのではないでしょうか。

そこで今回は、SASEの概要と注目されている背景や、主な構成要素、導入するメリットなどに付いて解説します。よりセキュアなネットワーク環境を構築するうえでの参考にしてください。

SASEとは

SASE（Secure Access Service Edge）とは、ネットワークとセキュリティの機能を、一つのクラウドサービスに統合した、新しいネットワークセキュリティの形です。

2019年に、アメリカのテクノロジーリサーチ企業Gartner（ガートナー）社によって提唱されました。

国内企業の多くは、ファイアウォール、アンチウイルスソフト、VPNなど、さまざまなサービスを併用し、拠点ごと、もしくはテレワークを行うユーザーごとにセキュリティ対策を実施しています。

SASEは、これらのサービスに含まれるセキュリティ機能をクラウド上に集約することで、安全な環境を、場所を選ばず利用することが可能です。

このほか、システムを管理する担当者の負担軽減や、セキュリティ機器の導入・保守におけるコストの削減、セキュリティレベルの向上といった恩恵を受けられるのも魅力です。

SASEとゼロトラストの違い

ゼロトラスト（Zero Trust）とは、「あらゆるアクセス、ユーザーを信用できない」という、セキュリティにおける考え方を指します。

従来のセキュリティは「境界型セキュリティ対策」が主流でした。

これは、組織内のネットワークは安全であることを前提としたうえで、外部からの脅威に対応するというものです。

しかし近年は、クラウドサービスやテレワークの普及といった環境の変化や、サイバー攻撃の巧妙化などにより、境界型セキュリティでは対応が追いつかなくなってきています。

そこで、境界だけでなく、内部・外部のセキュリティリスクすべてに対応しようとするゼロトラストの考え方が生まれました。

SASEは、ゼロトラストの考え方に基づいたセキュリティを構築するための仕組みです。

参考記事：ゼロトラストネットワークとは？従来のセキュリティとの違いやメリットを解説

SASEとCASBとの違い

SASEと似た意味を持つ言葉としてCASB（Cloud Access Security Broker）が挙げられます。

CASBとは、ユーザーによるクラウド利用状況の可視化と、アクセス許可や不審な通信の遮断といった制御機能などを、一元管理できるセキュリティサービスです。

後述する、「可視化/制御」「データセキュリティ」「コンプライアンス」「脅威防御」の4つの働きを持ち、クラウド環境の安全性を担保するために用いられます。

一方のSASEは、クラウド上でセキュリティとネットワークを一元管理するフレームワークのことを指し、CASBの機能を含むこともあります。

つまり、CASBはSASEの構成要素の一つであるといえるでしょう。

SASEは、CASBを含むさまざまな要素で構成されており、すべてのシステムに対して高いセキュリティレベルを実現します。

SASEが注目されている背景

SASEは、クラウドが普及した現代に見合ったアーキテクチャです。

これまで、多くの企業では、データセンターを中心とした社内ネットワーク経由の設計を採用してきました。クラウドサービスを利用する場合も、トラフィックをデータセンターに集約してから、必要な場所やデバイスに分散させる設計で運用しているケースが少なくありません。

つまり、社外からの不信なアクセスに対しては、プロキシやファイアウォールによるセキュリティ対策でネットワークを保護できる、という考えが一般的でした。

しかし、近年はテレワークの普及により、社外で仕事をするユーザーが多くなり、デバイスの種類も増加しています。さらにクラウドサービスの利用など、ネットワークの細分化も進み、今までのプロキシによる監視や、新たなトラフィックパターンを把握することは困難な状況になりました。

例えば、従来のVPNベースのセキュリティチェックでは、データセンター経由でクラウドを利用する際に、アプリなどにパフォーマンスの低下が見られます。このほか、セキュリティ機器運用の煩雑化や、管理コストの増大、ユーザー数増加の負荷による通信遅延など、管理者やユーザーに負担がかかるケースも珍しくありません。

こうした課題は、従来のアーキテクチャを使った無理なクラウド対応が原因になっている可能性があります。

そこで、クラウドサービスに対応したSASEは、セキュリティ対策はもちろん、管理負担の軽減やユーザーエクスペリエンスの向上などを実現する手段として注目されています。

SASEの主な構成要素

SASEは、クラウドサービスをどこからでも安全に利用できるフレームワークです。

しかし現状では、まだ、単一のサービスでSASEの仕組みを実現しているといえるものは少ないようです。

そのため、複数のセキュリティサービスやネットワーク機能を組み合わせてSASE環境を構築するのが一般的です。

ここでは、SASEを主に構成する以下の5つの要素について解説します。

• SD-WAN
• ZTNA
• CASB
• SWG
• FWaaS

SD-WAN

SD-WAN（Software-Defined WAN）とは、既存の物理的な回線の上に、ソフトウェアによる仮想的なWANを構築（定義）する技術です。

従来のWANでは、各拠点とセンター拠点を結び、それぞれが外部と通信する際にセンター拠点を経由する、センター拠点集約型が一般的でした。

しかし、この方式では、通信量が増大すると輻輳（ふくそう）や遅延が発生してしまう点が課題になっていました。

一方、SD-WANは、仮想化によって通信を可視化し、一元管理できるのが特徴です。そのため、ネットワーク運用にあたる担当者の負担を軽減したり、コストを削減できたりといったメリットがあります。

また、SD-WANは、各拠点から直接インターネットに接続できる「インターネットブレイクアウト」という機能も備えています。

これを利用することで、Web会議のように帯域不足が起きやすいクラウドサービスを使う際でも、センター拠点での停滞や遅延が発生せず、快適な利用が可能です。

ZTNA

ZTNA（Zero Trust Network Access）は、ゼロトラストの「社内・社外を問わず、全てのアクセスを信用しない」という考えに基づき、アプリやデータにアクセスがあるたびに認証を行います。

従来のセキュリティ機能では、ユーザーがアクセスするたびに認証を行うことはありません。そのため、リモートワークなどの際も、一度認証を受けていれば、社内ネットワークに対して自由なアクセスが可能でした。

一方、ZTNAを活用すれば、アクセスできるアプリケーションを限定するなどといった形で制限を設けられるため、セキュリティレベルが高まります。

CASB

先に挙げたように、CASB（Cloud Access Security Broker）は、従業員のクラウド利用状況の可視化と制御（クラウドへのアクセス許可・遮断）などを、一元的に管理できるセキュリティサービスです。

具体的には、以下4つの働きを持っています。

可視化 / 制御	クラウドサービスの利用状況を把握し、不正アクセスやデータの流出を防ぐ。シャドーIT対策にも有効
データセキュリティ	機密データの暗号化やアクセス制限を行い、不正利用を防止する
コンプライアンス	複数のサービスに同一のセキュリティポリシーを適用し、適正利用を監視する
脅威防御	マルウェアやユーザーの不審な行動を検知し、クラウド環境のセキュリティを強化する

SWG

SWG（Secure Web Gateway）は、エンドユーザーのインターネット接続を中継する、プロキシサーバーの役割を持ったクラウド型の機能です。SWGの利用により、Web通信の可視化や、アプリケーションの制御などが可能になります。

社内に設置しているプロキシサーバーとは違い、社内外のどこからインターネットに接続する場合でも、安全な接続環境を提供できるのが特徴です。具体的には、URLフィルタリングによって怪しいWebサイトへのアクセスを阻止するため、情報漏洩対策として有効です。

また、未知のマルウェアにも対応できるサンドボックス機能などで、マルウェア感染の防止にも効果を発揮します。

SWGのうち、クラウドに特化したものはCloud SWGと呼ばれ、自宅や外出先などからのインターネット利用の安全性を高めます。

FWaaS

FWaaS（Firewall as a Service）は、クラウド上でファイアウォール機能を提供します。

一元的にFWaaS経由で通信を行うことで、従来のファイアウォールと同じように、外部からの不正なアクセスを防ぐことが可能です。

リモートワークのように、社外で仕事をするユーザーのセキュリティも確保できる点は、機器タイプやソフトウェア型のファイアウォールにはない強みです。

また、ユーザー側でアップデートする必要がなく、ネットワーク構成の変更に対応しやすい点も、クラウド型ファイアウォールならではのメリットです。

近年では、IPS（侵入防止システム）、アプリケーション制御といった機能を備えた、次世代ファイアウォール（NGFW）も注目されています。

SASEを導入するメリット

企業がSASEを導入する主なメリットとしては、以下が挙げられます。

• セキュリティ対策やポリシーを統一できる
• システムの負荷を軽減できる
• セキュリティ管理の負担を抑えられる
• 運用・管理コスト削減につながる

それぞれ見ていきましょう。

セキュリティ対策やポリシーを統一できる

SASEは、ネットワークとセキュリティに関するさまざまな機能をまとめて活用するため、セキュリティ対策やポリシーの統一が可能です。

そのため、機能やシステムごとにポリシーを設定する手間や、ポリシーの変更に際するトラブルのリスクを削減できます。

また、あらゆる場所からどの端末でネットワークにアクセスしても、統一されたセキュリティ機能が使えるため、ユーザーごとのリスクに差がなくなります。

システムの負荷を軽減できる

SASEの構成要素のひとつであるSD-WANでは、管理する複数の回線を使用したハイブリッドWANを用いることで、システムの負荷が軽減できます。

ハイブリッドWANでは、より通信品質の良い回線を選んでネットワークを切り替えるといった設定が可能です。

また、トラフィックを可視化することができ、その傾向やデータ量の増減などを分析し、回線の速さを改善する計画にも役立ちます。

こうした機能により、テレワークやクラウドサービスの利用が拡大したとしても、快適にネットワークを利用できます。

セキュリティ管理の負担を抑えられる

ネットワークやセキュリティに関わるサービスは多岐にわたるため、それら一つひとつを別々に管理すると、担当者の負担が増大しがちです。

特に、少ないリソースで対応している企業の場合、管理が追いつかないことも少なくないでしょう。

SASEでは、ネットワークとセキュリティに関わる機能をまとめて提供するため、ネットワーク構成をシンプルにし、管理の一元化が可能になります。

そのため、担当者にかかる負荷を軽減でき、生産性の向上やコスト削減が期待できます。

運用・管理コスト削減につながる

セキュリティ対策ソリューションを個々のリスクごとに導入していると、それぞれに費用が発生し、総額が大きくなりがちです。

SASEを活用し、これらをひとつにまとめればコストの削減を図れます。

このほか、複数のハードウェアを所有しなくて良いため、オフィスの物理的スペース削減や、省エネルギーにもつながるでしょう。

また、前述のとおり担当者の業務量を減らせるため、人件費の削減にも効果的です。

SASEを導入する際の注意点

先述の通り、「単一のサービスとしてSASEの仕組みを実現している」といえるものは、現状ではあまり多くはありません。

そのため、複数のサービスを利用し、ユーザー側の努力によって理想のアーキテクチャに近づける必要があります。

ただし、導入計画を丁寧に立てて検証しなければ、かえって運用にかかる負荷とコストが上がる可能性があります。

ここで重要になるのが、守るべきデータに優先順位をつけて把握することと、そのうえで自社にとって必要なセキュリティ機能を把握することです。

さらに、一斉にシステムを切り替えるのは現実的ではないので、段階的な移行計画の策定や、実施タイミングの見極めも大切です。

実のところ、これらはSASEが登場する以前から必要とされていた考え方であり、移行における基本的な段取りです。

そのため、以前からこうしたリスクの把握、システム導入の計画、検証を丁寧に重ねてきた企業にとっては、必ずしも難しいことではないでしょう。

問題は、こうした事柄に対してこれまで深掘りしてこなかった企業です。SASEモデルへの移行は、今までの慣習を改善するタイミングが来ていることも意味しています。

（まとめ）SASEを導入して効率的かつ合理的なセキュリティ対策を

近年、リモートワークの普及や、サイバー攻撃の巧妙化によって、従来のセキュリティ対策では脅威に対応しきれなくなっています。

このような背景から、新しいネットワークセキュリティの形として「SASE」への注目が高まっています。

FLESPEEQ Web Accessは、クライアントソフト、ルータ、コントローラーをまとめてご提供するネットワーク接続サービスです。

クラウドでネットワークセキュリティを一元管理するため、社内からのアクセスも、リモートワーク等の社外からのアクセスも、安全な通信を実現します。

本記事でも紹介したCASB、SWG、FWaaSといったセキュリティ機能を包括してご提供しますので、強固なセキュリティを実現するほか、一元管理による運用コストの削減も可能です。
このほか、導入から運用、障害対応まで専門チームがサポートするため、情シス担当のいない企業様でも安心してご利用いただけます。

まずは30日間の無料トライアルで、手厚いサポート体制を体験してください。

日本通信ネットワークは、企業ごとに、企画立案から構築・運用までワンストップで、ICTソリューションサービスを提供しています。
IT担当者様が、ビジネス拡大や生産性向上のための時間を確保できるよう、全面的に支援します。
お問い合わせ・ご相談・お見積りは無料ですので、お気軽にお問い合わせください。