「セキュリティの未来は雲の中に」SASEはDXの切り札か(前編)
企業にとって、クラウドサービスはもはやなくてはならない存在。特にコロナ禍における新しい生活様式の一つとして企業に求められているテレワークの実施の為には必要不可欠と言えるでしょう。
新型コロナウイルス感染症(COVID-19)拡大の影響で、在宅勤務(テレワーク)は一気に浸透しました。
テレワークにより、企業リソースにアクセスするデバイスやアクセスポイントが急増したことから、セキュリティ問題にはさらに注目が集まっています。
本記事では、クラウド時代の新しいネットワークセキュリティの概念として、2019年に提唱された「SASE(Secure Access Service Edge)」について紹介します。
で、SASE(サーシー)って?
「SASE(サシー:Secure Access Service Edge)」は、WANを組み合わせ、包括的なネットワークセキュリティ機能を提供するという新しい概念です。
このSASEとはどのようなネットワークセキュリティモデルなのでしょうか? まずSASEの概要を簡単に紹介します。
(参考:使える! 情シス三段用語辞典「SASE(Secure Access Service Edge)」)
SASEが生まれた背景
デジタル技術を活用したビジネスや業務の変革である、「デジタルトランスフォーメーション(DX)」に着手しているという企業も多いと思います。
ネットワークセキュリティモデル「SASE」を提唱したGartner(ガートナー社)が公開した、「The Future of Network Security Is in the Cloud」の中でも、DXについて言及しています。
Gartnerの発表の中で興味深いのが、DXを実現した企業のことを「デジタル企業(digital enterprises)」と呼んでいることです。
そのような「デジタル企業」には次のような特徴があるとしています。
- 従業員の作業は、社内ネットワークよりも社外ネットワーク上で実行するものが多い
- 企業のデータセンターで実行するワークロードよりも、IaaSで実行するものが多い
- 社内インフラ上よりも、SaaSを介して利用されるアプリケーションの方が多い
- 社内に保管されている機密データよりも、クラウドサービス上に保管される機密データの方が多い
- 企業のデータセンターよりもクラウドサービスに向かうトラフィックの方が多い
Gartnerは、もはや企業のデータセンター上で構成したネットワークセキュリティモデルでは、デジタル企業が求める動的なアクセス要求に対応できないとし、新たなネットワークセキュリティモデルとして提唱したのが「SASE」なのです。
SASEを理解する鍵はクラウドとアイデンティティ
“The future of network security is in the cloud.(ネットワークセキュリティの未来はクラウドの中に)”。
これがSASEの根幹にある概念です。ネットワークとセキュリティの機能を1つにまとめて、クラウドから提供しようというのがSASEの基本コンセプトになります。
また、SASEでは、アクセス可否を決定するのはデータセンターではなく、ユーザー・デバイス・場所といった通信元のIDに基づいてのみ、可否を決定するべきだとしています。
では一体、SASEはどのように構成されるのでしょうか。
SASEの仕組み
SASEの仕組みを知る上でキーワードとなるのが「Edge(エッジ)」の考え方です。
SASE(Secure Access Service Edge)の「Edge」とは、ネットワークへのアクセスを担うエンドポイントを示しています。
例えば、クラウドサービスやセキュリティサービス事業者のネットワーク接続拠点(POP)に設置するデバイスや、企業の各拠点の出入り口付近に設置するデバイスが該当します。そして、ネットワーク機能とネットワークセキュリティ機能をクラウド上で統合し、必要な機能をエッジに対して提供します。
ここでは概念を表しており少しわかりにくいかも知れませんが、実際、ソリューションを導入するにしても、この概念が頭に入っていれば、ソリューション毎の特徴が分かるようになるでしょう。
なぜ今、SASEが求められるのか
Gartnerによれば、SASEは企業に以下のようなメリットをもたらすとしています。
- コスト削減と複雑化の回避
1社のみからネットワークセキュリティ機能が供給されることで、他のベンダーの製品・社内の機器の数・ユーザーのデバイスにインストールするプログラムの数を減らすことができます。ベンダーやセキュリティ製品・機器などが統合されることになり、コストも削減します。 - 新しいデジタルビジネスを生み出せる
SASEにより、企業では、新しいアプリ・サービス・APIの創出、パートナー企業への安全なアクセスなどが実現します。しかも、従来のリスクの高いVPNやDMZによるセキュリティ構成を用いる必要がありません。 - パフォーマンスとレイテンシーの改善
企業の拠点が世界のどこにあっても、SASEベンダーが、低レイテンシーでのルーティングを提供します。
反応時間の問題は、コミュニケーション・動画・VoIP・Web会議など、遅延の影響を受けやすいアプリにとっては非常に重要です。
SASEベンダーは、自社の高帯域幅バックボーンを介して、ポリシーに基づき、ユーザーをルーティングしていきます。 - 利便性と透明性の向上
ユーザーのデバイス上のソフトウェアが1つに統合されます。よって、ソフトウェアの数が減り、ユーザーが操作することなく、自動的にアクセスポリシーが適用されるようになります。
ユーザーは、どこにいるか・何にアクセスしているか・アクセス先がどこかに関係なく、常に安定したアクセスが可能になります。 - セキュリティの向上
SASEベンダーは、個人情報やマルウェアの識別をサポートして、あらゆるアクセスの検査を可能にし、また、すべてのアクセスに対し同一のポリシーセットを適用できます。
例えば、Salesforce・Facebook・クラウド上のアプリ内の機密データをスキャンする際に、ユーザーやデバイスの場所を問わず、すべてのアプリで一貫したポリシーを使用できます。 - 運用コストの低減
これまでは脅威が進化し、新しい対策方法が必要になるたび、各企業にはハードウェア容量の増加や数年ごとのハードウェア購入が強いられていました。
クラウドをベースとするSASEによる構成であれば、新しい脅威が出現してポリシーを更新するときもハードウェアやソフトウェアの新規購入が不要な上、対策の適用も迅速化します。 - セキュリティ担当者の負担軽減
ネットワークセキュリティ担当者は、インフラの整備というルーチン業務の代わりに、事業を理解し、アプリケーションのアクセス要件を整理することに集中できます。
また、当然ではありますが、SASEには、メリットだけでなくリスクも存在します。
ネットワークとセキュリティの機能を1つにまとめて、クラウドから提供しようとするSASEの概念を実現しようとすると、既存の小規模セキュリティベンダーやネットワーク・ファイアウォールベンダーは、淘汰される可能性があるとGartnerは述べています。
フェールセーフなしくみ、コストなどの問題もあります。
このように超大なSASEの概念はどうすれば実現するのでしょうか。
「セキュリティの未来は雲の中に~SASEはDXの切り札か~」後編では、SASEと他の概念の違いや、SASEの構築について紹介します。
【執筆:編集Gp コンドウマリ】
関連記事
