「セキュリティの未来は雲の中に」SASEはDXの切り札か(後編)
クラウド時代の新しいネットワークセキュリティの概念として、注目を浴びつつあるのは、Gartner(ガートナー社)が提唱した「SASE(Secure Access Service Edge)」です。
「セキュリティの未来は雲の中に~SASEはDXの切り札か~(前編)」では、SASEが生まれた背景やSASEが求められる理由について紹介しました。
今回、後編ではSASEと他の概念はどのように異なるのか、また、SASEはどのように構築すべきかを説明します。
SASEと他の概念はどう違う?
過去にも現在でも、ITセキュリティに関しては様々な概念が提唱されてきました。では、「SASE(Secure Access Service Edge)」と他のセキュリティと何がどのように違うのでしょうか。
SASEとCASBの違い
Gartner社は過去に、「Cloud Access Security Broker(キャスビー:CASB)」という考え方も提唱しています。2012年のことです。
CASBの目的は、クラウドのセキュリティの強化にあり、具体的には次の4機能を提供します。
- クラウド利用の可視化・制御機能
- データの持ち出しをチェック・ブロックするデータセキュリティ機能
- セキュリティポリシーの準拠を監査するコンプライアンス機能
- 脅威を検出して防御する脅威防御機能
CASBの機能はすでに製品化されており、現在では後述する「McAfee」のように、SASE関連ソリューションの一部として組み込んでいるベンダーもあります。
SASEとゼロトラストの違い
アメリカの調査会社「Forrester Research」のジョン・キンダーバーグ(John Kindervag)氏が2010年に提唱した、「ゼロトラスト(Zero Trust)」という概念があります。
社内ネットワークと外部ネットワークとの間に”境界”を設け、守るべき情報やデバイスはすべて境界内に存在しているという前提に基づく境界防御モデルに対し、そもそも境界という概念がなく、企業リソースにアクセスしようとするものはすべて疑わしきものとして検証するのが、ゼロトラストモデルです。
SASEは、すべてのアクセスを疑い検証するという、ゼロトラストの考え方に基づいたフレームワークなのです。
SASEとCARTA
Gartnerは2019年に、「CARTA(Continuous Adaptive Risk and Trust Assessment)」というアプローチも提唱しています。
CARTAとは、エンドポイント向けセキュリティ手法で、まだ信頼関係を構築していない相手と「リーン・トラスト(無駄のないトラスト環境)」を確立することを目的としています。
SASEの中でも、「各セッションで過度なリスクや異常が発生していないかを継続的に監視するために、CARTAのアプローチに従うべき」とCARTAの重要性に言及しています。
【画像出典:ガートナー】
SASEはどう構築する?
これまでトラフィックの検査をするときは、検査エンジンが埋め込まれた企業内のデータセンターに強制的にトラフィックを集め、集中的に検査をしていました。
SASEでは、検査対象から近い場所に、検査エンジン・アルゴリズムを設置します。
また、アクセス可否の決定も、データセンターによる判断ではなく、各ユーザー・デバイス・アプリケーションの持つ、次のようなID情報に基づいて行います。
- ID/認証情報
- リスク/信用評価
- 役割
- ロケーションと時間
- デバイスのプロファイル
例えば、上図のように営業の田中さんが、出張先の空港のWi-Fiを使って、自分のスマートフォンからSalesforceにアクセスしたいとします。このとき、田中さん本人とスマートフォンおよびアプリケーションのID情報に基づき、SASEは、帯域制御・経路最適化・SaaSアクセラレーションの各ネットワーク関連機能と、脅威保護/検知・DNS/Wi-Fi保護・UEBA/詐欺防止・SWG・センシティブデータ可視化の各セキュリティ関連機能を提供します。
この各種ネットワーク関連機能およびセキュリティ関連機能を提供するのが、SASEプロバイダーであり、Gartnerが公開した、「The Future of Network Security Is in the Cloud」の中では、次の14社が紹介されています。
- Akamai
- Cato Networks
- Cisco
- Cloudflare
- Forcepoint
- Fortinet
- McAfee
- Netskope
- Palo Alto Networks
- Proofpoint
- Symantec
- Versa
- VMware
- Zscaler
Gartner社は、SASEの概念は1社のプロバイダーだけで実現できるものではなく、これら14社はSASEを実現してくれると期待する企業として紹介しています。
SASE具現化の状況を知るためには、今後もこれら14社の動きに注目すべきです。また、他にも新たにSASEプロバイダーとして参画する企業が現れる可能性もあります。
しかしながら、逆に言ってしまうとまだまだ「これを導入しておけば良い」という状況ではないコトも確かです。
SASEプロバイダーの動向(例:McAfee)
Gartner社がSASEプロバイダーとして挙げている14社のうちの1社、「McAfee」においては、SASEの導入を実現するために次のようなソリューションを提供しているので、参考として紹介します。
McAfeeのSASE関連ソリューションの中核を担うのが、「MVISION Unified Cloud Edge」です。「Unified Cloud Edge」は、デバイスからクラウドに送信されるデータを保護して、企業ネットワークからは見えないWebからの脅威およびクラウドに起因する脅威を阻止します。
引用:McAfee Unified Cloud Edge
具体的には、「Unified Cloud Edge」は次の3機能を集約したソリューションで、各企業でSASEのアーキテクチャを採用しやすいように支援する製品となっています。
- Cloud Access Security Broker (CASB)
SaaS・PaaS・IaaS環境のデータと脅威を可視化してコントロール。 - Secure Web Gateway (SWG)
プロキシベースの可視化とコントロールを実現する、Webトラフィックと未承認クラウドサービス用の機能。 - 情報漏洩防止 (DLP)
デバイス上・クラウド内・クラウドに送信される重要データを保護。
Gartnerは、ネットワークとセキュリティの機能を1つにまとめて、クラウドから提供しようとするSASEの壮大な概念は、企業1社では実現せず、長大な時間を要するとしています。
また、既存の小規模セキュリティベンダーやネットワーク・ファイアウォールベンダーは、淘汰される可能性があることも示唆しています。
SASEがDXの切り札となり、ネットワークセキュリティ界も大改造されていくのでしょうか。今後も、動向に注目していく必要があります。
【執筆:編集Gp コンドウマリ】
関連記事
