ページの本文へ

Hitachi

トータルセキュリティソリューション

クラウドセキュリティで新たな存在感を見せる「SASE」とは?|日立ソリューションズが提供する5分でわかるセキュリティコラムです。

クラウドセキュリティで新たな存在感を見せる「SASE」とは?

クラウドセキュリティで新たな存在感を見せる「SASE」とは?

働き方改革や新型コロナウイルス感染症の影響によって、テレワークの需要が高まっています。テレワークでクラウド活用するうえで考慮しなくてはいけないのが、ネットワークのパフォーマンスやセキュリティです。そこで注目されているのがSASE(Secure Access Service Edge)という、クラウドサービス利用を前提とした新しいネットワークセキュリティモデルです。今回は、2019年にガートナーが提唱したSASEについて解説します。

SASE(Secure Access Service Edge)とは?

以前から奨励されてきた働き方改革や、新型コロナウイルス感染症対応のために急増したテレワークによって、社内システムに対する外部からの接続が急増し、従来型のネットワークを見直す必要性が生まれています。

従来型のネットワークである「境界防御モデル」は、トラフィックをデータセンターに集約し、「社内、あるいはデータセンターの内側を守る」ことによって、情報管理やセキュリティを担保してきました。この境界防御モデルは、テレワークで社外から接続する際も、外部からVPNなどを通してデータセンターを経由させることで、セキュリティ問題に対処してきました。

ところが、テレワークやクラウドサービスが浸透した結果、従来型のネットワークモデルに限界が見えてきたのです。

まずは帯域の逼迫です。近年、クラウドサービスの普及によって、社内から外部のクラウドサービスへのトラフィックは増加傾向にあります。これによりネットワーク回線の帯域だけでなく、ゲートウェイやファイアウォール、プロキシサーバーなどのネットワーク機器にも負担が掛かっていました。このような状況に加え、在宅勤務時にクラウドサービスを利用する場合、従業員の自宅からもデータセンター経由で外部のクラウドサービスを利用するため、負担がさらに高まり、パフォーマンスへの影響も大きくなってしまいます。

例えば、VPN接続の上限数は大きな課題です。全社員がテレワークを行うことを想定していなかった環境では、テレワークの利用者が企業で用意しているVPN接続数を超えると、「VPNが空くまで業務システムにアクセスできない」という状況になり、日常業務に支障が生じてしまいます。

また、セキュリティ面での対策も変えなければいけません。従来は重要なデータを社内のデータセンターで管理していたため、内側に対して自社独自のセキュリティポリシーに合わせた対策を施すことができました。しかし今では、重要なデータをクラウド上に保存する企業も増えています。とはいえ、クラウド事業者によって異なるセキュリティポリシーを統一して適用することは困難です。

これらのネットワークやセキュリティにおける課題解決に向けて、注目されてきたのがSASEという新しいネットワークのセキュリティモデルです。簡単にいえば、ネットワークとセキュリティをクラウド上で一元的に管理運用する仕組みといえます。

セキュリティと運用効率を同時に高めるSASE

従来の境界防御モデルは、すべてのトラフィックがデータセンターを経由してクラウドサービスにアクセスしていました。しかしSASEは、クラウド上にネットワークとセキュリティを管理するための機能を用意します。

そのため、社内拠点からのアクセスも自宅からのテレワークによるアクセスも、すべてSASEを経由して、データセンター内の業務システムや各種クラウドサービスへアクセスするという流れに変わります。

これによって、従来型の境界防御モデルが抱えていた課題を解決し、クラウドサービスの利用を前提とした新しいネットワークとセキュリティへと移行することが可能となります。SASEは、以前本コラムで紹介した、内部/外部という境界を設けずセキュリティを担保する「ゼロトラストモデル」にも通じる考えといえます。

SASEにはさまざまな機能がありますが、主な役割は「ネットワークのパフォーマンス向上」「セキュリティ強化」「運用効率化」です。従来型のネットワークでは、すべてのトラフィックがデータセンターを経由することによって帯域逼迫を招いていました。つまりデータセンターがボトルネックになっていたわけです。

一方SASEでは、インターネットブレイクアウト(ローカルブレイクアウトとも呼ぶ)という、用途に応じて接続先を選定する機能が利用できます。そのため、データセンターを経由せず直接インターネットにアクセスできるようになり、快適なクラウド利用が可能となります。またクラウドで提供されるSASEは、トラフィック量の変化に応じて拡張しやすいため、ネットワーク遅延を低減できます。

セキュリティ面では、複数のクラウドサービスに対して、統一したセキュリティポリシーに基づいた包括的な管理ができます。運用においても、外部のクラウドサービスも自社データセンター内の業務システムも同じように一元的に運用管理が可能となり、負荷軽減、管理コスト低減にもつながります。

将来性においても、SASEへの移行はメリットがあります。DX(デジタルトランスフォーメーション)推進、働き方改革促進によって、今後もクラウドサービスの需要が増加していくと考えられます。その点、クラウドを前提としているSASEは、DXの実現だけでなく、場所と時間の制約を受けない柔軟な働き方の実現にも役立つでしょう。

SASEを実現するための構成要素(ソリューション)

現時点では、SASEのすべての機能を網羅する単一のソリューションは存在しないため、複数のソリューションを組み合わせることで構築します。SASEを構築するための主なソリューションを紹介します。

■SWG(Secure Web Gateway)
アンチウィルスやサンドボックスなどによるマルェア防御、WebフィルタリングなどによるWebアクセス制御、アプリケーション制御による情報漏洩対策などのセキュリティ機能をクラウドサービスとして提供するものです。SWGを経由してアクセスすることで、自宅や出先などからのネット利用する際に、マルウェア感染や不正サイト閲覧などのリスクを低減します。

■SD-WAN(Software Defined Wide Area Network)
本社や支社といった複数の拠点を「閉じたネットワーク」として構築するのがWANであり、それをソフトウェア定義により構築したものがSD-WANです。複数の拠点を結ぶWANを一元的に管理し効率化をはかるほか、インターネットブレイクアウトを実現し、パフォーマンスの向上やネットワーク機器の負荷を軽減します。

■CASB(Cloud Access Security Broker)
複数のクラウドサービスのセキュリティポリシーを一元管理するのがCASBであり、SASEの中心的な機能を提供します。クラウドサービス利用状況の可視化や制御、コンプライアンス、データセキュリティ、脅威防御などの機能によって、従業員が勝手にデバイスを接続したり未許可のクラウドサービスを利用する「シャドーIT」を防ぎます。

ほかにもCAN(コンテンツ配信ネットワーク)、DLP(Data Loss Prevention)、FWaaS(Firewall-as-a-Service)など、さまざまなソリューションがSASEでは利用されます。自社のネットワーク、セキュリティにとって必要なソリューションを選択して構築することになるでしょう。

まとめ

働き方改革やコロナウイルスなどの影響でクラウドの活用が急速に進む中、新しい生活様式に対応したワークスタイル、クラウドを前提としたICTシステムと、それらに対応した次世代型のセキュリティが求められています。SASEは、それを実現するための新しいネットワークとセキュリティのモデルとして注目する必要があるといえます。

この記事に関連するおすすめ製品

クラウドシフト時代の新しいセキュリティ。DXと働き方改革を支える。

資料請求・お問い合わせ

コラム一覧に戻る

ページの先頭へ