SASE(サシー)とは、「Secure Access Service Edge」で、複数のソリューションを1つのプラットフォームで提供するセキュリティ対策の概念です。近年ゼロトラストとともに注目されているため、どのようなものか気になる方は少なくないでしょう。
この記事では、SASEの基本情報に加え、メリットやデメリット、導入時のポイントなどを詳しく解説します。ゼロトラストとの違いや注目されている背景にも触れるため、ぜひ参考にしてください。
目次
SASEとは?
- SASEとゼロトラストの関係
SASEが注目される背景
- クラウドの普及
- 働き方改革の推進
- DX推進
SASEの仕組みと代表的なソリューション
- SD-WAN
- ZTNA
- FWaaS
- SWG
- CASB
SASEのメリット
- 負荷・コストを軽減できる
- ネットワーク遅延を改善できる
- セキュリティ対策を強化できる
- 一元的な管理を実現できる
SASEのデメリット・注意点
- 管理システムが複雑化しやすい
- ネットワーク障害への備えが必要となる
- 部署間の連携が求められる
SASEを導入する際のポイント
- ゴールを定めてロードマップを作成する
- 計画的に環境の移行を行う
- できるだけ単一ベンダーを選ぶ
まとめ
1.SASEとは?
SASEとは複数のネットワークソリューションとネットワークセキュリティソリューションを組み合わせ、クラウド上で包括的に提供する概念を意味します。SASEの正式名称は「Secure Access Service Edge」で、読み方は「サシー」です。
SASEはもともと2019年にアメリカの調査会社が発表したレポート内で、初めて提言されました。その後、さまざまな要因によって時代に即した働き方が変化したことをきっかけとしてSASEは、世界的に注目を集める概念になりつつあります。
1-1.SASEとゼロトラストの関係
SASE同様に比較的新しく、市場が注目する最新概念の1つに「ゼロトラスト」があります。ゼロトラストとは社内外を区別せずにすべての通信を危険なものとみなして、「適切な認証を受けた端末やユーザーのみのアクセスを許可すべき」と考える概念です。
ゼロトラストに基づくセキュリティ対策を実施するためには、ネットワークサービスとネットワークセキュリティサービスの両方からアプローチを行わなければなりません。SASEを活用すればゼロトラストに基づく形でセキュリティ対策を強化し、アクセスの安全性を高められます。
つまり、ゼロトラストとSASEの大きな違いは、概念のレベルです。ゼロトラストは、セキュリティ対策における基本姿勢や考え方を示すものにすぎません。SASEは時代に即した形でセキュリティ対策を強化するための概念を打ち出し、ソリューションとしてまとめたものです。
2.SASEが注目される背景
近年では時代の変化やサイバー攻撃手口の巧妙化により、ウイルスやマルウェア被害のリスクが高まっています。そのため、従来型の対策のみでは会社が保持するデータ資産のすベてを保護できない可能性が示唆されて、SASEへの注目度が高まりました。
以下では、SASEの注目度が高まった背景にある3つの事象をより詳しく解説します。
2-1.クラウドの普及
従来型の企業ネットワークはトラフィックをデータセンターに集約して、必要性が生じた際には分散する形式で運用されてきました。しかし、事業のデジタル化などを受けて過重な負担がかかりやすくなり、スピーディーな対応が要求されるようにもなったため、クラウドシフトが進みました。
クラウドシフトが進めば新しい体制においてもさまざまな脅威に対する十分な対策を行える、信頼性の高いソリューションが必要です。その選択肢として、SASEへの注目度が高まっています。
2-2.働き方改革の推進
働き方改革や新型コロナウイルス感染症の拡大防止対策が推進されて、リモートワークの普及が進んだことも、SASEへの注目度が高まった理由です。リモートワークが普及した結果、近年では、従業員がいつ・どこで働いても安全かつ快適に作業できる環境が求められるようになりました。
SASEによって、自宅や外出先からでも安全かつ快適に作業できる環境が整備されると、リモートワークをする従業員も安心して働くことが可能です。そして、セキュリティ面への不安から出社せざるを得ない状況を回避できれば、より従業員にとって望ましい形の労働環境を提供できます。
2-3.DX推進
会社におけるDXとは、データとデジタル技術を活用してビジネス環境の変化に対応し、製品やサービスの変革や組織の利益につなげることを意味します。会社がDXを推進する上では、モバイル端末から仕事を行える環境を整備したり、アナログで行ってきた業務をデジタル化したりすることが必要です。
DXを推進するためにはさまざまなオンラインサービスやソフトの導入も必要であるものの、体制の変化に応じて個別のセキュリティ対策を検討、実施することは困難です。実施するセキュリティ対策が増加するほど、管理の手間もかかります。そこで、複数のソリューションが包括的に提供されるSASEへの注目度が高まりました。
3.SASEの仕組みと代表的なソリューション
SASEは複数のネットワークソリューションやネットワークセキュリティソリューションを組み合わせ、1つのプラットフォームで提供する仕組みです。以下では、SASEに組み込まれることが多い代表的なソリューションの概要を紹介します。
3-1.SD-WAN
SD-WANとは既存の物理回線の上に仮想的なWANを構築して、ソフトウェアによる一元管理を実現するソリューションです。SD-WANを導入すると特徴が異なる複数の物理回線の使い分けにより、データセンターへ負荷が集中する状況を回避できます。また、SD-WANは遠隔操作で導入できる特徴を持つことから、複数拠点に出向き、複雑な現地作業を行う手間が発生しません。
3-2.ZTNA
ZTNAとはゼロトラストの概念に基づき、会社が保持するデータ資産などに対する安全なリモートアクセスを実現するソリューションです。ZTNAを導入すると特定のデータやアプリケーションに対するアクセスを通信ごとに認証する、きめ細かなセキュリティ対策を実現できます。ただし、ZTNA単体ではゼロトラストの概念に基づく完璧な対策は行えないため、SASEに組み込む形での活用を検討しましょう。
3-3.FWaaS
FWaaSはファイアウォール機能をサービスとして、クラウド上で提供するソリューションです。オンプレミスファイアウォールには、進化する脅威に応じた拡張が難しく、セキュリティ対策の抜け穴が生まれる可能性もあります。FWaaSはクラウド上で提供される特徴を持つため、脅威の進化に応じた拡張を比較的容易に行えます。
SASEにFWaaSを組み込むと、セキュリティポリシーをWANおよびインターネット接続に適用し、すべてのアプリケーションを保護することが可能です。言い換えると、SASEにFWaaSを組み込めば社内外の両方に対する安全性を強化し、ゼロトラストの概念に基づくセキュリティ対策を行えます。
3-4.SWG
SWGとは、アクセスの中継役を担う「プロキシ」をクラウドシフトし、既存のWANの負荷を軽減するソリューションです。SWGには通常、以下の機能が含まれます。
SWGの代表的な機能
- URLフィルタリング
- アンチウイルス
- IPアドレスの匿名化
SWGでは「内部から内部」「内部から外部」「外部から内部」「外部から外部」のうち、「内部から外部」「外部から外部」の通信でプロキシを経由させます。そのため、SWG単体では社内外すべてに関するセキュリティ対策を行えない点には注意しましょう。
3-5.CASB
CASBはSASE同様にアメリカの調査会社が提唱したセキュリティ対策を強化するための概念です。ただし、CASBはクラウドサービスに特化したネットワークソリューションにあたり、SASEに組み込まれる形で提供されます。
以下は、CASBに含まれる代表的な機能です。
CASBの主な機能
- クラウドサービス利用状況の可視化
- セキュリティポリシーの準拠監査
- データ持ち出しの制御
CASBでは複数のクラウドサービス間に単一のコントロールポイントを設置することで、利用状況の可視化や制御を実現します。セキュリティポリシー違反が検出された場合には従業員の行動を制御することで、会社のリスクの軽減が可能です。
4.SASEのメリット
SASEを提唱した調査会社は「2023年、世界のエンドユーザーによるSASEに対する支出総額は1兆円を超える」とも予想します。
出典:SDxCentral「SASE Tops Gartner’s I&O Trends for 2023」
国内では中小企業向けのSASEソリューションを提供するベンダーも登場しており、会社の規模を問わず、普及が進む可能性もあるでしょう。
以下では、今後より一層注目が高まることも予想されるSASEの代表的なメリットを紹介します。
4-1.負荷・コストを軽減できる
SASEを導入すると既存のセキュリティ対策を一元管理し、担当者の負担を大幅に軽減できます。担当者1人あたりの負担が軽減されればセキュリティ対策に必要な人員が減少し、人的コストの削減につなげることも可能です。
セキュリティの重要性が高まっている現在、最新ソリューションに関する十分な知見を持つ人材が不足しており、簡単に採用できません。SASEの導入によって必要な人員が減少すれば限られた人的リソースのまま、時代の変化に応じたセキュリティ対策の強化を図れます。
4-2.ネットワーク遅延を改善できる
従来型の企業ネットワークは働き方の多様化に応じた設計が採用されていないため、データセンターへの負荷が過重になった時、ネットワーク遅延を起こすリスクがありました。
SASEを導入するとデータセンターを経由せずにインターネットへアクセスできる環境を整備でき、過重な負担によって起こるネットワーク遅延の改善を図れます。ネットワーク遅延を改善できると従業員が作業しやすくなり、業務効率向上につなげることも可能です。
4-3.セキュリティ対策を強化できる
SASEにFWaaやSCASBを組み込めば会社の求めるレベルに応じて柔軟に、セキュリティ対策を強化できます。また、SASEはクラウド化でセキュリティソリューションを提供する特徴を持つため、自社でリスク管理方法を検討、製作する作業が不要です。さらに、導入後により強力なセキュリティ対策が必要になった場合はSASEを拡張することで、比較的容易に対応できます。
サイバー攻撃者の手口は日々巧妙化するため、将来まで見据えたセキュリティ対策を検討する際には、一定の柔軟性を持たせることが重要です。その点、拡張が比較的容易なSASEは、利便性が高いと言えます。
4-4.一元的な管理を実現できる
SASEで運用されるクラウドは、単一のクラウド上でセキュリティ対策が実施されるため、同一のセキュリティポリシーの適用が可能です。また、SASEの導入によって無数のセキュリティ対策を一元的に管理できれば、管理や運用が複雑化する状況を回避できます。
SASEを導入してセキュリティ対策を一元的に管理すると、既存のハードウェアやソフトウェアが不要になるケースもあるでしょう。すると、ハードウェアなどにかけていたコストを削減でき、より会社の利益につながる他のことへと予算を回せます。
5.SASEのデメリット・注意点
SASEは導入するメリットが多く、注目度も高まっているソリューションであるものの、すべての会社にとっての理想的な選択肢とは言えません。SASEの導入を検討している場合は以下のデメリットや注意点を考慮した上で、自社との相性を今一度検討しましょう。
5-1.管理システムが複雑化しやすい
SASEに必要なソリューションを組み込む際には、複数のベンダーが関わるケースも多くあります。ネットワークとネットワークセキュリティの両方に精通しているベンダーは現状、少ないことが理由です。SASEを導入するにあたって複数のベンダーと関われば管理システムが複雑化しやすく、運用中に不便を感じる可能性は否めません。
SASEの導入にあたって複数のベンダーと関わらざるを得ない場合は、組み込むソリューションを選択する段階で事前に、管理画面の操作性を確認しましょう。各ベンダーが提供するデモを実際に操作し、「使いやすい」と感じるソリューションを選択すると、導入後に後悔するリスクを軽減できます。
5-2.ネットワーク障害への備えが必要となる
SASEはクラウド上で提供されるため、ネットワーク障害が発生すると、業務全体に影響するリスクがあります。SASEを導入する際にはネットワーク障害のリスクを考慮し、できる限りの対策を検討しましょう。
自社で十分な対策を取ることが難しい場合には、信頼できるパートナーの支援を受ける方法が一案です。SASEの設計から導入までをパートナーと二人三脚で進めれば、対策不足による事故の発生リスクを軽減できます。
5-3.部署間の連携が求められる
会社によっては、部署ごとに異なるセキュリティ対策を採用しているケースもあります。SASEを導入する際には社内のセキュリティ対策を統合する必要があるため、関係する部署の意向も確認した上で、プロジェクトを進めましょう。
SASEの導入に関する話し合いにはネットワークインフラの担当者やセキュリティの担当者にも参加してもらい、意見交換を行うことがおすすめです。部署の代表者や担当者ごとに主張が食い違う場合は足並みがそろうまで話し合い、会社としての結論を出してください。
足並みがそろわないうちに無理矢理導入を進めても、会社にとって望ましい対策を行えません。SASEの導入は会社の将来にも関わる重要な事柄であるからこそ、すべての関係者が納得できる結論を出しましょう。
6.SASEを導入する際のポイント
SASEのメリット・デメリットを理解した上で導入を前向きに検討しているものの、ベンダーの選択基準や作業の進め方が分からず、悩む人もいるでしょう。以下ではSASEによって会社の課題の解決を図りたい人のために、導入する際のポイントを紹介します。
6-1.ゴールを定めてロードマップを作成する
SASEにはさまざまなソリューションを組み込むため、解決すべき課題や実現したい環境を明確化しないと、設計作業が進みません。SASEを導入する際には目指すゴールを明確に設定し、自社にとって必要なソリューションを見極めましょう。そして、明確化したゴールを達成するために望ましいロードマップを作成します。
ゴールを適切に設定するためには、会社のセキュリティ対策の現状と課題を把握する作業も必要です。セキュリティ対策の課題を漏れなく把握するためには、まず会社にあるデータ資産を洗い出し、「どの部署でどのように管理しているか」を調査しましょう。また、洗い出したデータ資産は対策強化の優先順位を検討し、SASE導入完了までのロードマップに反映させます。
6-2.計画的に環境の移行を行う
SASEの導入を決定してすぐに既存の環境をすべて廃止し、移行を断行する必要はありません。SASEへの移行は企業文化・確保できる人員と予算を考慮した上で無理のない予定を組み、計画的に進めることが推奨されます。既存のネットワークやセキュリティサービスの更新が近い場合には時期を合わせて、段階的に移行する方法も一案です。
SASEは拡張性が高いソリューションであることから、導入当初は特定のネットワークやセキュリティサービスのみを移行する最小限の構成も採用できます。移行のペースや対象を検討する際には関係者の意見も聞き、自社にとって最適な進め方を決めてください。
6-3.できるだけ単一ベンダーを選ぶ
SASEに組み込むソリューションのベンダーは極力、単一にすることが推奨されます。ベンダーを単一にするメリットは主に、以下2つです。
ベンダーを単一にする主なメリット
- 1つのセキュリティポリシーを社内全体に適用できる
- SASEの導入に必要な時間を短縮できる
そもそもSASEは、複数部署で別々に行われているセキュリティ対策を1つのプラットフォームに集約し、一元管理する目的で採用するソリューションです。SASEを効果的に活用して会社の利益につなげるためにも極力、単一のベンダーを選択しましょう。
まとめ
SASEは、SD-WANやFWaaSなどの複数のネットワークソリューションやネットワークセキュリティソリューションを、1つのプラットフォームで提供する仕組みです。コスト削減やネットワークの遅延改善・一元的な管理の実現などのメリットがある一方で、システムが複雑化したり、ネットワーク障害への備えが必要となったりするデメリットもあります。
SASEを導入する際は、社内の現状や課題を明確にした上でロードマップを作成し、計画的に移行しましょう。また、効率的な運用のために単一ベンダーを選ぶことが重要です。
関連リンク
オンデマンドウェビナー:SASEは何故「メニュー」であり、「レシピ」ではないのか
電子書籍:SASEセキュリティ完全ガイド