SASEとは? ゼロトラストネットワークアクセス(ZTNA)とどう違い、どのような機能があるのか
index
2022/07/07
新型コロナのパンデミック以前から、ビジネスのクラウドへの移行は進んでいました。それがここ数年でさらに加速しつつあります。一方で、ワークプレイスが多様化し社内と社外の境界線が曖昧になることで、そこを狙ったサイバー攻撃も増加しています。今回は、コロナ禍でセキュリティ対策としてさらに注目が集まるSASEとゼロトラストネットワークアクセス(ZTNA)について解説します。
SASEとは
SASE(Secure Access Service Edge)は2019年にGartner社が提唱した、クラウドを前提としたネットワークセキュリティモデルです。ネットワーク制御とセキュリティを統合している点が特徴で、SASEの導入によって従来まで別々に提供されていたネットワーク制御と、ネットワークセキュリティを一元的に管理できるようになりました。
クラウドが浸透する前までのビジネス環境は、社内ネットワークの中で業務が完結することが主流で、リモートアクセスでVPNを活用する事自体はありましたが、一部の部署・業務のみで使うなどその活用範囲は限定的でした。
しかし近年、新型コロナウイルス感染症の拡大によってリモートワークが急速に普及し、働く環境は多様化しました。従業員が自宅やコワーキングスペースからVPNで社内システムに接続し、クラウドで提供されるサービスを使って業務を遂行することも一般的になりました。
ワークプレイスやデータ資産の所在が多様化した結果として、システム部門が統一したセキュリティポリシーを適用し管理することが難しくなっているのです。
SASEはネットワークサービスとセキュリティサービスを統合することにより、従業員の利便性を損なうことなく、セキュリティを担保し、システム担当者の負担軽減を実現します。
ゼロトラストネットワークアクセス(ZTNA)とは? SASEとの関係性
ゼロトラストネットワークアクセス(ZTNA)はゼロトラストの原則に基づき、アプリケーションレベルでユーザーのアクセスをコントロールするソリューションや機能です。
ゼロトラストとは社内、社外を問わず「いかなる通信も信頼しない」という考え方で、境界があいまいになりつつある近年、関心が高まっている概念です。
ZTNAは通信がある度に、ユーザーを評価しアプリケーションレベルでアクセスを制御するため、リモート環境をはじめ境界の内外問わず、安全かつ快適に業務を行うことができます。
ZTNAはSASEを構成する要素の一つです。SASEではZTNAに加え、後述するCASB、SWGといったセキュリティソリューションや、SD-WAN、CDNといったネットワークソリューションで構成されます。
SASEが必要とされる背景
現代においてSASEが重要となる背景について、改めて解説します。
1. 加速するクラウドシフト
新型コロナウイルスのパンデミックはリモートワークとクラウド・シフトをさらに加速させました。その影響もあり、OfficeMicrosoft365やBoxなど、業務にクラウドを導入する企業は増え続けています。働く場所を選ばないクラウドは、今のビジネスパーソンの働き方にマッチしているのです。
一方で、急激なリモートワークとクラウド利用の増加によって、従業員がリモートアクセスした際にネットワーク遅延が生じるなどのトラブルも頻発するようになりました。
2. 従来の境界型セキュリティモデルの限界
これまでのセキュリティは「境界型」と呼ばれ、社内と社外に明確な境界を設けることで機能していました。しかし、リモートワークが急速に浸透したように、ここ数年で社内と社外の境界は「あいまい」になりつつあります。
あらゆる場所で円滑かつ安全に業務を行うための環境整備が必要になってきているなか、VPNをはじめとした従来までの境界型セキュリティモデルでは対応しきれなくなってきているのです。
3. システム管理者の業務負荷の増大
オンプレミスやプライベートクラウド、パブリッククラウドなど、企業における情報資産の置き場所は多様化しています。その様相は企業によってはカオスとさえいえる状態でしょう。
従業員はあらゆる場所から、あらゆる端末で情報資産にアクセスするようになりました。システム管理者は、サーバーやネットワーク、端末などに対し、個別にセキュリティポリシーを設定しなければならず、運用負荷が増大しています。またソフトウェアだけでなく、利用者が増えるたびに増設しなければならないハードウェアの管理も煩雑で、彼らの業務を圧迫しているのです。
SASEを導入するメリット
SASEの導入はこれらの課題に対する、一つの解決策となります。
1. クラウド・セキュリティを一元管理できる
SASEのソリューションはネットワークとセキュリティを統合することにより、クラウドのセキュリティを一元管理できます。ダッシュボードなどから統一したポリシーを設定できるため、社内や社外問わず、安全に情報資産へのアクセスをが管理できるようになります。
2. 従業員の利便性を損なうことなく、セキュリティを高められる
SASEはZTNAによってリモートワークの際に社内システムを経由することなく、アプリケーションとユーザー端末を直接接続します。そのため、トラフィック増加によるネットワーク遅延が生じにくく、従業員の業務を損なうことなくセキュリティを強化することが可能です。
3. システムの運用管理の負荷を軽減できる
SASEの導入によって、システム管理者の業務負荷を軽減できます。統一されたプラットフォーム上でセキュリティポリシーやログを管理でき、管理するネットワーク機器などが減ることで、リモートワークに伴うオンプレミスのサーバー増設やネットワーク機器のスケールアウトといった煩雑な業務から解放されます。
SASEに含まれる機能の例
SASEはいくつかの機能やソリューションを含みます。提供される機能はベンダーによってバラつきがあるのが現状ですが、代表的なものを紹介します。
1. ゼロトラストネットワークアクセス(ZTNA)
まずはZTNAです。ユーザーの認証・認可をアプリケーションごとに行うことで、リモート接続時のセキュリティを高めます。またZTNAではベンダーのアクセスポイントと通信します。企業のアタックサーフェスを隠蔽できるとともに、ネットワーク遅延を抑制できます。
2. SWG
SWG(Secure Web Gateway)はクラウドで提供されるセキュリティソリューションです。URLフィルタリングやアンチウイルス、サンドボックス、といった機能が含まれます。
3. CASB
CASB(Cloud Access Security Broker)はクラウドサービスの利用状況を可視化し脅威を検知するための仕組みです。従業員のクラウド利用状況を可視化し、統合されたセキュリティポリシーを設定します。また利用状況を監視することで、外部からの不正アクセスや内部不正を検知します。
4. SD-WAN
SD-WAN(Software Defined Wide Area Network)はソフトウェアで管理する仮想的なWANです。ネットワークの遠隔設定や一元管理が可能で、システム担当者の業務負荷を軽減しながら、安全なネットワーク運用が可能です。
5. Firewall
Firewallはインターネット経由の不正アクセスや攻撃から、企業ネットワークをから守るための仕組みです。昨今、高度化しているマルウェア攻撃、標的型攻撃にも対応できるよう、脅威防御・侵入防止機能が強化されるなど、Firewallの機能は年々高度化しています。
SASEが本当に必要なのか
SASEの概念について解説してきました。SASEにはZTNAからCDNまで様々な機能が含まれますが、現状ではすべてを包括しているソリューションはありません。
例えば現在、世の中で広まっているSASEソリューションには、ZTNAまで含まれていないものあります。また既存のネットワークをすべてSASEに置き替えようとした場合、既存のネットワーク構成を全面的に見直す必要がある場合も多く、導入と移行に相当な時間とリソースがかかることが予想されます。
自社にとってどのセキュリティ機能がもっとも必要か、よく検討して製品を選ぶ必要があるでしょう。IIJが提供するSafousは、組織のネットワーク、クラウドやIoT環境において、リモートユーザーを許可された資産に安全に接続させることで、SASEを補完するZTNAサービスです。ぜひSafousの利便性を一度お試しください。
ZTNAは安全性を保ちながら、快適な業務環境を提供できるソリューションです。IIJではZTNAソリューションである「Safous」を新たにリリースしました。詳しくは下記Safousのウェブサイトをご覧いただくか、お問い合わせボタンからお問い合わせください。
