SASE (Secure Access Service Edge)とは?サシーのセキュリティモデル

情報保護について無料で相談する

定義

従来、ユーザーは自分のデスクで境界内のネットワークに接続しているだけでしたが、労働者の在宅勤務への世界的な移行により、ITとサイバーセキュリティのあり方が変化しつつあります。SASE(Secure Access Service Edge)は、従来のITインフラとクラウドサービスを融合させ、様々なユーザーと場をサポートする新しい技術です。ユーザーが複数のプラットフォームで個別に認証を行うのではなく、全てのクラウドサービスへのアクセスをデータセンター経由で提供します。そしてこれらのデータセンターが、ユーザーやクラウドリソースの管理を行うためのアクセスコントロールを管理者に提供します。

SASE(サシー)とポイントソリューションの違い

従来のWAN(広域ネットワーク)では、管理者が異なる拠点間でポイントソリューションを構築していました。各WANセグメントには、独自のファイアウォールやネットワークコンポーネント、ユーザー管理があり、各セグメントは、サーバーやそのほかのアクセス管理を設定する集中管理セグメントにまとめられていました。

SASEでは、これらのポイントソリューションをデータセンターに移行しているので、管理者は物理的なデバイスを管理する必要がありません。そしてクラウドプロバイダーはファイアウォールやアクセス管理ツールを提供しているので、管理者の作業は軽減されます。管理者はクラウドサービスを管理する必要こそありますが、物理的なハードウェアはクラウド事業者が管理します。

ユーザーはネットワークに接続し、個々のWANデバイスを利用する代わりに、ビジネス・ネットワークが設定されているデータセンターに接続します。 すべてのサービスは、クラウド上にサービスをプロビジョニングし、ユーザーのアクセスを承認できる管理者によって監視・制御されています。インターネット上のさまざまなサービスを管理する必要はありません。

SASE(サシー)のセキュリティモデルとは?

ITインフラに変化が生じた場合、アプリケーションや企業データの安全性を確保するには、周辺セキュリティを設計し直す必要があります。 SASEのセキュリティモデルは、既存のWANアーキテクチャと新しい環境に向けて導入される新たなクラウドリソースに関するサイバーセキュリティの問題解決を図ろうとするものです。

SASEモデルに用いられるネットワークやセキュリティのコンポーネントは、ほとんどが新しい技術ですが、クラウドに統合されたWANとの連携を前提に設計されています。安定したユーザー環境構築のためには、SASEの機能を追加することが必要です。以下にSASEモデルで利用されている技術をいくつか紹介します。

  • SD-WAN: ソフトウェア定義型広域ネットワーク(SD-WAN)は、 すべてのリモートユーザーを接続し、プライベートネットワークを管理するために使用されます。 このSD-WANがユーザーをデータセンターに接続します。通常、クラウドサービスプロバイダーは、これらのデータセンターに複数のPOP(Point of Presence)ロケーションを提供します。データセンター(またはデータセンター群)は、ユーザーの所在地によって異なります。ユーザーが所在地に近いデータセンターに接続されれば、パフォーマンスは向上します。ネットワークトラフィックが、インターネットではなくデータセンターを経由するためレイテンシーは減少します。
  • ゼロトラスト: 従来の環境では、ネットワークに接続しているユーザーは信頼されていました。ユーザーが意図的または無意識にマルウェアをインストールしたり、攻撃者にデータを開示したりするインサイダーの脅威は企業にとって深刻な問題となっています。そのため現在では、WAN内部のゼロトラスト ポリシーは不可欠なものとなっています。SASEのセキュリティモデルでは、すべてのネットワークセグメントとデータアクセスにゼロトラストが導入されており、承認のための最小特権の基準が実践されています。
  • クラウドサービス: クラウドサービスを導入すること自体は、ネットワークの分野では目新しいことではありません。しかし、SASEモデルでは、職場のパソコンから直接クラウドサービスに接続するのではなく、データセンターにある企業のネットワークに接続し、企業のネットワークリソースを利用してアプリケーションに接続することになります。これにより、管理者はアクセスを監視し、アクセスコントロールを一元化することができます。
  • アイデンティティ・アクセス・マネジメント(Identity Access Management/IAM): クラウドリソースにアクセスする前に、ユーザーにネットワークへの接続を強制することで、管理者はI Pアドレスではなくアイデンティティ管理を利用してアクセスを制御することができます。管理者は、ユーザーをグループに追加し、グループ単位でアクセス権を付与することが可能です。グループごとに権限を設定することで、複数のリソースへのアクセス権を管理し、必要に応じて権限の削除が容易に行えます。

SASE(サシー)のメリット

IT構造の変更には初期費用がかかるため、企業はネットワークの再構築に踏み切る前に、そのメリットを知りたいと考えています。SASE導入においては、初期費用がかかったとしても、結果的にコストが削減され、更に幾つかの利点を享受できます。

コスト削減

異なるWANセグメントのサービスとセキュリティのために複数のポイント製品を管理・購入する必要はありません。データセンターのリソースと集中管理システムの利用で、コストを削減することができます。

パフォーマンスの向上

データセンター内のビジネスネットワークは、独自のネットワークバックボーンとインフラで構築されています。ユーザーは近隣のデータセンターに接続することになるので、ネットワークのレイテンシーが軽減されます。

複雑さの軽減

従来のインフラでは、IT部門はWANセグメントにまたがるすべてのコンポーネントを管理する必要がありました。SASEでは、ネットワークがデータセンターのクラウド上にあるため、管理者が取り扱うコンポーネントが減り、ネットワーク管理の負荷ができます。

優れたアイデンティティ管理

管理者はI Pアドレスで管理する代わりに、ユーザーとユーザーグループを管理します。一元化された組織的なアイデンティティ管理(IAM)は、セキュリティやアクセスコントロールを向上させます。

SASE(サシー)の課題

SASEは新しいアーキテクチャ手法であるため、欠点の存在を恐れる管理者もいます。最新のテクノロジーやプロセスに飛びつくと、それが最善の代替手段であることが証明されていなかったり、組織のコストを削減できなかったりした場合には、高くつくこともあるからです。不適切な技術はITに深刻な被害をもたらし、システムの運用管理を複雑化させるリスクがあります。

SASEには欠点はほとんどありませんが、管理者は以下の課題に着目する必要があります:

  • 単一障害点(SPOF): SASEが適切に設定されていない場合、リモートユーザーにとって、特に単一障害点となる可能性があります。ローカルネットワークに接続できないユーザーは、必要な生産性向上ツールやサービスにアクセスができなくなります。
  • 単一クラウドプロバイダーへの依存: ネットワークをクラウドデータセンターに依存することになると、ビジネスは単一プロバイダーに限定されてしまいます。価格変更やクラウドプロバイダーのアーキテクチャ変更がビジネスに影響を与えるため、管理者はネットワーク構成の変更を余儀なくされる場合もあります。

これらの課題は、1つのプロバイダーをフェイルオーバーとして使用し、別のプロバイダーが日々の生産性を支えるように設計されたマルチクラウドによって克服できますが、その分コストはかさみます。しかしこのような課題があったとしても、複数のリモートユーザーとクラウドリソースを持つ企業は、SASE導入の恩恵を最大限に受けることができるでしょう。壊滅的な障害に伴うコストは、フェイルオーバーにかかるコストを大きく上回ることを忘れないでください。