SASE(サシー)とは?
従来、ユーザーは自分のデスクで境界内のネットワークに接続しているだけでしたが、労働者の在宅勤務への世界的な移行により、ITとサイバーセキュリティのあり方が変化しつつあります。SASE(Secure Access Service Edge)は、従来のITインフラとクラウドサービスを融合させ、様々なユーザーと場をサポートする新しい技術です。ユーザーが複数のプラットフォームで個別に認証を行うのではなく、全てのクラウドサービスへのアクセスをデータセンター経由で提供します。そしてこれらのデータセンターが、ユーザーやクラウドリソースの管理を行うためのアクセスコントロールを管理者に提供します。
無料トライアル
無料トライアルのお申し込み手順
- 弊社のサイバーセキュリティ エキスパートが貴社に伺い、セキュリティ環境を評価して、脅威リスクを診断します。
- 24 時間以内に最小限の構成で、30 日間ご利用いただけるプルーフポイントのソリューションを導入します。
- プルーフポイントのテクノロジーを実際にご体験いただきます。
- 組織が持つセキュリティの脆弱性に関するレポートをご提供します。このレポートは、サイバーセキュリティ攻撃の対応に直ちにご活用いただくことができます。
フォームに必要事項をご入力の上、お申込みください。追って、担当者よりご連絡させていただきます。
Proofpointの担当者がまもなくご連絡いたします。
SASEとポイントソリューションの違い
従来のWAN(広域ネットワーク)では、管理者が異なる拠点間でポイントソリューションを構築していました。各WANセグメントには、独自のファイアウォールやネットワークコンポーネント、ユーザー管理があり、各セグメントは、サーバーやそのほかのアクセス管理を設定する集中管理セグメントにまとめられていました。
SASEでは、これらのポイントソリューションをデータセンターに移行しているので、管理者は物理的なデバイスを管理する必要がありません。そしてクラウドプロバイダーはファイアウォールやアクセス管理ツールを提供しているので、管理者の作業は軽減されます。管理者はクラウドサービスを管理する必要こそありますが、物理的なハードウェアはクラウド事業者が管理します。
ユーザーはネットワークに接続し、個々のWANデバイスを利用する代わりに、ビジネス・ネットワークが設定されているデータセンターに接続します。 すべてのサービスは、クラウド上にサービスをプロビジョニングし、ユーザーのアクセスを承認できる管理者によって監視・制御されています。インターネット上のさまざまなサービスを管理する必要はありません。
SASEのセキュリティモデル
ITインフラに変化が生じた場合、アプリケーションや企業データの安全性を確保するには、周辺セキュリティを設計し直す必要があります。 SASEのセキュリティモデルは、既存のWANアーキテクチャと新しい環境に向けて導入される新たなクラウドリソースに関するサイバーセキュリティの問題解決を図ろうとするものです。
SASEモデルに用いられるネットワークやセキュリティのコンポーネントは、ほとんどが新しい技術ですが、クラウドに統合されたWANとの連携を前提に設計されています。安定したユーザー環境構築のためには、SASEの機能を追加することが必要です。以下にSASEモデルで利用されている技術をいくつか紹介します。
- SD-WAN: ソフトウェア定義型広域ネットワーク(SD-WAN)は、 すべてのリモートユーザーを接続し、プライベートネットワークを管理するために使用されます。 このSD-WANがユーザーをデータセンターに接続します。通常、クラウドサービスプロバイダーは、これらのデータセンターに複数のPOP(Point of Presence)ロケーションを提供します。データセンター(またはデータセンター群)は、ユーザーの所在地によって異なります。ユーザーが所在地に近いデータセンターに接続されれば、パフォーマンスは向上します。ネットワークトラフィックが、インターネットではなくデータセンターを経由するためレイテンシーは減少します。
- ゼロトラスト: 従来の環境では、ネットワークに接続しているユーザーは信頼されていました。ユーザーが意図的または無意識にマルウェアをインストールしたり、攻撃者にデータを開示したりするインサイダーの脅威は企業にとって深刻な問題となっています。そのため現在では、WAN内部のゼロトラスト ポリシーは不可欠なものとなっています。SASEのセキュリティモデルでは、すべてのネットワークセグメントとデータアクセスにゼロトラストが導入されており、承認のための最小特権の基準が実践されています。
- クラウドサービス: クラウドサービスを導入すること自体は、ネットワークの分野では目新しいことではありません。しかし、SASEモデルでは、職場のパソコンから直接クラウドサービスに接続するのではなく、データセンターにある企業のネットワークに接続し、企業のネットワークリソースを利用してアプリケーションに接続することになります。これにより、管理者はアクセスを監視し、アクセスコントロールを一元化することができます。
- IAM(IDとアクセス管理): クラウドリソースにアクセスする前に、ユーザーにネットワークへの接続を強制することで、管理者はI PアドレスではなくID管理を利用してアクセスを制御することができます。管理者は、ユーザーをグループに追加し、グループ単位でアクセス権を付与することが可能です。グループごとに権限を設定することで、複数のリソースへのアクセス権を管理し、必要に応じて権限の削除が容易に行えます。
SASEの重要性
SASEは、今日の脆弱な状況においてますます重要となるネットワークセキュリティへの先進的なアプローチを提供します。SASEを使用することで、組織はユーザーをどのアプリケーションにも安全に接続し、最良のユーザー体験を提供しながら、ネットワークおよびクラウドベースのリソースをあらゆる場所とデバイスから保護できます。
SASEは、SD-WANとクラウドセキュリティアーキテクチャを組み込み、遅延を減らす安全で直接的なユーザーアクセスパスを提供します。これは、最も直接的なユーザーアクセスパスであるDIA(ダイレクトインターネットアクセス)を保護し、悪意のあるトラフィックが企業に到達する前に介入することで実現されます。またSASEは、DDoS攻撃を緩和し、ネットワークのどこでも完全なセキュリティスタックを実現します。
SASEは、SWG(セキュアWebゲートウェイ)、CASB(クラウドアクセスセキュリティブローカー)、ZTNA(ゼロトラストネットワークアクセス)、FWaaS(ファイアウォールアズアサービス)など、クラウドネイティブのセキュリティ技術を一つのプラットフォームに統合するネットワークアーキテクチャのフレームワークとして機能します。この統合により、可視性と制御を強化するための完全なセキュリティ機能が提供されます。
SASEは、複数のセキュリティ機能を統合プラットフォームに統合することで、ネットワークセキュリティを簡素化し、複雑さとコストを削減するのにも役立ちます。セキュリティプロトコルを合理化することで、組織はネットワークを簡単に管理し、セキュリティ体制を改善し、サイバー脅威のリスクを軽減できます。SASEは、ネットワークとクラウドベースのリソースを安全に保ちながら、最適なユーザー体験を確保したい組織にとって不可欠なツールとなっています。
SASEのメリット
IT構造の変更には初期費用がかかるため、企業はネットワークの再構築に踏み切る前に、そのメリットを知りたいと考えています。SASE導入においては、初期費用がかかったとしても、結果的にコストが削減され、更に幾つかの利点を享受できます。
コスト削減
異なるWANセグメントのサービスとセキュリティのために複数のポイント製品を管理・購入する必要はありません。データセンターのリソースと集中管理システムの利用で、コストを削減することができます。
パフォーマンスの向上
データセンター内のビジネスネットワークは、独自のネットワークバックボーンとインフラで構築されています。ユーザーは近隣のデータセンターに接続することになるので、ネットワークのレイテンシーが軽減されます。
複雑さの軽減
従来のインフラでは、IT部門はWANセグメントにまたがるすべてのコンポーネントを管理する必要がありました。SASEでは、ネットワークがデータセンターのクラウド上にあるため、管理者が取り扱うコンポーネントが減り、ネットワーク管理の負荷ができます。
脅威防御
アーキテクチャは、アプリケーションおよびリソースの隠蔽、セグメンテーション、ユーザー/デバイス/場所に基づくリスク評価(UEBA)など、包括的なセキュリティ機能を提供します。インライン暗号化/復号化、分散制御、およびデータプレーンにより、すべての接続が検査および保護されることを保証します。
一貫したポリシー
SASEアーキテクチャは、包括的なUTMサービスを提供し、一貫したポリシーの施行を適用し、認証、ID、およびビジネスルールに基づいて動的に接続を有効にすることで、安全で一貫したクライアントからクラウドへのユーザー体験を提供します。
新しいビジネスシナリオ
SASEは場所に関係なく安全なアクセスを利用できるため、どこからでも安全に働ける環境、シームレスなSaaS採用、柔軟なマルチクラウド環境を実現します。スケーラブルでクラウド中心のコスト効率の高いアーキテクチャは、ボトルネックを排除し、成長をサポートします。
優れたIAM(IDとアクセス管理)
管理者はI Pアドレスで管理する代わりに、ユーザーとユーザーグループを管理します。一元化された組織的なIAMは、セキュリティやアクセスコントロールを向上させます。
SASEの課題
SASEは新しいアーキテクチャ手法であるため、欠点の存在を恐れる管理者もいます。最新のテクノロジーやプロセスに飛びつくと、それが最善の代替手段であることが証明されていなかったり、組織のコストを削減できなかったりした場合には、高くつくこともあるからです。不適切な技術はITに深刻な被害をもたらし、システムの運用管理を複雑化させるリスクがあります。
SASEには欠点はほとんどありませんが、管理者は以下の課題に着目する必要があります:
- 単一障害点(SPOF): SASEが適切に設定されていない場合、リモートユーザーにとって、特に単一障害点となる可能性があります。ローカルネットワークに接続できないユーザーは、必要な生産性向上ツールやサービスにアクセスができなくなります。
- 単一クラウドプロバイダーへの依存: ネットワークをクラウドデータセンターに依存することになると、ビジネスは単一プロバイダーに限定されてしまいます。価格変更やクラウドプロバイダーのアーキテクチャ変更がビジネスに影響を与えるため、管理者はネットワーク構成の変更を余儀なくされる場合もあります。
- 導入と統合: SASEには多くの利点がありますが、クラウド採用を完全に受け入れていない組織にとっては、ネットワークセキュリティとアクセスを単一のモデルに統合することが困難であり、欠点が生じる可能性があります。
- ビジネス継続性の維持: SASEエコシステムはセグメント化されており複雑であるため、変更管理や整備などの主要なプロセスが技術の実装を目指す組織にとって困難になることがあります。
- ネットワークの一体性: 適切なSASEパートナーの選定とネットワークおよびセキュリティ専門家間の調整を確保することは、組織が慎重に選択肢を検討し、協力して導入の成功を実現する必要があるため、困難である可能性があります。
これらの課題は、1つのプロバイダーをフェイルオーバーとして使用し、別のプロバイダーが日々の生産性を支えるように設計されたマルチクラウドによって克服できますが、その分コストはかさみます。しかしこのような課題があったとしても、複数のリモートユーザーとクラウドリソースを持つ企業は、SASE導入の恩恵を最大限に受けることができるでしょう。壊滅的な障害に伴うコストは、フェイルオーバーにかかるコストを大きく上回ることを忘れないでください。
SASEベンダーの選び方
SASEフレームワークを活用することで、ネットワーク機能の簡素化、コスト削減、および全体的なパフォーマンスの向上が可能ですが、その潜在能力を引き出すためには適切なベンダーの選定が重要です。SASEベンダーを選定する際の主要な基準は以下の通りです。
- クラウドネイティブアプローチ: SASEベンダーが統合されたクラウドネイティブソフトウェアスタックをモデルに持っていることを確認します。これは、オンサイト、モバイル、およびクラウドベースのネットワークエッジをカバーします。SD-WANアプライアンスやその他のポイントソリューションでは対応できない部分です。
- ダイナミックネットワークサポート: リモートブランチやユーザー/デバイスとクラウドゲートウェイの間の動的なネットワーク条件に対応するため、最適なユーザーエクスペリエンスをサポートするアプリケーション対応の接続を優先します。
- 統合: アプリケーションおよびユーザーIDに基づいてネットワークアクセスを提供するゼロトラストネットワークアクセス(ZTNA)統合を提供するSASEベンダーを選択し、コンテキストに応じたネットワークセキュリティアプローチを実現します。
- SWG、DLP、機密データ、マルウェア検査、およびユーザーエンティティ行動分析を含む完全なソリューションを提供する経験豊富なベンダーを選び出します。
- ネットワークのスケーラビリティ: グローバルなサービスレベルアグリーメント(SLA)を提供するプライベートバックボーンを持ち、広範囲にわたって優れたネットワークパフォーマンスを保証するSASEベンダーを探します。
- インターフェース: 日常のネットワークセキュリティと管理を簡素化し、IT専門家がビジネス機能やエラーのトラブルシューティングに集中できるようにする使いやすいインターフェースを提供するベンダーを選びます。
- 統一された構成: ユーザー、デバイス、ネットワーク、およびセキュリティポリシーの定義と管理を統一するシングルペインオブグラス管理を提供し、AIベースのツールを使用して効率的な相関とトラブルシューティングのためのリアルタイムおよび履歴の洞察を提供するSASEベンダーと提携します。