Secure Access Service Edge(SASE)とは?

Secure Access Service Edge(通称SASE)とは、企業ネットワークとネットワークセキュリティのための新しいアーキテクチャモデルです。Gartner社では、SASEを「今日のワーカーが抱える高速かつセキュアなアプリケーションアクセスのニーズをサポートする手段」として定義しています。SASEアーキテクチャは、ネットワーキングとクラウドベースのセキュリティを、統合管理機能を備えた高性能なシングルパスアーキテクチャへと統合します。

その他のSASEに関するトピックを読む

SASEが必要とされる理由

ネットワークやセキュリティの分野で、SASEへの移行を促進させている主な市場トレンドとしては、次の3つが挙げられます。

  • アプリケーションがSaaSに移行していること:従来型のアーキテクチャでは、SaaSトラフィックをデータセンターにバックホールすることにより、遅延が悪化しネットワークコストが増大します。クラウドサービスの普及に伴い、セキュリティはデータセンターからよりユーザーに近いものとなり、ユーザーとクラウド間のパスへと移行する必要があります。
  • ワーカーのモバイル化とリモート化が進んでいること:従業員は、仕事をする場所にかかわらず、同じエクスペリエンスとセキュリティが得られることを期待しています。しかし、従来型のVPNでは、きめ細かなセキュリティ制御が行えないため、かえってエクスペリエンスが低下していました。
  • 脅威が急速に進化していること:セキュリティチームは、新たな脅威に後れを取ることなく対応し続けるために、インフラストラクチャのアップグレードと更新を継続的に行う必要があります。これは複雑で時間のかかる作業であるため、結果としてゼロデイ脅威にさらされたままになっている企業や組織も少なくありません。

今日の企業は、場所やデバイスを問わず、すべての従業員に迅速で一貫性のあるセキュアなエクスペリエンスを提供する必要があります。企業のITチームは、複雑なネットワークやセキュリティスタックを管理するのではなく、新しいデジタルサービスの提供に焦点を当てることで、よりアジャイルで運用効率の高いチームへと変身する必要があります。

このようなトレンドに対応するために、SASEはいかなる役割を果たすのでしょうか。SASEとは、ネットワークとセキュリティの両者が進化し融合することを可能にするためのフレームワークであり、次のことを実現します。

  • ネットワーキングとセキュリティ分野における、1つの画面を通じたアジャイルで統一的な管理(プロビジョニング、きめ細かなポリシー制御、可視性を含む)。 
  • ローカルインターネットブレイクアウトの予測不可能性を克服する包括的なWAN機能により、場所にかかわらず常に高速でセキュアなアプリケーションアクセスを提供すること。
  • グローバルなセキュリティクラウドを通じて、場所にかかわらず、すべてのユーザーに対して一貫したセキュリティポリシーを適用すること。

SASEアーキテクチャの概要

SASEは、WANおよびネットワークに関する包括的なセキュリティ機能をシングルパスのアーキテクチャへと統合することで、ネットワークとサイバーセキュリティ用の統一管理プレーンを通じて管理が行えるようにします。SASEという言葉を作り出したGartner社では、SASEアーキテクチャの「コア機能」と「推奨機能」を次のように定義しています。1:

  • コア機能
    • SD-WAN:SD-WANは、あらゆる種類のネットワークトランスポート上で回復力のある低遅延の接続を実現するほか、従来のルーターベースのソリューションに比べて複雑さを軽減できます。特にクラウドネイティブアプリケーションやリアルタイムアプリケーションは、SD-WANがもたらすメリットを享受できます。SD-WANは、パス品質評価に基づくパス選択、WAN最適化、SaaSアプリケーションとのピアリングなどの機能を通じて、これを実現します。さらに、一部のSD-WANは、内蔵された侵入検知/防止システム(IDS/IPS)などのネットワークセキュリティ対策や、ブランチオフィスとSaaSアプリケーション間のVPNトンネルの設定を効率化する機能を備えています。
    • Secure Web Gateway:セキュアWebゲートウェイ(SWG)は、ユーザーとWeb間に位置する企業のサイバーセキュリティソリューションであり、通常はクラウドサービスの1つとしてインラインで実装されます。ユーザートラフィックはSWGに転送された後、必要に応じて、組み込み型のネットワークセキュリティ機能(URLフィルタリング、アプリケーションコントロール、マルウェア対策などの)を通じて検査やさらなる処置が行われます。
    • クラウドアクセスセキュリティブローカー(CASB):クラウドアクセスセキュリティブローカー(CASB)を使うと、企業や組織は、承認済みおよび未承認のあらゆるSaaSアプリケーションに関するアクセス制御を管理できるようになります。CASBのセキュリティソリューションは、次に示す4つの柱から構成されています。
      • 可視性の向上(シャドーITアプリケーションを含む)
      • 機密性の高い資産を不正アクセスから守るためのデータセキュリティ
      • 行動分析などの機能を通じた脅威対策
      • コンプライアンス証明の効率化
    • ゼロトラストネットワークアクセス:ゼロトラストネットワークアクセス(ZTNA)とは、承認済みのユーザーが認可されていないアプリケーションにアクセスする際に、最小特権の原則を適用する仕組みです。また、ZTNAは、Microsoft Azure Active Directoryなどのクラウドサービスから得られるアイデンティティ情報や、時間帯や場所などのパラメータに基づいてアクセス試行を評価するなど、アイデンティティアウェアかつコンテキストアウェアな機能も備えています。脅威のラテラルムーブメントを防ぐために、基本となるネットワークの代わりに、アプリケーションに対してアクセスを許可することもできます。全体として、ZTNAは、従来のVPNソリューションに比べて、より優れたユーザーエクスペリエンスとより厳格なセキュリティコントロールを提供するほか、複雑さを軽減できます。
    • FWaaS:Firewall as a Service (FWaaS)とは、企業ネットワーク全体における入出トラフィックに対するセキュリティ制御を導入することで、信頼できるトラフィックのみが通過できるようにする仕組みです。より具体的には、FWaaSソリューションには、アノマリーベース(シグネチャレス)の脅威検知、ネットワークサンドボックス、ジオロケーション、アンチマルウェアソフトウェア、IDS/IPSソリューションが含まれています。多くの場合、FWaaSには、データセンター、クラウドインスタンス、ブランチオフィスを包括的に保護するために、分析ソリューションが含まれています。
    • データ損失防止(DLP):データ損失防止(DLP)機能は、SASEプラットフォームのシングルパスアーキテクチャに含まれています。DLPエンジンは、利用時、転送時、保存時のデータに対する可視性を提供します。DLPは、リスクのあるデータやアクティビティの隔離、暗号化の実施、ネットワークセキュリティアラートの送信などを通じて、データ侵害の全体的なリスクを低減します。
    • 大規模環境におけるコンテンツの暗号化/復号化をラインスピードで実現:SASEのシングルパスアーキテクチャは、暗号化されたトラフィックを一度だけ開いて検査することにより、サービスチェイン型の検査エンジンを利用していた従来型のセキュリティスタックにあった遅延を低減します。
  • 推奨機能:
    • WebアプリケーションおよびAPI保護(WAAP):Webアプリケーションの利用が増えるにつれ、悪意あるトラフィックやリクエストを食い止めることが重要となっています。WebアプリケーションおよびAPI保護(WAAP)には、高度なレート制限、ランタイムアプリケーションの自己保護、DDoS軽減などのセキュリティソリューションを含めることができます。
    • リモートブラウザの隔離:リモートブラウザの隔離を使用すると、ブラウザベースの攻撃から企業ネットワークを保護できます。Webサイト(侵入された可能性のあるWebサイトを含む)からのデータがエンドユーザーデバイスに転送されなくなるため、侵害や感染の可能性を低下できます。
    • ネットワークサンドボックス:ネットワークサンドボックスとは、疑わしいコンテンツを隔離された環境に送ることで、同コンテンツが他のアプリケーションに影響を与えることなく実行できるようにする仕組みです。SASEプラットフォーム内のFWaaSソリューションは、それをさらに検査した上で、悪意あるファイルや資産が見つかった場合にはそれをブロックします。
    • マネージドデバイスと非マネージドデバイスのサポート:SASEプラットフォームは、企業支給デバイスや従業員個人のデバイスのセキュリティを確保するためのより良いフレームワークを提供ます。同プラットフォームでは複数のセキュリティソリューションを通じて、データ損失、不正アクセス、マルウェアなどの脅威から企業を守ります。

上記の機能は、「シンブランチ、ヘビークラウド」型の統合モデルとして提供する必要があります。つまり、SD-WAN機能は「シン」ブランチアプライアンスとして、セキュリティ機能は「ヘビー」クラウドサービスとして提供する必要があります。

SASEアーキテクチャを導入するメリット

SASEアーキテクチャは、モバイルワーカーやリモートワーカーによるクラウドアプリケーションへの高速で信頼性の高いセキュアなアクセスを実現すること、そして同時にITのアジリティを向上させることを目的として設計されたものです。ネットワークとセキュリティの統合管理、シングルパスのアーキテクチャ設計、強力なSD-WAN機能など、提供される複数の機能における微妙な違いに注意を払うことを仮定するならば、企業は、SASEの導入により次のようなメリットを得ることができます。

ユーザーエクスペリエンス、コラボレーション、エンゲージメントの向上:ダイレクトインターネットアクセスにより、バックホール接続に起因する遅延を解消できます。ただし、インターネットのパフォーマンスが変動した場合でも安定したパフォーマンスを確保するためには、SASEソリューション内に含まれているSD-WANやWAN最適化機能が必要となります。シングルパスアーキテクチャを使うと、検査エンジンやポリシーエンジン自体が不要な遅延を追加しないことを保証できます。

従業員がどこにいようとキュリティを向上:認可済みのアプリケーションに対して、アイデンティティアウェアなゼロトラストアクセスを実現できます。これにより、アタックサーフェスを縮小できるほか、企業ネットワーク内におけるマルウェアのラテラルムーブメントを回避できます。Webアプリケーションや許可されていないアプリケーションに対しては、包括的なクラウドベースのセキュリティにより、従業員がどこにいようと一貫したセキュリティ体制を確保できます。

効率化された運用によりITのアジリティを向上:SASEアーキテクチャは、ネットワークおよびセキュリティ分野におけるベンダーの統合に役立ちます。シングルベンダーソリューションが提供するより深い統合と統一された管理を使うことで、導入、構成、レポート、サポートサービスを効率化できます。SASEアーキテクチャではセキュリティをクラウドに移行する必要があるため、全体的なハードウェアフットプリントが縮小された結果、アーキテクチャの弾力性と拡張性が向上します。

 

SASEフレームワークにおける微妙な違い

多くのベンダーがSASEアーキテクチャにおける個々のコンポーネントを宣伝していますが、必要な機能をすべて提供することが不可欠であることにご注意ください。なぜなら、統合された全体は部分の合計よりも重要度が高いからです。

完全な「SASEスタック」を備えていることによってのみ、企業は、あらゆる場所から、あらゆるデバイスを通じてすべてのアプリケーションへの迅速かつ一貫性のあるセキュアアクセスを実現すると同時に、ITのアジリティを向上させることができます。最も強力なSASEアーキテクチャには、競合他社との差別化を行うために、次のような微妙な違いが含まれています。

  • 企業のネットワークおよびセキュリティ分野におけるディープな統合:SASEプラットフォームは、クラウドセキュリティと包括的なWAN機能を兼ね備えており、この2つの機能は互いに依存する形で構築されています。クラウドセキュリティは、ローカルインターネットブレイクアウト(およびそれによるバックホールアーキテクチャに起因する遅延の解消)を可能にしますが、それだけでは、インターネット接続における全体的な予測不可能性を克服できません。SD-WANとWAN最適化を利用することで、ネットワークパフォーマンスの変化が従業員エクスペリエンスに影響を与えないことを保証できます。 
  • 1つの画面を通じた管理:SASEを通じて、チームはインフラストラクチャ環境(サイバーセキュリティを含む)をはじめ、ネットワークポリシーの設定、そして包括的なレポートに関する統一的なビューを確保できます。これにより、お客様は、お使いのエンタープライズアーキテクチャ全体を通じて、より包括的かつアジャイルに制御できるようになります。
  • シングルパスアーキテクチャ: 機能のサービスチェーンでは、トラフィックが複数の検査エンジンやポリシーエンジンを通過するため、遅延が発生し、SASEアーキテクチャに期待されるパフォーマンスの向上が最小限に抑えられることが良くあります。一方、適切に設計されたSASEアーキテクチャでは、シングルパス方式を採用しているため、トラフィックはすべてのポリシーエンジンによって一度だけ並行して開かれた上で検査されることになります。 
  • SASEアーキテクチャ自体の内部におけるプライバシー/データの分離:多くの場合、GDPRのようなプライバシーおよび規制要件では、データの分離をはじめ、選択的な復号化、そしてデータがどこをどのように流れるかに関する可視性と制御が求められます。クラウドベースのセキュリティでは、これらの義務を果たすことが難しいため、SASEソリューションを検討する際には、コンプライアンス対策の評価が重要となります。 
  • ベンダー管理の一元化:SASEの主な目的の1つは、ITのアジリティを向上させることです。ベンダーを統合すると、必要となる会合の回数を最小限に抑えることで、ネットワークおよびセキュリティソリューションにおける包括的な統一アーキテクチャを計画、導入、管理、およびサポートすることが可能となります。このような統合は、運用を高速化するだけでなく、ITに関する部門間の垣根を超えた会話を育むことで、より優れた、より戦略的な意思決定を実現できるようになります。さらに、純粋に技術的な観点から見ると、シングルベンダーアーキテクチャは、組織間の技術提携を通じて可能になる統合に比べて、すべての機能を通じたより深い統合を実現できます。

SASEのユースケース

企業は、従業員の期待やビジネス要件を満たすために、絶えず変化する利用パターンの変化(どのアプリケーションがどこからアクセスされるかなど)に対応して、企業のネットワークおよびセキュリティ用のインフラストラクチャを進化させる必要があります。このような進化は、「どこでも仕事ができる」タイプのワーカーの実現や、アジャイルで弾力的かつ効率的なインフラストラクチャ展開による事業継続性の向上など、より広範な戦略的プロジェクトをサポートするものとなります。

大まかに言えば、ダウンストリームITのユースケースは、次に示す3つのカテゴリーに分けられます。

  • ネットワークアーキテクチャおよびセキュリティアーキテクチャーの変革:従来のハブ&スポーク型のアプライアンスベースのアーキテクチャには、遅延の増加、WANコストの増加、管理の複雑さなどの問題がありました。これらをSASEアーキテクチャに置き換えることで、セキュアなローカルインターネットブレイクアウトを通じて、あらゆる場所からすべてのアプリケーションに高速で一貫性のあるセキュアアクセスを実現できるようになります。クラウドベースのサイバーセキュリティとSD-WANをSASEアーキテクチャ内で統一することで、アプリケーションパフォーマンスの向上、機動的な管理、死角のない可視性を実現できます。
  • SD-WAN環境の保護:SD-WANソリューションは、アプリケーションのパフォーマンスを向上させるために不可欠ですが、SD-WANをデータセンターベースのセキュリティスタックと組み合わせて活用することで、回避可能な遅延が発生し、SD-WANがもたらす全体的なメリットが減少します。また、ブランチにおけるアプライアンスベースのセキュリティは、暗号化されたトラフィックの量が増えると頻繁なアップグレードが必要となるため、コストが上昇し運用の複雑さが増します。クラウドベースのセキュリティは有力な代替手段となるものです。ただしそれは、SD-WANソリューションと並行して、統一されたシングルパスのSASEアーキテクチャとして提供される必要があります。このような設定により、アプリケーションパフォーマンスの高速化をはじめ、運用のアジリティ、運用費の削減など、SD-WANに期待されるメリットを最大限に引き出すことが可能となります。
  • セキュアで生産的なデジタルワークスペースの提供:デジタルワークスペースソリューションは、使用しているデバイスに関係なく、すべての業務アプリケーションとデスクトップを通じて、合理的かつ生産的な従業員エクスペリエンスを実現します。SASEアーキテクチャでサポートされている場合、インテリジェントなトラフィックの優先順位付けとWANの最適化により、アプリケーションパフォーマンスをさらに向上させることができます。また、アイデンティティアウェアなゼロトラストアクセスや、すべてのトラフィックに対する強力なマルウェア対策を通じて、セキュリティを強化できます。

シトリックスはSASEに関して企業をどのように支援するか?

シトリックスは、SASEのすべての機能を1つの統合アーキテクチャへと統合します。SASEに対するシトリックスの統一的なアプローチには、次に示すような5つのメリットがあります。

  1. 最も包括的なクラウド型のセキュリティスタック:場所を問わず、大規模環境で、すべてのユーザーをあらゆる脅威から守ります。 
  2. アイデンティティアウェアなゼロトラストアクセス:企業のアタックサーフェスを最小限に抑えつつ、認可された企業アプリケーションへの継続的かつ動的なアクセスを実現します。
  3. 最高のアプリケーションエクスペリエンス:強力なSD-WANとアプリケーション最適化を通じて常に最高のエクスペリエンスを提供します。 
  4. ディープフォレンジックとAIを活用したアナリティクス:特定のセキュリティインシデント、非定型のアクティビティ、ポリシー違反を見つけ出し、インシデント分析や規制遵守を実施します。 
  5. ネットワークとセキュリティが完全に統合された統合管理:シンプルでアジャイルな運用を実現します。

シトリックスは、40万の組織における1億人のユーザーにより信頼されており、ユーザーエンパワーメントを通じて最高の仕事ができるようにしています。より生産の高い、アジャイルでかつ効率的なアーキテクチャーに移行することを、ぜひご検討ください。

関連資料:

1Gartner, The Future of Network Security is in the Cloud, Neil MacDonald, Lawrence Orans, and Joe Skorupa, 30 August 2019
Gartnerは、同社の調査出版物に掲載されている、いかなるベンダー、製品、サービスも推奨することはなく、最高の評価もしくはその他の指定を受けたベンダーのみを選択するようテクノロジーの利用者に勧めることもありません。Gartnerの調査出版物は、Gartnerの調査機関の見解から構成されたものであり、事実の記載と解釈されるべきものではありません。Gartnerは、明示または暗示を問わず、商品性や特定目的への適合性の保証を含め、本調査に関する一切の保証を行いません。