Secure Access Service Edge(SASE)とは?

SASE(「サッシー」と発音)とは、現在の従業員が抱える高速なアプリケーションアクセスのニーズをサポートするために設計された、ネットワーキング用のエンタープライズセキュリティアーキテクチャモデルです。SASEアーキテクチャは、ネットワークセキュリティとクラウドベースのセキュリティを、統合管理機能を備えた高性能なシングルパスアーキテクチャへと統合します。

その他のSaaSに関するトピックを読む:

SASEとは

SASEは何のために使用されますか?

ネットワークやセキュリティの分野で、SASEへの移行を促進させている主な市場トレンドとしては、次の3つが挙げられます。

  1. アプリケーションがSaaSに移行していること:従来型のオンプレミスネットワークアーキテクチャでは、セキュリティのためにSaaSトラフィックをデータセンターにバックホールすることで、遅延が悪化しネットワークコストが増大します。クラウド環境の普及に伴い、SASEを利用することで、企業や組織は、ネットワークセキュリティサービスをデータセンターからリモートユーザーにより近い場所へと移動できるようになっています。
  2. ワーカーのモバイル化とリモート化が進んでいること:従業員は、仕事をする場所にかかわらず、同じエクスペリエンスとネットワークセキュリティが得られることを期待しています。しかし、従来型のVPNでは、きめ細かなセキュリティ制御が行えないため、かえってエクスペリエンスが低下していました。
  3. 脅威が急速に進化していること:セキュリティチームは、新たな脅威に後れを取ることなく対応し続けるために、インフラストラクチャのアップグレードと更新を継続的に行う必要があります。これは複雑で時間のかかる作業であるため、結果としてゼロデイ脅威にさらされたままになっている企業や組織も少なくありません。

今日の企業は、場所やデバイスを問わず、すべての従業員に、高速で一貫性のあるセキュアなデジタルワークスペースエクスペリエンスを提供する必要があります。同時に、ITチームは、複雑なネットワークやセキュリティスタックの管理に多くの時間を費やすのではなく、新しいデジタルサービスの提供に集中できるように、アジリティを高める必要があります。SASEは、ネットワークとセキュリティの両者の進化と統合を保証することで、次のことを実現します。

  • 1つの画面を通じたアジャイルで統一的な管理(プロビジョニング、きめ細かなポリシー制御、可視性を含む)。
  • ローカルインターネットブレイクアウトの予測不可能性を克服するWAN機能により、場所にかかわらず常に高速でアプリケーションのセキュアアクセスを提供すること。
  • グローバルなセキュリティクラウドを通じて、場所にかかわらず、すべてのユーザーに対して一貫したセキュリティコンプライアンスポリシーを適用すること。

SASEには何が含まれていますか?

SASEモデルは、包括的なSD-WANおよびネットワークセキュリティ機能をシングルパスのアーキテクチャへと統合することで、ネットワークとサイバーセキュリティ用の統一管理プレーンを通じて管理が行えるようにします。SASEという言葉を作り出したGartner社では、SASEアーキテクチャの「コア機能」と「推奨機能」を次のように定義しています1

SASEのコア機能としては、次のものが挙げられます。

SD-WAN

SD-WANは、あらゆる種類のネットワークトランスポート上で回復力のある低遅延の接続を実現するほか、従来のルーターベースのソリューションに比べて複雑さを軽減できます。特にクラウドネイティブアプリケーションやリアルタイムアプリケーションは、SD-WANがもたらすメリットを享受できます。SD-WANは、パス品質評価に基づくパス選択、WAN最適化、SaaSアプリケーションとのピアリングなどの機能を通じて、これを実現します。さらに、一部のSD-WANは、内蔵された侵入検知/防止システム(IDS/IPS)などのネットワークセキュリティ対策や、ブランチオフィスとSaaSアプリケーション間のVPNトンネルの設定を効率化する機能を備えています。

セキュアWebゲートウェイ(SWG)

セキュアWebゲートウェイ(SWG)は、ユーザーとWeb間に位置する企業のサイバーセキュリティソリューションであり、通常はクラウドサービスの1つとしてインラインで実装されます。ユーザートラフィックはSWGに転送された後、必要に応じて、組み込み型のネットワークセキュリティ機能(URLフィルタリング、アプリケーションコントロール、マルウェア対策などの)を通じて検査やさらなる処置が行われます。

クラウドアクセスセキュリティブローカー(CASB)

クラウドアクセスセキュリティブローカー(CASB)を使うと、企業や組織は、承認済みおよび未承認のあらゆるSaaSアプリケーションに関するアクセス制御を管理できるようになります。CASBのセキュリティソリューションは、次に示す4つの柱から構成されています。

  • 可視性の向上(シャドーITアプリケーションを含む)
  • 機密性の高いデータを不正アクセスから守るためのデータセキュリティ
  • 行動分析などの機能を通じた脅威対策
  • コンプライアンス証明の効率化

ゼロトラストネットワークアクセス

ゼロトラストネットワークアクセス(ZTNA)とは、承認済みのユーザーが認可されていないアプリケーションにアクセスする際に、最小特権の原則を適用する仕組みです。また、ZTNAは、Microsoft Azure Active Directoryなどのクラウドサービスから得られるアイデンティティ情報や、時間帯や場所などのパラメータに基づいてアクセス試行を評価するなど、アイデンティティアウェアかつコンテキストアウェアな機能も備えています。脅威のラテラルムーブメントを防ぐために、基本となるネットワークの代わりに、アプリケーションに対してアクセスを許可することもできます。全体として、ZTNAは、従来のVPNソリューションに比べて、より優れたユーザーエクスペリエンスとより厳格なセキュリティコントロールを提供するほか、複雑さを軽減できます。

Firewall as a Service(FWaaS)

Firewall as a Service (FWaaS)とは、企業全体における入出トラフィックに対するネットワークセキュリティ制御を導入することで、信頼できるトラフィックのみが通過できるようにする仕組みです。より具体的には、FWaaSソリューションには、アノマリーベース(シグネチャレス)の脅威検知、ネットワークサンドボックス、ジオロケーション、アンチマルウェアソフトウェア、IDS/IPSソリューションが含まれています。多くの場合、FWaaSには、データセンター、クラウドインスタンス、ブランチオフィスを包括的に保護するために、セキュリティアナリティクスソリューションが含まれています。

データ損失防止(DLP)

データ損失保護(脅威防止とも呼ばれる)機能は、SASEプラットフォームのシングルパスアーキテクチャに含まれています。DLPエンジンは、利用時、転送時、保存時のデータに対する可視性を提供します。DLPは、リスクのあるデータやアクティビティの隔離、暗号化の実施、ネットワークセキュリティアラートの送信などを通じて、データ侵害の全体的なリスクを低減します。

大規模環境におけるコンテンツの暗号化/復号化をラインスピードで実現

SASEのシングルパスアーキテクチャは、暗号化されたトラフィックを一度だけ開いて検査することにより、サービスチェイン型の検査エンジンを利用していた従来型のセキュリティスタックにあった遅延を低減します。

SASEの推奨機能としては、次のものが挙げられます。

WebアプリケーションおよびAPI保護(WAAP)

Webアプリケーションの利用が増えるにつれ、悪意あるトラフィックやリクエストを食い止めることが重要となっています。WebアプリケーションおよびAPI保護(WAAP)には、高度なレート制限、ランタイムアプリケーションの自己保護、DDoS軽減などのセキュリティソリューションを含めることができます。

リモートブラウザの隔離

リモートブラウザの隔離を使用すると、ブラウザベースの攻撃から企業ネットワークを保護できます。Webサイト(侵入された可能性のあるWebサイトを含む)からのデータがエンドユーザーデバイスに転送されなくなるため、侵害や感染の可能性を低下できます。

ネットワークサンドボックス:

ネットワークサンドボックスとは、疑わしいコンテンツを隔離された環境に送ることで、同コンテンツが他のアプリケーションに影響を与えることなく実行できるようにする仕組みです。SASEプラットフォーム内のFWaaSソリューションは、それをさらに検査した上で、悪意あるファイルや資産が見つかった場合にはそれをブロックします。

マネージドデバイスと非マネージドデバイスのサポート

SASEプラットフォームは、企業支給デバイスや従業員個人のデバイスのセキュリティを確保するためのより良いフレームワークを提供ます。同プラットフォームでは複数のセキュリティソリューションを通じて、データ損失、不正アクセス、マルウェアなどの脅威から企業を守ります。

SASE機能は、統合された「シンブランチ、ヘビークラウド」型のサービスモデルで提供されます。つまり、SD-WAN機能は「シン」ブランチアプライアンスとして、セキュリティ機能は「ヘビー」クラウドサービスとして、それぞれ提供されます。

1Critical Capabilities for WAN Edge Infrastructure, Gartner, Sept 2020​

ホワイトペーパー

Secure Access Service Edge(SASE)アーキテクチャについて

ユーザーエクスペリエンスとセキュリティの向上からITのアジリティ向上まで、統一SASEによって実現できるメリットをご覧ください。

SASEセキュリティがもたらすメリットは?

SASEアーキテクチャは、モバイルワーカーやリモートワーカーによるクラウドアプリケーションへの高速で信頼性の高いセキュアなアクセスを実現すること、そして同時にITのアジリティを向上させることを目的として設計されたものです。ネットワークとセキュリティアクセスの統合管理、シングルパスのアーキテクチャ設計、強力なSD-WAN機能など、提供される複数の機能における微妙な違いに注意を払うことを仮定するならば、企業は、SASEの導入により次のようなメリットを得ることができます。

卓越したユーザーエクスペリエンス ダイレクトインターネットアクセスにより、バックホール接続に起因する遅延を一掃できます。ただし、インターネットのパフォーマンスが変動した場合でも安定したパフォーマンスを確保するためには、SASEソリューション内に含まれているSD-WANやWAN最適化機能が必要となります。シングルパスアーキテクチャを使うと、検査エンジンやポリシーエンジン自体が不要な遅延を追加しないことを保証できます。

セキュリティの向上 アイデンティティ認識型のゼロトラストアクセスは、認可されたアプリケーションに対して有効化されます。これにより、アタックサーフェスを縮小できるほか、企業ネットワーク内におけるマルウェアのラテラルムーブメントを回避できます。Webアプリケーションや許可されていないアプリケーションに対しては、包括的なクラウドベースのセキュリティアクセスにより、従業員がどこにいようと一貫したセキュリティ体制を確保できます。

アジリティの向上 SASEアーキテクチャは、ネットワークとセキュリティの両分野におけるポイントソリューションの統合に役立ちます。シングルベンダーソリューションが提供するより深い統合と統一された管理を使うことで、導入、構成、レポーティング、サポートサービスを効率化できます。SASEアーキテクチャではセキュリティをクラウドに移行する必要があるため、全体的なハードウェアフットプリントが縮小された結果、アーキテクチャの弾力性と拡張性が向上します。

強力なSASEフレームワークを構成する必須要素は何ですか?

多くのサービスプロバイダーがSASEアーキテクチャにおける個々のコンポーネントを宣伝していますが、必要な機能をすべて提供することが不可欠であることにご注意ください。なぜなら、統合された全体は部分の合計よりも重要度が高いからです。完全な「SASEスタック」を備えていることによってのみ、企業は、あらゆる場所から、あらゆるデバイスを通じて、すべてのアプリケーションへの迅速かつ一貫性のあるセキュアアクセスを実現すると同時に、ITのアジリティを向上させることができます。最も強力なSASEアーキテクチャには、競合他社との差別化を行うために、次のような微妙な違いが含まれています。

ディープな統合

SASEプラットフォームは、クラウドセキュリティと包括的なWAN機能を兼ね備えており、この2つの機能は互いに依存する形で構築されています。クラウドセキュリティは、ローカルインターネットブレイクアウト(およびそれによるバックホールアーキテクチャに起因する遅延の解消)を可能にしますが、それだけでは、インターネット接続における全体的な予測不可能性を克服できません。SD-WANとWAN最適化を利用することで、ネットワークパフォーマンスの変化が従業員エクスペリエンスに影響を与えないことを保証できます。

1つの画面を通じた管理

SASEを通じて、チームはインフラストラクチャ環境(サイバーセキュリティを含む)をはじめ、ネットワークポリシーの設定、そして包括的なレポートに関する統一的なビューを確保できます。これにより、お客様は、お使いのエンタープライズアーキテクチャ全体を通じて、より包括的かつアジャイルに制御できるようになります。

シングルパスアーキテクチャ

機能のサービスチェーンでは、トラフィックが複数の検査エンジンやポリシーエンジンを通過するため、遅延が発生し、SASEアーキテクチャに期待されるパフォーマンスの向上が最小限に抑えられることが良くあります。一方、適切に設計されたSASEアーキテクチャでは、シングルパス方式を採用しているため、トラフィックはすべてのポリシーエンジンによって一度だけ並行して開かれた上で検査されることになります。

プライバシー

多くの場合、GDPRのようなプライバシーおよび規制要件では、データの分離をはじめ、選択的な復号化、そしてデータがどこをどのように流れるかに関する可視性と制御が求められます。クラウドベースのセキュリティでは、これらの義務を果たすことが難しいため、SASEソリューションを検討する際には、コンプライアンス対策の評価が重要となります。

ベンダー管理の一元化

SASEの主な目的の1つは、ITのアジリティを向上させることです。ベンダーを統合すると、必要となる会合の回数を最小限に抑えることで、ネットワークおよびセキュリティソリューションにおける包括的な統一アーキテクチャを計画、導入、管理、およびサポートすることが可能となります。このような統合は、運用を高速化するだけでなく、ITに関する部門間の垣根を超えた会話を育むことで、より優れた、より戦略的な意思決定を実現できるようになります。さらに、純粋に技術的な観点から見ると、シングルベンダーアーキテクチャは、組織間の技術提携を通じて可能になる統合に比べて、すべての機能を通じたより深い統合を実現できます。

SASEの一般的なユースケースにはどのようなものがありますか?

企業は、従業員の期待やビジネス要件を満たすために、絶えず変化する利用パターンの変化(どのアプリケーションがどこからアクセスされるかなど)に対応して、企業のネットワークおよびセキュリティ用のインフラストラクチャを進化させる必要があります。このような進化は、「どこでも仕事ができる」タイプのワーカーの実現や、アジャイルで弾力的かつ効率的なインフラストラクチャ展開による事業継続性の向上など、より広範な戦略的プロジェクトをサポートするものとなります。

大まかに言えば、ダウンストリームITのユースケースは、次に示す3つのカテゴリーに分けられます。

ネットワークアーキテクチャおよびセキュリティアーキテクチャーの変革

従来のハブ&スポーク型のアプライアンスベースのアーキテクチャには、遅延の増加、WANコストの増加、管理の複雑さなどの問題がありました。これらをSASEアーキテクチャに置き換えることで、セキュアなローカルインターネットブレイクアウトを通じて、あらゆる場所からすべてのアプリケーションに高速で一貫性のあるセキュアアクセスを実現できるようになります。クラウドベースのサイバーセキュリティとSD-WANをSASEアーキテクチャ内で統一することで、アプリケーションパフォーマンスの向上、機動的な管理、死角のない可視性を実現できます。

SD-WAN環境の保護

SD-WANソリューションは、アプリケーションのパフォーマンスを向上させるために不可欠ですが、SD-WANをデータセンターベースのセキュリティスタックと組み合わせて活用することで、回避可能な遅延が発生し、SD-WANがもたらす全体的なメリットが減少します。また、ブランチにおけるアプライアンスベースのセキュリティは、暗号化されたトラフィックの量が増えると頻繁なアップグレードが必要となるため、コストが上昇し運用の複雑さが増します。クラウドベースのセキュリティは有力な代替手段となるものです。ただしそれは、SD-WANソリューションと並行して、統一されたシングルパスのSASEアーキテクチャとして提供される必要があります。このような設定により、アプリケーションパフォーマンスの高速化をはじめ、運用のアジリティ、運用費の削減など、SD-WANに期待されるメリットを最大限に引き出すことが可能となります。

セキュアで生産的なデジタルワークスペースの提供

デジタルワークスペースソリューションは、使用しているデバイスに関係なく、すべての業務アプリケーションとデスクトップを通じて、合理的かつ生産的な従業員エクスペリエンスを実現します。SASEアーキテクチャでサポートされている場合、インテリジェントなトラフィックの優先順位付けとWANの最適化により、アプリケーションパフォーマンスをさらに向上させることができます。また、アイデンティティアウェアなゼロトラストアクセスや、すべてのトラフィックに対する強力なマルウェア対策を通じて、セキュリティを強化できます。

シトリックスのSASE向けソリューション

シトリックスのSASEソリューションは、Gartnerが主張するすべてのコア機能と推奨機能を単一の統合アーキテクチャへと統合することで、ユーザーが仕事をする場所にかかわらず、簡単かつセキュアにアプリケーションへのアクセスが行えることを保証します。これらの統合されたSASEソリューションには、次に示すような5つの主なメリットがあります。

シトリックスのSASEソリューションを使うことで、企業がいかに、高速でセキュアなアプリケーションアクセスを提供できるようになるかをご紹介します。