クラウドサービスの利用、リモートワークの普及によって、企業では従来とは違うセキュリティ対策が求められています。コストや通信量、管理者の負担などが増大し、頭を悩ませている担当者も多いでしょう。
こうした現状を打破すると考えられているのが「SASE」です。SASEは従来のセキュリティ対策から脱却し、ネットワークとセキュリティを一元管理することで、現在のセキュリティ対策で問題となっている点を一気に解決します。
本記事では、SASEの構成要素やメリット、導入時のポイントなどをご紹介します。
 |
目次 |
1. SASEとは
SASE(Secure Access Service Edge)とは、ネットワークとセキュリティをひとつにして提供するサービスです。一般的には「サシー」と呼ばれます。
これまでのネットワークは内側と外側に境界線を設け、内側は安全、外側は危険という判断をしていました。このスタイルは内側を囲んで守り、外部のアクセスや利用をはじくという仕様です。そのため、外側からの脅威に対して、個別に対策する必要がありません。
しかし、クラウドサービスやリモートワークの普及によって、社外のサービスを利用したり、社外からアクセスしたりという状況が増えています。従来の内側を守るだけのセキュリティ対策では、不正アクセスやマルウェアによる脅威に対抗できません。
独立行政法人情報推進機構(IPA)の「情報セキュリティ10大脅威 2022」によると、組織の脅威の3位は「サプライチェーンの弱点を悪用した攻撃」、4位が「テレワーク等のニューノーマルな働き方を狙った攻撃」と、社外での業務が関連する脅威がランクインしています。同時に「内部不正による情報漏えい」が5位と、内部関係者による悪意にも油断はできません。内外両方の対策が必要なことが分かります。かといって、内側と外側、すべてにひとつひとつセキュリティ対策を施すのは、コストがかかります。膨大なセキュリティ対策のレベルをすべて均等にするのも難しく、脆弱性が見つかればそこから不正アクセスを許す可能性もあるでしょう。
こうしたさまざまな脅威に対抗しやすいのがSASEです。SASEは、ネットワークとセキュリティがひとつになっています。これによって、管理の煩雑さを防ぎながら、高いセキュリティレベルを維持できます。
2. SASEの構成要素
SASEは高いセキュリティレベルを維持するために、さまざまな要素があります。ここではSASEの主な構成要素を4つ、ご紹介します。
SWG
SWG (Secure Web Gateway)とは、ネットワークに安全にアクセスするために用いられるセキュリティサービスです。ユーザーとネットワークの中継点となり、接続するネットワークの安全性や外部からのアクセスをチェックし、危険性のあるものをブロックします。
SWGでは、
- URLフィルタリングによる閲覧サイトの制限
- サンドボックスでの安全性のチェック
- シグネチャファイル(マルウェアなどの攻撃方法をまとめたもの)を活用したウイルスの排除
などを行っており、安全なアクセスやデータだけを通過させる仕様になっています。
特にテレワークが一般的となった現代では、外部からのアクセスやデータ送信を行うことも多くなりました。こうした状況はシャドーIT(IT管理者が利用を把握していないIT機器やクラウドサービスなど)を生み出しやすく、脆弱性を狙った不正アクセスに狙われる可能性があります。
SWGがあれば、ネットワークとユーザーの接続前に安全性をチェックできるため、マルウェアや不正アクセスなどの被害に遭いにくくなります。
ZTNA
ZTNA(Zero Trust Network Access)とは「ゼロトラスト」をもとにしたソリューションです。従来のセキュリティは「内側は安全、外側は危険」という認識で作られていましたが、ゼロトラストは「内部も外部も、すべてのアクセスを信用しない」という思考です。そのため内外関係なく、すべてのアクセスに対して認可・認証を行って、アクセスできるアカウントを制限します。
ZTNAを利用すると、承認されていないアクセスは、IPアドレス以外にもネットワークやインフラ情報すら閲覧できません。また仮に悪意のあるユーザーが認可されてしまったとしても、アプリとユーザーの間しかアクセスできないため、ネットワークの他者から情報を盗むことは不可能です。
そのためアカウントを乗っ取られた場合でも、情報資産の盗難などの被害を防げる可能性が高くなります。
CASB
CASB(Cloud Access Security Broker)は、利用するクラウドサービスを一元管理するソリューションです。クラウドサービスの利用状況を把握し、不適切なクラウドサービスやIT管理者の把握していないシャドーITの利用などを防ぎます。CASBの詳しい内容は以下の記事をご覧ください。
【関連記事】CASB(キャスビー)とは?クラウド利用で知っておきたい機能やメリットなどをわかりやすく解説
総務省が発表している「令和3年度情報通信白書」によると、68.7%の企業がクラウドサービスを利用。加えて、9割近くの企業がクラウドサービスの効果を実感している結果が出ています。このことから、今後もクラウドサービスは普及していくと考えられています。
CASBによってクラウドサービスのセキュリティを強化できれば、より安全にクラウドサービスを利用できるでしょう。
SD-WAN
SD-WAN(Software Defined-Wide Area Network)は、各所に構築されたWANをソフトで一元管理するシステムです。WANとは広域通信網のことで、プロバイダの持つ回線を利用して遠距離にある拠点同士をネットワークでつなぎます。しかし、WANは管理の手間が大きく、IT管理者の間で問題になっていました。
WANを一元管理できるSD-WANなら、ネットワークへの接続を柔軟にし、効率化が図れます。特に複数の拠点を持つ中~大企業では、SD-WANによって大幅なコスト削減が可能です。回線の使い分けも可能なため、ネットワークへの負荷も軽く、スムーズな利用ができます。
3. SASEのメリット
現代の働き方にこそ必要なSASEですが、導入することでさまざまなメリットがあります。ここからはSASEのメリットを3つ、ご紹介します。
生産性が向上する
SASEは生産性の向上に大きく貢献するとされています。
従来のセキュリティ対策では、個々に対策を施す必要があり、それがネットワークの負荷になっていました。加えてクラウドサービスの利用やリモートワークによるオンライン会議ツールの利用など、利用する通信量も増大。これによって、ネットワークに負担がかかって通信速度が遅くなるなどのトラブルが生じていました。
SASEは「インターネットブレイクアウト」という、用途に応じて接続先を選べる機能があります。これは、データセンターを経由する必要がありません。前述したトラブルは、企業のデータセンターに通信負荷が集中することで発生しているため、データセンターを経由しないSASEの機能を活用することで、ネットワークに負担をかけずにサービスを利用できます。
負荷が軽くなって通信速度が適切になれば、クラウドサービスの利用やリモートワークも快適に行えるでしょう。結果、生産性の向上につながります。
高いセキュリティを維持できる
SASEは高いセキュリティを維持できることもメリットです。
従来のセキュリティ対策では、システムのひとつひとつにセキュリティ対策を施す必要がありました。そのためセキュリティポリシーを定めていても、それが適応されない「漏れ」が発生したり、シャドーITが生まれたりして、そこから侵入を許す可能性があります。
SASEはネットワークとセキュリティがセットになっているため、SASEでセキュリティポリシーを適用すれば、SASEを利用する各拠点やモバイルなどの通信を一元管理し、同じセキュリティレベルを維持できます。
また、SASEは「内外すべてのアクセスが危険」というゼロトラスト思考に基づいているため、内外関係なく脅威を排除可能。拠点間通信も可視化でき、常に最新で高いレベルのセキュリティ対策が可能です。
コスト削減
SASEはコスト削減にも適しているとされています。
従来のセキュリティは個々にセキュリティ対策が必要だったため、対策が必要なシステムが増えた分だけコストがかかっていました。加えて、IT管理者が管理すべき内容が増え、対応も煩雑化。対応が煩雑化することで、IT管理者の負担が大きくなり、すべてのシステムで高いセキュリティを維持することが困難になるなどの問題が発生していました。
SASEを導入すれば、セキュリティとネットワークが一元管理できるため、かかるコストもIT管理者の負担も軽減します。
実際JBCCグループでは、新型コロナウイルスの流行をきっかけにゼロトラストセキュリティを構築。SASEを活用することで、約80%の回線コスト削減に成功しています。
【関連記事】ネットワーク全面刷新によるゼロトラストセキュリティの構築 ~JBCCグループは回線コスト約80% 削減にも成功~
4.SASE導入時のポイント
SASEには多くのメリットがあることから、導入を検討する企業も多いと思います。しかしSASE導入の際には、事前の計画や入念な準備、協力体制を整えておくことなどが必要です。ここからはSASEを導入する際に気を付けておきたいポイントをご紹介します。
スモールスタートでの移行
SASEの導入で大切なことは「スモールスタート」、つまり一気にすべてを移行するのではなく、優先順位をつけて少しずつ移行していくことです。これまでに利用してきたシステムを洗い出し、徐々に移行していくことで移行漏れを防ぎ、効率的にSASEへの移行を進められます。
特に会社規模が大きくなると、利用しているシステムや社員の数、情報資産も膨大になります。それらをすべて洗い出して優先順位を設定するには、各部署の連携も大切です。また情報資産の洗い出しと同時に、自社に適した理想のセキュリティ構成、SASEに移行するためのリーダーの選出、各部署ですべき連携など、事前に考えるべきことが数多くあります。これ以外にも、ネットワークの設定、認証や外部システムとの連携、スケジューリング、社内周知などが必要で、一気に移行を行うのは困難です。
入念な計画を立てて、中長期的視点で移行を行うことが大切です。
同じベンダーの製品を選ぶ
SASE導入の際には、すでに利用している製品のベンダーと同じベンダーの製品を選ぶのもひとつの方法です。
SASEは、先述したようにネットワークとセキュリティを一元管理します。複数のサービスが1つになっているため、別のベンダーのものを使用していると運用が煩雑になって分かりにくくなる可能性があります。
すでに使用しているセキュリティ製品と同じベンダーの製品を利用することで、使用感や問い合わせ窓口を統一でき、運用が煩雑になるのを防げます。
ITセキュリティのプロと協力する
SASEを導入する際には、プロと協力するのもおすすめです。
SASEそのものを単一で実現するクラウドサービスは、2023年10月時点ではありません。そのため、SASEを実現させるには、自社の理想とするセキュリティ構築に基づいて、複数の製品を組み合わせて利用する必要があります。
しかし自社に適した製品を選べなかったために余計なコストがかかったり、SASEを導入したとしても、その後の対策ができなかったりすることも珍しくありません。専門家がいないと対処が難しい場面も多々あります。また自社の仕事もしながら、SASE実現も兼務するのは、本業に支障が出る可能性も高いです。
こうした場合には信用できるベンダーを探して、SASEの導入や管理を任せる方が良いでしょう。ITセキュリティの専門家と連携することで、高いセキュリティレベルを維持した状態で、自社の業務に専念できます。
JBCCではSASEの運用サービス「マネージドサービス for SASE Plus」を提供。SASEならではの強固なセキュリティ対策と柔軟なネットワーク基盤を構築すると同時に、専門家による管理とセキュリティ対策の提案をいたします。
【ソリューション】マネージドサービス for SASE Plus
5.まとめ
ネットワークとセキュリティが一体になったSASEは、これからの企業のセキュリティ対策をより簡単に、確実にしてくれるサービスです。生産性向上やコスト削減といった多くのメリットをもたらす一方で、入念な準備や連携が必要となるため、導入には専門家に相談するなど十分な検討を行いましょう。
JBCCでは、先述した「マネージドサービス for SASE Plus」によって、利便性と強固なセキュリティ対策の実行に貢献しています。詳細な導入事例は、以下よりダウンロードが可能です。
▼【セキュリティ事例】新日本製薬 株式会社 様▼
 |
JBCC株式会社JBCC株式会社は、企業のデジタル・トランスフォーメーション(DX)を支援するITサービス企業です。クラウドサービスを中心にシステムの設計から構築、運用までを一貫して手掛けており、クラウド 2,150社、超高速開発による基幹システム構築 460社、セキュリティ 1,100社の実績があります。 |
