最近、サイバーセキュリティーの文脈で、"ゼロトラスト"や"SASE"といった文字を目にする機会が増えました。ゼロトラスト("すべてを信用せず、常に確認する"ことを前提としたセキュリティーの概念 )については、なんとなく意味が伝わってくるものの、SASEに至っては、その内容・意味どころか、何と読めばいいのかもわからない...という方が多いのではないでしょうか。SASEは、Secure Access Service Edgeの略で、"サシー"もしくは"サッシー"と読むのが一般的です。Gartnerが2019年8月に発表したレポート「The Future of Network Security is in the Cloud」において、"必要なアプリケーションやサービスに、場所(社内からも社外からも)や端末を問わず、セキュアかつ快適にアクセスするための新しいフレームワーク"として提唱しました。「なんだか、ゼロトラストと似ていない?」と思われた方がいるかもしれませんが、登場した背景や目指している形を含め、基本的な考え方は一致しています。Gartnerは、SASEについて「ネットワークおよびネットワーク・セキュリティのさまざまなサービス(CASB/NGFW/SD-WAN/SWG/ZTNAなど)を組み合わせたクラウド・ベースのアーキテクチャ」と定義しており、セキュリティーを構築する上での考え方であるゼロトラストに対し、それを実現するSWGやZTNA、SD-WAN、CASBなどの機能をもつソリューション群が、SASEと位置づけられます。現在、主要ベンダーが競って自社のSASEソリューションをアピールしていますが、各社でSASEの定義づけや提供する機能に差異が見られ、今のところ、その実体はかなり曖昧という印象です。
Forrester Researchが提唱したゼロトラストから、約10年遅れて登場したSASEですが、考え方としてはお互い非常に近く、ネットワークの視点から、"ゼロトラスト"を補強しているのがSASEと言ってもいいかもしれません。このためSASEでは、ゼロトラスト・モデルを実現する上で欠かせない「認証(IDaaS)」「検知・防御(Secure Web Gateway)」「可視化・分析(CASB・SIEM)」といったセキュリティー機能に加え、SDN/SD-WAN、CDN、リモートアクセスなどのネットワーク機能までを包括的に提供します。
幅広い機能を提供するSASE
上図のIDaaS・FWaaS以外についても、基本的に"クラウド型で提供される"のがSASEの特長です。従業員がイントラの外から仕事をしたり、イントラの外にあるクラウドに重要な情報資産が置かれ、それを利用して業務を行ったりするケースが増えるなか、社内と社外を分けて社内を守る、従来の境界型セキュリティー対策が意味をなさなくなりつつあります。クラウドを前提とした新たなセキュリティー対策として登場したゼロトラストやSASEは、オンプレミスシステムのクラウド移行を積極的に進め、DX(デジタルトランスフォーメーション)を目指す企業のためのセキュリティー対策と言えます。
SASEでは、オンプレミスのデータセンターまでもクラウドサービスの1つとしてとらえ、IaaSやSaaSを含め、すべてに同じポリシーを適用できます。これによって、クラウド利用やリモートワーク・テレワーク時のセキュリティーリスクを回避し、企業全体としてセキュリティーレベルの向上を実現します。
従来の境界型セキュリティー対策では、すべてオンプレミスのデータセンターに設置したセキュリティーアプライアンスを経由することでセキュリティーを確保してきましたが、この方式では、リモートワーク・テレワーク時も、わざわざ社内に入ってからインターネットやクラウドサービスを利用することになります。このため、アクセスが集中すると、アプライアンスの処理が追いつかず、著しくパフォーマンスが低下することに。これに対し、クラウド型で各種セキュリティー機能を提供するSASEの場合、社内を経由することなく、直接インターネットにアクセスでき、リモートワーク・テレワーク時のパフォーマンス向上につながります。
SASEでは、セキュリティーやネットワークのさまざまな機能がクラウド型で提供され、従来の境界型セキュリティー対策において、要となるオンプレミスのセキュリティーアプライアンスを最小化することができます。スケールアップ・スケールアウトも簡単で、柔軟性を高めると同時に、アプライアンスを狙ったサイバー攻撃を心配することもなくなります。
クラウド時代のセキュリティー対策として期待されるSASEですが、包含するセキュリティー機能・ネットワーク機能が広範におよぶことから、現時点ですべてを網羅する単一ソリューションは存在しません。従来からの大手セキュリティーベンダー各社や新興のセキュリティーSaaS系ベンダー、さらにはネットワーク系ベンダーなどが、それぞれ強みとする領域をコアに、SASEが求める周辺機能を拡張するかたちでSASEソリューションを提供していますが、ベンダーによって提供機能の種類や数がバラバラで、どれが優れているのか、どのソリューションを選べばよいのか、悩ましい状況です。こうしたなか、グローバルでの実績や機能面などを、ユニアデックス独自の視点で総合的に評価し、現在取り扱っているのが下表にある5つのSASEソリューションです。いずれのソリューションも、VPNおよびSD-WAN機能をワンストップで提供でき、一部ベンダーは自社接続ポイントやSD-WANルーターも用意しています。
製品名 | Prisma Access | VMware SASE | FORTI SASE | Cisco SASE | Zscaler |
---|---|---|---|---|---|
提供企業 | Palo Alto Networks | VMware | Fortinet | Cisco Systems | Zscaler |
主な機能 | NGFW / AV / URL Filter / DLP / IPS / Sandbox / SD-WAN / ZTNA / WAN回線 |
NGFW / AV / URL Filter / DLP / IPS / Sandbox / SD-WAN / ZTNA / WAN回線 / CASB |
NGFW / AV / URL Filter / DLP / IPS / Sandbox / SD-WAN / ZTNA | NGFW / AV / URL Filter / DLP / IPS / Sandbox / ZTNA / CASB |
ゼロトラストにしてもSASEにしても、デファクトスタンダードと言える圧倒的なソリューションがない現状において、個々の企業ニーズに応じた最適なソリューションを組み合わせ、提案できることがユニアデックスの強みです。"自社のセキュリティー課題を解決する上で、ゼロトラストやSASEの考え方が有効なように見えるが、何からはじめればよいかわからない"という方は、ぜひ、お気軽にご相談ください。
おすすめ記事 | |||