SASEの運用管理をサポートするマネージドサービスとは何か?
近年、セキュリティ分野で話題となっているゼロトラストというセキュリティ概念。この実現を支える仕組み・ソリューションとしてSASEが注目されています。本記事では、SASEが提供する機能や導入による利点、さらにはソリューションを選ぶ際のポイントについて詳しく解説します。
新たなセキュリティフレームワークのSASE
デジタル技術の活用は、企業や組織の事業継続において欠かせない要素となっています。その結果、取引や業務のデジタル化が進み、効率性が向上しました。しかし、こうした進化の一方で、デジタルの脆弱性を狙うサイバー攻撃が増加し、手口も高度化しています。このような背景の中、2019年にガートナーが提唱したSASE(Secure Access Service Edge)というセキュリティフレームワークが注目を集めています。SASEは、ネットワークとセキュリティを統合し、企業のIT環境を包括的に保護することを目的としています。コロナ禍によるリモートワークの普及やクラウドサービスの利用拡大に伴い、従来の閉域網中心のセキュリティでは対応しきれない課題が顕在化しました。こうした状況に対応するため、分散した環境を一元的に管理し、セキュリティを強化するSASEが導入されています。
SASEに内包される機能とは
前述の通り、SASEはネットワーク機能とセキュリティ機能を統合的に提供するソリューションです。クラウドベースで構築されているため、機能の追加が柔軟に行える点が特徴で、主に以下のような機能を備えています。
CASB(Cloud Access Security Broker)
クラウドサービスの普及が進んでいた2012年にガートナー社が提唱したセキュリティ概念がCASBです。このソリューションでは、「可視化」、「脅威防御」、「コンプライアンス」、「データ保護」という4つの機能を活用し、クラウドサービスの利用状況を把握しながら、業務の効率性を損なうことなくセキュリティポリシーを適用できます。さらに、SWG、FWaaS、SD-WANなどを統合する形で提供されるソリューションも存在します。
SWG(Secure Web Gateway)
SWGは、従来型のプロキシサーバーと同様にネットワーク境界(ゲートウェイ)に配置され、セキュリティレベルの向上を目的とするソリューションです。URLフィルタリングやアプリケーションフィルター、アンチウイルス、サンドボックスといった機能を備え、組織内外の不正通信を監視し制御します。
FWaaS(Firewall as a Service)
クラウド型ファイアウォールとして知られるこのサービスは、仮想的にクラウド上で構築されるファイアウォールを提供します。業務環境の変化でネットワークの境界が曖昧になりつつある現在、クラウドサービスを守る重要な役割を果たします。
ZTNA(Zero Trust Network Access)
ZTNAは、「すべての通信を信頼しない」という前提に基づくゼロトラスト・セキュリティ・モデルを活用したリモートアクセスソリューションです。「最小権限の原則」、「高度なユーザー認証」、「端末ごとの信頼性評価」といった特徴を持ち、スケーラビリティや通信性能を維持しつつ、高いセキュリティレベルのアクセスを提供します。
SD-WAN(Software Defined Wide Area Network)
インターネットを介する業務環境への変化に伴い、従来型のWANではその変化に対応しきれなくなっています。この問題に対処するために登場したのがSD-WANで、クラウドを活用し、ネットワーク制御をソフトウェアで行うことにより、企業のニーズに合わせた柔軟なネットワーク環境が実現可能になります。
NaaS(Network as a Service)
複雑化するネットワークの維持にかかるコストが企業にとってますます大きな負担となっており、また、そのための専任人材の確保も一層困難になっています。こうした状況を踏まえ、ネットワークの構築から運用、保守までを一括でアウトソーシングできるNaaSサービスが登場しました。セキュリティ対策を含むサービスもあり、この場合、ネットワークセキュリティ対策を自社で行う負担が最小化されるため、セキュリティ面でも注目を集めています。
IDaaS(Identity as a Service)
クラウド経由で認証関連のサービスを提供するIDaaSは、「ID管理」、「シングルサインオン」、「多要素認証」、「アクセスコントロール」、「ログ管理」などの機能を提供し、煩雑なID管理を効率化しつつ、高いセキュリティを確保します。ここまで紹介したソリューションには、製品ごとに機能が重複または包括的に提供される場合もあり、それぞれの製品が得意とする領域が異なります。そのため、自社のニーズに合ったソリューションを選ぶために、状況をしっかりと分析することが大切です。
SASE導入によるメリット
SASEを導入することで多くのメリットを享受できる。以下、具体的に紹介していきます。
包括的なネットワークセキュリティの実現
SASEは、前述のようにセキュリティ機能とネットワーク機能を統合することで、包括的なネットワークセキュリティを実現します。従来のように社内ネットワークだけで業務を完結させることが難しくなった今、クラウドと社内ネットワークを横断的に監視する必要が生じ、そのためにこのようなソリューションがますます重要になっています。
ネットワークの拡張性と柔軟性
デジタル依存が急速に進展するビジネス環境において、こうした変化に対応するための準備が求められています。SASEのようなクラウドベースのソリューションを活用することで、セキュリティを確保しつつ、拡張性や柔軟性に優れたネットワーク環境を実現できます。
効率的なセキュリティ体制の構築
サイバーセキュリティにおける攻撃対象範囲の広がりにより、その都度セキュリティ体制を見直してきた企業も多いでしょう。このような場合、セキュリティポリシーの統一が難しく、管理業務や現場での効率が低下することもあります。SASEは機能を一元的に提供することで、こうした非効率を改善することが期待できます。
ネットワークトラフィックの効率化
コロナ禍においてVPNが広く活用されましたが、トラフィックの集中が接続の上限を引き起こし、業務に支障をきたすことがありました。SASEでは、ネットワーク機能とセキュリティ機能を統合的に提供することで、セキュリティを確保しつつ、トラフィックの最適化と通信品質の向上を実現し、ネットワーク機器への負荷を軽減します。
SASE選定時の注意点
SASEとして提供されるソリューションは、事業者ごとに異なります。これは、従来製品から発展したソリューションが少なくないためです。FWaaS、SWG、ZTNA、CASBといったソリューションを基盤にした場合、それぞれ運用方法やサービスの特徴が異なることが多いため、注意が求められます。また、先述したメリットも製品によっては得られない場合があるため、導入を検討する際には十分に確認を行うことが必要です。
自社のセキュリティ要件の明確化
業務内容や取引先の違いによって、セキュリティ要件は異なります。例えば、限られた拠点で業務を行う企業と、広範なサプライチェーンを有する企業では、実施すべき対策やその費用負担は大きく異なります。自社のセキュリティの弱点を特定し、どの脅威に対して、どの資産を守るべきかを整理することが不可欠です。それに基づいて、最適な選択を行い、自社のセキュリティポリシーを確立したうえで、適切な手段を取ることが求められます。
SASE導入時のボトルネックの有無
多くの企業や組織は、すでに何らかのセキュリティ対策を講じているはずです。SASEは一元的にサービスを提供するため、既存のセキュリティ対策と導入予定のソリューションや機能が競合する可能性があります。また、レガシーシステムを使用している場合、SASEの導入が不可能な場合もあります。導入を検討する際には、こうしたボトルネックとなる要素を洗い出し、詳細に確認することが必要です。
自社内の運用体制の構築可否
SASEを導入することで、ネットワークとセキュリティの管理を統一することができます。ただし、高度なセキュリティ技術が求められるため、導入時や運用時には一定の専門的な知識やスキルが必要です。そのため、導入検討時には、自社の運用体制が構築できるか、もしくは外部に委託するという選択肢も検討すべきです。
フルマネージドサービスSASEという選択肢
先に述べたように、SASEは多くのセキュリティ機能を一元的に提供し、強固なセキュリティ基盤を実現します。しかし、この高度なセキュリティソリューションは、導入時の設定だけでなく、運用段階での調整も求められます。自社の状況に合わせて各機能を最適化することで、適切な効果を得ることができます。しかし、大企業を除き、運用専任者を配置するのは難しい現状です。セキュリティ人材は非常に不足しており、自社で雇用することも困難です。さらに、コストや時間を考慮すると、社内で人材を育成するのも簡単ではありません。そのため、SASEの導入から運用までを外部に委託するフルマネージドサービスに注目が集まっています。また、SASE導入を検討する際には、企業の中長期的なビジネス戦略も考慮することが重要です。今後の事業展開に向けて、どのように社内体制を整え、業務環境を変革していくべきかを踏まえた上で、セキュリティ要件を定義し、導入を進めるべきです。
