セキュアアクセスサービスエッジ (SASE)
SASEとは

SASE (読み方は「サシー」) は、SD-WAN、ルーティング、WAN最適化などの幅広いWAN機能と、SWG、CASB、ZTNAなどのクラウド提供型セキュリティサービス (セキュリティサービスエッジ (SSE)) を組み合わせたアーキテクチャーです。

リモート会議中のビジネスパーソン
  • SASEの説明
  • SASEの仕組み
  • SASEの構成要素
  • SASEを検討すべき理由
  • 単一ベンダーSASEとマルチベンダーSASEの比較
  • 単一ベンダーSASEプラットフォームとは
  • SASEのメリット
SASEの説明

SASEの説明

ユーザーがさまざまな場所から接続し、クラウド上にある機密データにアクセスする状況で、SASEを利用すると、アプリケーショントラフィックをデータセンターにバックホール転送することなく、セキュリティと柔軟性に優れた接続を実現できます。SASEでは、トラフィックがクラウドにインテリジェントに誘導され、高度なセキュリティ検査がクラウド上で直接実行されます。

SASEは、リモートユーザーの増加や企業によるアプリケーションのクラウドへの移行が進む中、アプリケーションのパフォーマンス向上やネットワークセキュリティ強化のニーズに応えます。

SASEの仕組み
図: SASEの仕組み

SASEの仕組み

SASEは、ブランチに展開された高度なSD-WANエッジと包括的なクラウド提供型セキュリティサービス (SSE) を統合したものです。

従来、ブランチ拠点のアプリケーショントラフィックはすべて、セキュリティの検査と検証を行うため、プライベートMPLSサービス経由で企業のデータセンターに伝送されていました。こうしたアーキテクチャーは、アプリケーションが企業のデータセンターだけでホストされていた場合に適していました。現在ではアプリケーションやサービスのクラウド移行が進んでいるため、従来のネットワークアーキテクチャーでは対処しきれなくなっています。インターネットに送信されるトラフィックは、データセンターと企業のファイアウォールを経由しなければならないため、アプリケーションパフォーマンスやユーザーエクスペリエンスが損なわれてしまいます。

また、クラウドアプリケーションに直接接続するリモートワーカーが増えているため、従来の境界ベースのセキュリティでは不十分な状況になっています。SASEによってWANとセキュリティのアーキテクチャーを変革することで、場所やそれにアクセスするデバイスを問わず、マルチクラウド環境全体でアプリケーションとサービスへの直接かつ安全なアクセスを確保できます。

SASEの構成要素

SASEの構成要素

SASEの主要な構成要素は、高度なSD-WANと包括的なクラウド提供型セキュリティ (セキュリティサービスエッジ (SSE)) です。

SASEをフルに活用するために必要な高度なSD-WANの主な機能は、次のとおりです。

  • 統一された一貫性のあるSASEアーキテクチャーの形成する、SSEソリューションとのシームレスな統合
  • セキュリティポリシーに基づくSSEへのトラフィックのきめ細かな誘導を可能にする、ファーストパケットアプリケーション識別
  • SD-WANパスの多様性を活用し、最も近いSSE Point of Presence (PoP) を自動的に選択する、最適パス選択
  • 複数のリンクを結合し、自動フェイルオーバーをサポートするトンネルボンディング
  • WANの遅延の影響を克服し、パケット損失やジッターの影響を受けることが多いインターネットや無線のリンクの影響を軽減する、WAN最適化と前方誤り訂正 (FEC)
  • パブリッククラウドおよびプライベートクラウドとのエンドツーエンドの接続を提供する、マルチクラウドネットワーキング
  • ブランチ拠点での高度な脅威保護を実現するための、IDS/IPS、DDoS防御、ロールベースのセグメンテーションなどの高度なセキュリティ機能を備えた、組み込みファイアウォール
  • 構成とポリシーの展開および変更のシームレスな実装を自動的に行う、ゼロタッチプロビジョニング

SASEをフルに活用するために必要なSSEの主な機能は、次のとおりです。

  • ZTNA (ゼロトラストネットワークアクセス): デフォルトでユーザーを信用できないものと想定し、最小権限アクセスをサポートし、リモートユーザーにはセキュアなアクセスを提供します。
  • CASB (クラウドアクセスセキュリティブローカー): セキュリティポリシーを適用することで、クラウドアプリケーション内の機密データを保護します。
  • SWG (セキュアWebゲートウェイ): URLフィルタリングや悪意のあるコード検出などの複数の手法を使用して、Webベースの脅威から組織を保護します。
  • FWaaS (サービス型ファイアウォール): クラウドでファイアウォール機能を提供して、さまざまなソースからのトラフィックを分析します。
  • DLP (データ損失防止)、RBI (リモートブラウザー分離)、サンドボックスなどのその他のセキュリティサービス。
SASEを検討すべき理由

SASEを検討すべき理由

  • SASEはハイブリッドワークを保護
    従業員は場所やデバイスを問わずに接続するため、ZTNAはユーザーとデバイスに対して一貫性のあるポリシーとアクセス制御が適用されるようにします。最小権限アクセスをサポートし、デフォルトではどのユーザーも信頼されないようにします。企業ネットワークへの広範なアクセス権を提供するVPNとは異なり、ZTNAは、ユーザーに許可されている特定のアプリケーションまたはマイクロセグメントのみにユーザーアクセスを限定します。
  • SASEはWebベースの脅威からユーザーを保護
    ランサムウェアやフィッシングなどのWebベースの脅威から組織を保護するために、SWGはURLフィルタリング、悪意のあるコードの検出、およびWebアクセス制御を通じたトラフィックの監視および検査を実行し、アダルトコンテンツやギャンブルプラットフォーム、重大なリスクをもたらすことが知られているサイトなど、特定のカテゴリのWebサイトへのアクセスを制限するポリシーを確立します。
  • SASEはSaaSアプリでの機密データを保護
    より機密性の高いデータが、承認されたアプリまたは承認されていないアプリ内のSaaSアプリケーションでホストされるようになりました。クラウドアクセスセキュリティブローカー (CASB) は、クラウドアプリケーション内の機密データの識別と検出、ユーザーアクティビティの監視、シャドーITの検出、データ損失の防止において重要な役割を果たします。
  • SASEはクラウドファーストの組織がネットワークを最新化するのを支援
    従来のアーキテクチャーでは、ブランチオフィスを本社に接続するためにMPLSリンクがよく使用されます。このアーキテクチャーでは、クラウドトラフィックをデータセンターにバックホールしてセキュリティ検査を実行する必要があるため、レイテンシが増加してアプリケーションのパフォーマンスに悪影響を及ぼします。SD-WANを使用すると、組織はトラフィックをブランチオフィスから直接クラウドにインテリジェントに誘導し、ブランチオフィスを本社に接続する堅牢で柔軟な方法を実装できます。
  • ビジネス主導のセキュアSD-WANにより強化されたSASEはIoTセキュリティを提供
    IoTデバイスには基本的なセキュリティ機能は含まれていますが、ZTNAエージェントは含まれていないのが一般的です。セキュアSD-WANソリューションは、次世代ファイアウォール機能を統合することで、SASEの定義の枠を超えることができます。アイデンティティとアクセス制御に基づいてゼロトラストネットワークセグメンテーションを実装し、ユーザーやIoTデバイスがビジネス上の役割に合致したネットワーク上の宛先だけにアクセスできるようにすることができます。
単一ベンダーSASEとマルチベンダーSASEの比較

単一ベンダーSASEとマルチベンダーSASEの比較

ネットワーキングとセキュリティは、密接に関連する領域ですが、それぞれが非常に複雑な異なる専門領域です。セキュリティは変化を続けるサイバーセキュリティリスクから防御するために急速に進化していますが、WANでは高速で安定した柔軟性の高い接続を提供することが重要になります。SASEアーキテクチャーの真の能力は、高度なWANエッジ機能とクラウドで提供される包括的なSSE (セキュリティサービス) を統合することにより発揮されます。

単一ベンダーソリューションとマルチベンダーソリューションのどちらを選択するかは、既存のセキュリティとWANの要件によって異なります。SSEとSD-WANを単一ベンダーのSASEプラットフォームで緊密に統合することで、より迅速な導入、一元管理、一貫性のあるセキュリティポリシー、進化する脅威の状況にシームレスに適応する能力など、多くのメリットがもたらされます。マルチベンダーアプローチは、選択したセキュリティサービスと併せてSASEを導入することや、SASEを既存のセキュリティエコシステムと統合することを望む組織に推奨されます。このようなマルチベンダー環境では、サードパーティのSSEソリューションとのオーケストレーションを自動化して、導入時間を最小限に抑え、管理の複雑さを軽減するSD-WANを選択することが重要です。

単一ベンダーSASEプラットフォームとは

単一ベンダーSASEプラットフォームとは

単一ベンダーSASEプラットフォームでは、複数のセキュリティコンポーネントの管理に伴う複雑さが軽減されます。この統合アーキテクチャーにより、導入が簡素化されるだけでなく、統一されたセキュリティポリシー、一元管理、一貫性のあるゼロトラストアクセスが確保されます。主な機能として、次のようなものがあります。

  • クラウドネイティブアーキテクチャーとスケーラビリティ
    単一ベンダーSASEプラットフォームは、クラウドネイティブアーキテクチャーで設計されており、クラウドコンピューティングのスケーラビリティとアジリティが活用されています。このアーキテクチャーにより、組織はトラフィック需要に基づいてリソースを動的に割り当てることができるため、より効率と適応性に優れたネットワークを実現できます。
  • グローバルなネットワーク体制
    単一ベンダーSASEプラットフォームは、地理的に分散したPoint of Presence (PoP) を通じてグローバルなネットワーク体制を提供して、ユーザーがどこにいても一貫したパフォーマンスと低レイテンシを確保できるようにします。これにより、PoPの管理が簡素化され、マルチベンダーSASEアプローチで必要とされる複数のPoPが不要になります。
  • ポリシーの一元管理
    単一ベンダーSASEプラットフォームでは、すべてのセキュリティポリシーを単一のインターフェイスで管理するため、運用が合理化されるとともに複雑さが軽減されます。これにより組織は、一貫性のあるポリシーを効果的に導入および適用できるようになります。
  • 一元化されたUI、包括的なダッシュボード
    単一ベンダーSASEプラットフォームにより、ITチームは一元化されたユーザーインターフェイスでネットワークおよびセキュリティのすべての操作を管理できるようになり、ネットワークトラフィック、セキュリティイベント、ポリシー適用の可視性が向上します。レポート機能が強化され、組織は規制要件や業界標準への準拠を実証できるようになります。
  • SASE機能の組み合わせ
    単一ベンダーSASEプラットフォームを使用すると、組織は複数のSASE機能を容易に組み合わせてセキュリティポスチャを強化し、単一パスでトラフィックを検査できるようになります。SSL検査は1回で済むため、パフォーマンスが向上し、複雑さが軽減されます。さらに、SWGとCASBをDLPと組み合わせることで、組織はユーザーアクティビティをより適切に監視して、機密データの漏えいを防ぎ、Webアクセスをさらにきめ細かく制御できるようになります。
  • AIOps
    単一ベンダーSASEソリューションには、接続しているユーザーとデバイスの可視性を向上させ、適応型アクセス制御を可能にするAI機能が含まれています。よくあるトラブルシューティング作業を自動化し、よくあるネットワークの問題を診断するとともに、将来の脅威やパフォーマンスの問題を予測するための予測分析を提供します。
SASEのメリット

SASEのメリット

SASEは単なる流行りのバズワードではありません。企業はSASEアーキテクチャーを利用して重要なビジネス上のメリットを実現できます。

  • セキュリティの強化
    クラウドファーストモデルを導入する際に、SASEを利用することで、ネットワーク全体で一貫性のあるセキュリティポリシーを適用し、セキュリティ検査をクラウド上で行うことができます。リモートアクセスに対するセキュリティを確保し、悪意のある脅威から企業データを保護します。
  • ビジネスの生産性と顧客満足度の向上
    SASEアーキテクチャーを実装することで、組織は高度なSD-WAN機能を基盤に自社のネットワークインフラストラクチャを合理化できます。SD-WANを導入することで、従来のルーターベースのネットワークの複雑さと柔軟性の欠如が解消されます。デジタルトランスフォーメーションに必要な柔軟性が得られ、アプリケーションのパフォーマンスと信頼性が大幅に向上します。
  • ゼロトラストセキュリティモデル
    SASEでは、ゼロトラストセキュリティモデルが採用されているため、リソースへのアクセス権を付与する前にユーザー証明の検証を継続的に要求します。従来のセキュリティモデルでは高度なサイバー脅威から保護するのに十分ではなくなった今日の脅威の状況において、ゼロトラストは特に重要です。

AI搭載のUnified SASE

AI搭載のHPE Aruba Networking Unified SASEを活用すれば、エンドユーザーのエクスペリエンスを向上させながら、最新のワークプレイスのセキュリティを確保し、アプリケーションやデータへのシンプルでセキュアな場所を問わないアクセスを実現できます。

関連トピック

SSE (セキュリティサービスエッジ)

ネットワークセキュリティ

セキュアSD-WAN

マルチクラウドネットワーキング