コラム
SASEとは何か?
従来型セキュリティからの進化とクラウド時代の必然性
企業のDX推進により、クラウドサービスとリモートワークが急速に広がっています。一方で、様々な場所からのアクセスや、複雑になったクラウド環境での統一的なセキュリティ確保など、従来の境界型セキュリティでは対応しきれない問題が出てきました。こうした課題を解決するのが「SASE(サシー)」です。
SASEは、ネットワーク機能とセキュリティ機能をクラウド上で統合提供する新しいソリューションです。クラウド時代に必要なセキュリティ要件を満たしながら、性能向上とコスト削減を両立させます。本記事では、SASEの基本的な仕組みから導入メリット、注意点まで詳しく解説します。
目次
SASEとは
SASE(Secure Access Service Edge)は、2019年にガートナー社が提唱した新しい考え方です。ネットワークとセキュリティの機能をクラウド上で統合提供することが最大の特徴であり、これらをまとめてソリューションとして提供します。
場所やデバイスに関係なく、ユーザーの近くにあるSASEの『エッジ』でセキュリティチェックとネットワーク最適化を行います。従来のセキュリティでは社内外を境界で防御していましたが、クラウドサービスの普及によりこの境界が曖昧になりました。
SASEは、すべてのアクセスを一度クラウド上で検証してから接続を許可する仕組みを採用し、地理的に分散したエッジロケーションからサービスを提供します。これにより、セキュリティを強化しながらネットワーク性能の向上も同時に実現できます。
SASEがクラウド時代に必要とされる背景
企業のIT環境と働き方の変化により、従来のネットワークセキュリティでは対応が難しい課題が表面化しています。特に、 新型コロナウィルスをきっかけとしたリモートワークの急速な普及により、これらの課題は一層深刻になっています。
企業のネットワーク利用の変化
従来は本社・支社からVPN経由でデータセンターにアクセスする集中型の構成が一般的でした。しかし現在は、従業員が自宅や外出先からインターネット回線で直接クラウドサービスにアクセスする分散型の利用が主流です。
Microsoft 365、Google Workspace、Salesforceなどのクラウドサービスへは、従来のVPN経由ではなく直接インターネット経由でアクセスすることが多い傾向があります。すべての通信をデータセンター経由で処理する従来の仕組みでは、ネットワークの遅延や処理の詰まりが起きやすくなりました。
特に海外のクラウドサービス利用時には大幅な遅延が発生します。さらに従業員が使用するデバイスも、会社支給のパソコンから個人のスマートフォンやタブレットまで多様化しています。
SASEとゼロトラストとの違い
ゼロトラストは「何も信頼せず、すべてを確認する」というセキュリティの考え方です。一方、SASEはゼロトラストを実現するための具体的な技術ソリューションです。ゼロトラストが「何を実現すべきか」を示し、SASEが「どのように実現するか」を提供します。
ゼロトラストの基本原則は、すべてのユーザーとデバイスを確認すること、毎回認証と認可を行うこと、必要最小限の権限のみを付与すること、すべての通信を監視することです。これらは、NIST(米国国立標準技術研究所)が提唱する「7つの柱」から、ゼロトラストを実践する上で特に重要かつ理解しやすい中核的な概念を抽出し、分かりやすく集約したものです。SASEはこれらの原則をクラウド上でユーザー認証、デバイス認証、アクセス制御、脅威検知として統合的に実装します。
つまり、ゼロトラストは「考え方」、SASEは「実現手段」です。企業がゼロトラストセキュリティを導入したい場合、SASEは有力な選択肢の一つです。
出典:NIST/ Zero Trust Architecture
SASEとCASBとの違い
CASB(Cloud Access Security Broker)は、クラウドサービスの利用状況を見える化し、制御するソリューションです。主な機能は、利用状況の把握、承認されていないクラウドサービス(シャドーIT)の検出、データの暗号化、アクセス制御とユーザー行動の監視です。
一方、SASEはCASB機能に加えて、ネットワーク接続の最適化、統合的なセキュリティ機能、ゼロトラストアクセス制御なども含む包括的なソリューションです。CASBが「クラウドサービスのセキュリティ」に特化しているのに対し、SASEは「ネットワーク全体のセキュリティと性能」を統合的に管理します。
企業の視点から見ると、CASBは既存ネットワークへの追加ツール、SASEはネットワークインフラそのものを新しいアーキテクチャに置き換えるアプローチです。
SASEの主要コンポーネント
SASEは以下の主要コンポーネントで構成されています。
| コンポーネント | 機能概要 |
|---|---|
| SD-WAN | ソフトウェアで定義されたWAN接続を最適化し、 複数回線を効率活用 |
|
FWaaS |
クラウド上でファイアウォール機能を提供し、 アクセス制御を実行 |
|
SWG |
Webアクセスを監視・制御し、 マルウェアや不正サイトから防御 |
| CASB | クラウドサービス利用状況を可視化し、 データ保護を支援 |
|
ZTNA |
ゼロトラスト原則でユーザー・デバイスを認証後アクセス許可 |
|
DLP |
機密データの外部流出を検知・防止し、 情報漏えいリスクを軽減 |
これらの機能は統合されたプラットフォーム上で連携して動作します。例えば、ユーザーがクラウドサービスにアクセスする際、ZTNA、SWG、CASB、DLPが自動的に連携し、多層的なセキュリティチェックを実行します。この統合的なアプローチにより、個別のセキュリティツールでは実現できない包括的な保護を提供できます。
SASEを導入するメリット
SASE導入によって得られる具体的なメリットを4つの観点から説明します。従来のネットワークセキュリティアーキテクチャと比較して、SASEは多方面にわたる改善効果をもたらします。現代企業にとって、これらのメリットは業務効率向上と競争力強化に直結するでしょう。
テレワークやクラウドの利用によるネットワーク遅延防止
従来はVPN経由でデータセンターを通る必要がありましたが、SASEではユーザーに最も近い場所から直接クラウドサービスにアクセスできるため、ネットワーク遅延を大幅に削減できます。
世界各地のエッジロケーションにより、どの地域からでも最適な性能を得られ、Web会議品質の向上、アプリケーション応答速度向上、ファイル転送時間の短縮などの効果が期待できます。
サイバー攻撃や情報漏えいに対するセキュリティ強化
SASEは、FWaaSやSWGなどの高度なセキュリティ機能により、マルウェア、フィッシング、DDoS攻撃といった様々なサイバー攻撃から企業を守れます。従来は各拠点に個別設置していたため、セキュリティレベルに差が生じたり、新しい脅威への対応が遅れたりするリスクがありました。
SASEでは、すべてのトラフィックがクラウド上の統一されたセキュリティエンジンを通過するため、全社で一貫したセキュリティポリシーを適用できます。クラウド上で常に最新の脅威情報が更新され、AI活用により不審なアクセスを自動的にブロックします。
コスト削減
クラウドベースのサブスクリプションモデルにより、ハードウェア調達費用やソフトウェアライセンス費用を削減できます。従来のオンプレミス型では、ハードウェア調達費用やソフトウェアライセンス費用だけではなく専門IT担当者の人件費などが発生していました。
SASEでは、ハードウェア購入が不要で月額または年額の利用料金のみで最新のセキュリティサービスを利用できます。機器故障による突発的な費用や技術革新による陳腐化リスクもなく、複数のセキュリティソリューションを統合することで管理工数の削減効果も期待できます。
柔軟な拡張性
企業の成長や変化に応じて柔軟にスケールできることもSASEを導入するメリットの一つです。新拠点開設や従業員増加にも迅速対応し、新機能もクラウド経由で全拠点へ即座に展開されます。従来のオンプレミス型では、新拠点開設時に機器の調達、設置、設定に数ヶ月を要することがありました。
SASEでは、新拠点からインターネット接続を確保するだけで、全社と同じセキュリティレベルのサービスを利用開始できます。
SASE導入の注意点
SASE導入を成功させるために事前に検討すべき重要なポイントを解説します。SASEはネットワークインフラの根本的な変革を伴うため、十分な準備なしに導入すると大きなリスクを抱えることになります。適切な計画と準備により、導入時のリスクを最小化し、期待される効果を確実に実現できるでしょう。特に、移行戦略とネットワーク基盤の整備が成功の鍵です。
入念な移行計画を策定する
SASE導入は、ネットワークの仕組みを根本的に変える取り組みです。既存システムからの移行には、詳細な計画と段階的な進め方が重要で、現在のネットワーク構成分析、業務への影響評価、リスク評価のもとで移行スケジュールを立てる必要があります。
まず、現行システムの詳細な棚卸しを行い、どのアプリケーションがどのネットワーク経路を使用しているかを把握することが重要です。業務継続性を確保しながら、パイロット導入として影響範囲の限定された部門から開始し、段階的に全社展開していくアプローチが推奨されます。
移行期間中は従来システムとSASEの並行運用が必要になるため、運用手順の策定、担当者のトレーニング、緊急時対応手順の整備も欠かせません。
安定したネットワーク環境を構築する
SASEはクラウドサービスのため、インターネット接続の品質がサービス安定性に直接影響します。ネットワーク障害は業務継続に大きな影響を与える可能性があるため、複数回線での冗長化や高品質なネットワークサービスの選定、SLA(サービスレベル合意)の十分な確認が重要です。
インターネット回線の冗長化では、異なるキャリアの回線を組み合わせることで単一障害点を排除できます。回線品質の監視ツール導入により、リアルタイムでネットワーク状況を把握する体制整備も重要です。SASEプロバイダーとのSLAでは、可用性、応答時間、障害時復旧時間などの具体的数値を確認する必要があります。
災害時や大規模障害時には事業継続計画(BCP)の見直しを行い、SASEを前提とした対応手順の策定も必要なポイントです。
まとめ
SASEは、クラウド時代の企業が直面するネットワークセキュリティの課題を解決する新しいソリューションです。テレワークの普及、クラウド利用の拡大、サイバー攻撃の高度化といった環境変化に対応するため、SASE導入は組織にとって重要な選択肢です。
ネットワーク遅延の改善、セキュリティ強化、コスト削減、柔軟な拡張性といった様々なメリットを得られる一方で、入念な移行計画と安定したネットワーク環境の構築が成功の鍵となります。企業の規模や業種に関わらず、デジタル変革を推進する上でSASEは重要な基盤技術です。
新時代に適応したネットワークセキュリティの課題を解決したい企業には、AGSが提供するSASE『Verona』がおすすめです。本サービスは、フルマネージドで運用負荷を大幅に軽減し、あらゆる通信経路の保護とボトルネック解消を通じて、お客様のデジタル変革を力強く支援します。専門的な知識と手厚いサポート体制で、安心してSASE導入を進められます。
