働き方

2022年2月18日

2022年7月13日

SASEとは?クラウド時代に誕生した新概念の定義とメリット

近年注目されているセキュリティ対策に「SASE」(サシー)があります。SASEとは、どのようなものなのでしょうか。実は、SASEはセキュリティ対策だけでなく、ネットワークの最適化や、管理業務の負荷軽減といったメリットもあるのです。本記事では、SASEの概要やメリットについて解説します。

SASEとは?

SASE(Secure Access Service Edge)は、2019年にイギリスのガートナー社が提唱、定義したネットワークセキュリティモデルです。ネットワークとネットワークセキュリティ機能を、包括してクラウドから提供するモデルであるため、セキュリティやネットワークなどの管理負荷を低減することができます。
SASEは、「どこにいても、どの端末にもセキュリティを提供する」を目標に掲げています。この目標に沿った総合的なセキュリティ対策製品こそ、SASEソリューションというわけです。
なおSASEという言葉の「E(Edge)」は「端」という意味ですが、パソコンなどの端末を指すわけではありません。企業のネットワークの出入り口や、クラウドサービスの接続拠点などをいいます。SASEはこのEdgeを守り、最適化するサービスなのです。

SASEの概念が誕生した背景

現在、企業のクラウドサービス導入が加速していますが、これまで主流であったセキュリティ対策では企業を守りきれないことは課題でした。企業内ネットワークを外部ネットワークから侵入する脅威から守るという考えでは、そもそも社外にあるクラウドサービスの利用は管理や保護ができないからです。クラウドサービスは自宅や外出先など、あらゆる場所からの接続と利用が可能であるにもかかわらず、それに合わせたセキュリティ対策が難しいという状況は、深刻な問題です。
ガートナー社はこうした背景から、従来のセキュリティ対策ではなく、ネットワークとネットワークセキュリティの統合が必要と考え、SASEを提唱したのです。

SASEと他の用語の違い

SASEがどのようなものかを知るために、ここでは混同しがちな3つの用語と比較し、解説します。

SASEとゼロトラストの違い

ゼロトラストは、すべてのアクセスを信用しないという考えに基づいたセキュリティモデルです。
SASEと同じく、企業内ネットワークだけを守る従来のセキュリティ対策では、クラウドサービスの利用や外部ネットワークだけで完結する業務について、対策が不十分という考えから生まれました。

ゼロトラストは、セキュリティ対策に対する理念で、対するSASEはセキュリティの具体策です。したがって、ゼロトラストの理念を実現する近道は、SASEの導入といえるのです。なお、SASEの機能には、ゼロトラストに加えてユーザーの利便性と、管理負荷の低減までが含まれています。

▶参考:ゼロトラストの基礎知識・注目される背景とは?

SASEとCASBの違い

CASB(キャスビー:Cloud Access Security Broker)は、2012年にガートナー社が提唱したコンセプトで、主にクラウドサービスを利用する際のセキュリティを強化する考え方です。ユーザーと複数のクラウドサービスの間に一つのポイント(=Edge)を設置。利用の可視化と制御を行うことで、一貫性のあるセキュリティポリシーを適用するものです。SASEにはCASBの機能が内包されていているものも存在します。

SASEとDLPの違い

DLP(Data Loss Prevention)は、機密情報やデータの外部漏洩や、紛失を防ぐためのシステムです。データそのものを監視するもので、その範囲はサーバー内のファイルや、データベース内のデータにまで及びます。
例えばUSBメモリにデータをコピーして持ち出そうと試みると、それを停止させたり、警告を発したりすることが可能です。SASEにおいてもこうした対策は重要となります。DLPも、SASEに含まれる一つの機能なのです。

SASEに含まれる主な機能

それではSASEには、どのような機能が含まれるのでしょうか。ここでは機能を大きく2つに分け、それぞれ3つずつ紹介します。

①ネットワーク関連機能(Network as a Service)

まずSD-WAN(Software Defined Wide Area Network)です。WAN(Wide Area Networkの略で、世界中のインターネットを接続しているネットワークのこと)は、海外子会社などのLAN同士を接続するために使われるものです。SD-WANはWANの構成を遠隔から柔軟に変更したり、トラフィックコントロールを行ったりするもので、安定した通信環境を維持できます。また、それ以外にも、重要な通信かどうかを自動で判別し、セキュリティの高い回線を選択するといったことも可能です。

つぎにWAN Optimizationです。近年、クラウドサービスの利用が増えたことにより、ネットワーク負荷は増大しています。そのため、WANの通信量も増え、スムーズに接続するための帯域も不足気味です。WAN Optimizationを行うことにより、データの圧縮や一時保存や、重複するデータの削除、画像圧縮などを行い、ネットワークへの負荷を減らします。

最後にCDN(Contents Delivery Network)です。CDNは、アクセスの集中によって、ダウンロードが遅くなるといった状況を解決するための仕組みです。ダウンロードしたいデータを、ひとつのサーバーに置くのではなく、コピーを複数のサーバーに分けて配置し、負荷を分散させます。海外など、拠点がネットワークから遠い場合にも、CDNは力を発揮します。よりネットワークに近い場所にキャッシュサーバーを設置することで、遅延を減らすのです。

②セキュリティ関連機能(Security as a Service)

まずWAF/WAAP(Web application firewall/Web Application and API Protection)です。
WAFは、データベースへの攻撃方法の一種であるSQLインジェクションや、クラウドサービスやWebアプリケーションへの攻撃(XSSなどのサイトスクリプティング)から保護する機能を備えています。
WAAPはWAFの機能に加え、Webアプリケーションと接続してデータを利用するための仕組みを用いてAPIを標的とする攻撃から保護する機能を備えています。また自動でWebアプリケーションなどに攻撃を行うBotを検知して通信をブロックする機能や、複数の端末から多量のアクセスを行ってサーバーを攻撃するDDoS攻撃から保護する機能などを備えています。

▶参考:DDoS攻撃について詳しくはこちら

つぎにFWaaS(Firewall as a Service=)です。次世代型ファイアウォールとも呼ばれています。ファイアウォールは、企業内ネットワークとインターネットの間でトラフィックをコントロールしてブロックなどを行うものですが、FWaaS は、URLフィルタリングや高度な脅威の防止、不正侵入防止システムなどを備えた、クラウドで提供されるファイアウォールです。FWaaSによって従来のファイアウォールを簡素化しつつ、クラウドサービスの利用や自宅からのアクセスに対しても、一貫したセキュリティポリシーの適用を実現できます。

SWG(Secure Web Gateway)は、Webアクセスに関する複数のセキュリティ機能を持っています。例えばインターネット通信において、マルウェアや危険なURLの識別が可能です。Webサイトへのアクセスやファイルのダウンロードなどを確認し、フィルタリングするため、業務で使用するパソコンの通信を保護できるのです。

SASEにはこのほかにも、先に挙げたCASBやDLPなどを内包するものもあります。一方で、SASEの機能はまだ発展途上であるため、今後機能が追加されることも十分考えられます。また、実際の業務に照らし合わせ、不足している機能がある場合は、個別に機能を導入するといったことも必要です。

SASE導入のメリット

それではSASEの導入にはどのようなメリットがあるのでしょうか。ここでは導入して得られるメリットを5つ紹介します。

①セキュリティを強化できる

従来のセキュリティ対策では対応できなかった、クラウドサービスや社外から社外への通信についても対応できるため、セキュリティを強化することができます。そのほか、データの持ち出しの監視・制限が可能となるため、企業全体のセキュリティは大きく向上するでしょう。

②アクセス遅延の低減により、生産性向上につながる

セキュリティ機能に注目されがちなSASEですが、既述のとおり、ネットワークに対するさまざまな効率化が図られます。このためアクセス遅延といった問題は解消され、生産性の向上につながります。

③コストを削減しやすい

遠隔でのネットワーク監視や制御により、管理コストと工数は大きく削減できます。また、パッケージ化されたSASEソリューションを導入すれば、これまでセキュリティ対策製品を個別に購入してきたときに比べ、利用料金の削減も可能です。また、ネットワークが安定し、遅延がなくなることにより、監視業務や対応作業の手間も減らせるでしょう。

④一元管理によりシステムへの負荷を軽減できる

SASEを導入すれば、システム全体の一元管理ができます。SASEがすべてのセキュリティ機能を提供できるからです。このため、個別に対応しなければならなかった従来の運用負荷が削減できます。

⑤働き方改革に対応したネットワーク環境を構築しやすい

企業内を守ることを前提とした従来のセキュリティ対策と異なり、クラウドサービスの利用や、社外から社外へのアクセスも監視・管理が可能です。こうしたアクセスは、社内だけで完結するアクセスと同一のセキュリティポリシーを適用できます。これによりさまざまなニーズに対応したネットワーク環境が構築しやすくなり、働き方改革に必要なリモートワークなどへの対応も容易です。

SASE導入時の注意点

①SASEを過信しない

SASEはまだ新しいモデルです。そのため、提供されているSASEソリューションごとに、搭載される機能が異なります。自社に必要な機能が搭載されているかを把握し、もし不足しているのであれば、個別に対応しましょう。

②社内との通信を考慮する

社内システムとSASEを併用する場合、社外から社内へのアクセスを許可する必要があります。社外からのアクセスには、社員が業務で利用する正しいアクセスと、第三者が侵入を試みる不正なアクセスがあります。したがって、社内アクセスへの認証については確実に対応しなければなりません。認証機能はSASE製品で対応できるものもあり、それを利用するか、社内システム側で対応する必要があります。

③SASEそのもののトラブルもある

SASEはクラウドサービスですから、これまでのセキュリティ対策とは違うトラブルも発生する可能性もあるでしょう。例えば、SASEそのものがサイバー攻撃を受けた場合です。また、SASEが利用するネットワークの障害やSASEそのものの障害、そしてサイバー攻撃などによりSASEが利用できなくなると、自社の業務が行えなくなる事態も考えられます。

④従来のセキュリティ対策との併用や置き換え

従来のセキュリティ対策とSASEを併用したり、SASEに置き換えたりする必要がありますが、これには時間とコストが掛かります。対症療法的に増やしてきたセキュリティ対策や、自社独自の対策、部署独自の対策などを、検証もなしにSASEへ置き換えることはあまりにも危険です。そのため、SASEだけで問題ないのか、また併用すべき既存のセキュリティ対策はどれなのか、さらに併用時にはどのような問題があるかなどをしっかりと検証してから、導入を進める必要があります。

SASEはクラウドやリモートワークに対応した総合セキュリティ対策

SASEはクラウドサービスの利用や、リモートワークに対応した、クラウド型の総合セキュリティ対策です。ネットワークの監視や管理も行って最適化するため、ネットワーク遅延といった問題も解消できます。
一方で、自社で利用するクラウドサービスそのもののセキュリティ対策が甘ければ、SASEの導入もムダに終わってしまうでしょう。

高いセキュリティ機能を持ったクラウドサービスに、電子契約システム「電子印鑑GMOサイン」があります。データの暗号化や、ログイン認証など、契約書という大切な書類を扱うのに必要な機能が備わったクラウドサービスです。
SASEの導入を検討する前に、まずは高いセキュリティを持ち合わせたクラウドサービスの利用を通じてクラウド時代のセキュリティを体験してみるのも良いでしょう。電子印鑑GMOサインのセキュリティ対策について、詳しくはセキュリティ体制のページでご紹介していますので、あわせてご参考ください。

電子サイン・電子契約ならGMOサイン
電子サイン・電子契約ならGMOサイン

関連記事

ハンコ脱出作戦 編集部

筆者

ハンコ脱出作戦 編集部

このライターの記事一覧を見る

電子サイン・電子契約ならGMOサイン
  • 電子印鑑GMOサインが選ばれる理由
  • 電子契約とは
  • 脱印鑑ブログ 公式Twitter

公式SNS

電子印鑑GMOサインのサービス情報や電子契約に関わる様々な情報を配信!

電子サイン・電子契約ならGMOサイン

「ハンコ脱出作戦」とは?

日本の脱印鑑文化を応援するブログメディアです。
電子印鑑GMOサインのサービス情報や電子印鑑、電子契約の最新情報をお伝えしています。

電子契約サービスを検討中の方向けに、
役立つ資料を提供しています。

電子契約サービスの基礎知識や選び方、導入ステップなどを分かりやすく紹介しています。
無料でダウンロードいただけます。ぜひご活用ください。

資料請求

印鑑の完全廃止に関するグループの取り組みと関連リンク集

印鑑の完全廃止に関するグループの取り組みと関連リンク集