SASEとゼロトラストの違い

本章ではSASEとゼロトラストの意味、またそれらの違いを詳しく解説します。

・SASEとは
・ゼロトラストとは
・SASEとゼロトラストの違い

それぞれ、詳しくみていきましょう。

（１）SASEとは

SASE（​​Secure Access Service Edge）とは、セキュリティとネットワークを融合した、新しいセキュリティフレームワークです。2019年に米ガートナー社が提唱しました。

従来のセキュリティは、社内ネットワークとインターネットをファイアウォールやプロキシサーバで区切って、社内のセキュリティを守る境界型セキュリティと呼ばれます。

一方、クラウドサービスの普及で境界型セキュリティでは対応できなくなり、注目されているのが「SASE」です。

SASEは、ネットワーク機能とセキュリティ機能をまとめて1つの製品とし、クラウド上で一元管理します。

具体的には、SWGやSD-WANなどの複数のネットワークソリューションやセキュリティソリューションを組み合わせてSASEを構築します。

（２）ゼロトラストとは

ゼロトラストとは、ゼロトラストセキュリティモデルとも呼ばれ、「決して信頼しない」という考え方のセキュリティモデルです。

従来の境界型セキュリティでは、社内は安全として外部のインターネットからのサイバー攻撃から社内システムを守ることが一般的でした。

一方、近年のクラウドサービスやテレワークの普及で、場所や端末によらずどこからでもアクセスできるようになっています。

セキュリティリスクは社内外関わらずどこにでもあるため、「全てのアクセスを信頼しない」として全てのアクセスについて監視や検証を行う考え方がゼロトラストです。

（３）SASEとゼロトラストの違い

SASEとゼロトラストはセキュリティ対策という大きな括りでは同じですが、明確に違う点があります。

ゼロトラストがセキュリティを構築するための概念であるのに対し、SASEはセキュリティ強化のためのソリューションをまとめたフレームワークという点です。

SASEはゼロトラストの考えを前提としているため、ゼロトラストを実現するためのソリューションを組み合わせた仕組みがSASEという関係になります。

SASEが注目される背景

SASEが注目されている背景は2つあります。

・クラウド移行によるセキュリティ強化の必要性
・従来型ネットワークの遅延

それぞれ、深ぼって説明します。

（１）クラウド移行によるセキュリティ強化の必要性

SASEが注目される背景は、社内の情報資産がクラウド移行することによる、セキュリティ強化の必要性があることです。

近年急速にDXが広がり、それに伴い社内の情報資産もクラウドサービスに移動しています。

総務省が2021年9月に行った調査では、70.4％の企業がクラウドサービスを利用しているということです。クラウドサービス利用の用途は「ファイル保管・データ共有」が多く、多くの企業で情報資産のクラウドシフトが進んでいると考えられます。

（参考：令和３年通信利用動向調査）

クラウドサービスは、外出先やテレワークの端末からでも外部ネットワークを通してアクセス可能です。そのため、従来の社内の資産だけ守る境界型セキュリティでは対応できません。

SASEでは、アクセスの時に認証を行い脅威を検知したアクセスをブロックできます。SASEは、このようにクラウドサービスのネットワークセキュリティに対応できるため注目されているのです。

（２）従来型ネットワークの遅延

従来の境界型セキュリティでは、企業の情報資産はデータセンターなどの社内ネットワーク内に保管されていました。

外部インターネットへの通信も、全てデータセンターを窓口としてアクセスする仕組みです。

そのため、Web会議や動画配信などにアクセスするとデータセンターにトラフィックが集まりネットワークが遅延するということも起こり得ました。

SASEでは、用途に合わせて接続先を選べる「インターネットブレイクアウト」という機能があります。

それにより、データセンターを経由せずに直接インターネットに接続できるため遅延のストレスなく業務ができるのです。

SASEを導入するメリット3つ

ここでは、SASEを導入するメリットを3つ紹介します。

・ネットワーク遅延の軽減
・一元管理による情シスの負荷を削減
・セキュリティの強化

それぞれ、詳しくみてみましょう。

（１）ネットワーク遅延の軽減

SASEは、大量のトラフィックによるネットワークの遅延を軽減可能です。

従来のデータセンターが中心のネットワークでは、大量通信を想定していないため遅延がよくありました。

一方、SASEでは直接インターネットに接続するため、ネットワークの遅延の軽減や通信品質劣化の防止できます。

理由は、SASEにはSD-WANと呼ばれるインターネットブレイクアウトの機能を持つソリューションが含まれるからです。

（２）一元管理による情シスの負荷を削減

SASEでは、クラウド上でソリューションを一元管理できるため情シスの負荷を削減できます。

ネットワークやセキュリティサービスは多数あるため、従来は認証システム、VPNシステムなど、機能を満たすシステムをバラバラに管理していました。

複数のシステムがあると、一つひとつにセキュリティポリシーの設定が必要なので管理が大変です。

SASEではクラウドでネットワーク・セキュリティをまとめて提供します。

ネットワークの簡素化や、セキュリティ管理を一元化できることで、情シスの管理の負担を削減が期待できるでしょう。

（３）セキュリティの強化

SASEの導入は、セキュリティの強化にもつながります。

SASEを導入すると、ユーザーはSASEのクラウドプラットフォームを経由して外部にアクセスします。

まずSASEへ認証し、クラウドサービスや社内ネットワークへのアクセスにも統合認証基盤で認証するためセキュリティが強固です。

また、クラウドサービスの利用状況を監視したり、不正アクセスを検知して端末を隔離したりできるため、情報漏洩などのセキュリティリスクから守ります。

SASEとCASBの違い

SASEと同様に、CASB（キャスビー）もよく耳にするのではないでしょうか。

SASEはソリューションを組み合わせたフレームワークで、CASBはSASEを構成するソリューションの1つです。

CASBとは、安全なクラウドサービスの利用を実現するソリューションのことです。

具体的には、従業員のクラウドサービスの利用を監視・制御したり、マルウェアの感染を検出・防御したりします。

CASBは独立したソリューションですが、SASEのセキュリティ要素を担う1つの中核機能として、SASEのソリューションに含まれる場合もあります。

SASEの代表的な5つのソリューション

SASEを構成する代表的なソリューションは、以下の5つです。

・SD-WAN
・ZTNA
・CASB
・FWaaS
・SWG

それぞれ、詳しくご紹介いたします。

（１）ネットワーク構成要素：SD-WAN

SD-WANは、「Software Defined-Wide Area Network」の略で、WAN上に仮想的なWANを構築し、ソフトウェアで制御するサービスです。

物理回線を可視化しトラフィックをコントロールします。拠点間接続の場合は「インターネットVPN」ビデオ会議は「クローズドVPN」など、用途によって回線を切り替え通信速度を最適化できます。

また、前述したようにデータセンター経由の通信と外部のインターネットを利用した通信を切り分けて使える「インターネットブレイクアウト」も可能です。

（２）セキュリティ構成要素：ZTNA

ZTNA（ゼロトラストネットワークアクセス）は、従来のVPNの通信遅延や脆弱性の課題を解決するソリューションです。

ユーザーからのアクセスが発生するたびにユーザーや端末のセキュリティ状態がチェックされ、登録した条件に基づいて社内情報資産へのアクセスが許可されます。

（３）セキュリティ構成要素：CASB

CASB（Cloud Access Security Broker）はクラウドサービスの利用を可視化・制御して一貫したセキュリティポリシーを適用するサービスです。

企業と複数のクラウドサービスの間に1つのコントロール（制御）ポイントを設けます。CASBの機能には以下の4つがあります。

・可視化と分析：クラウドサービスの利用状況を可視化
・コンプライアンス：複数のクラウドサービスに単一のセキュリティポリシーを設定
・データセキュリティ：データの暗号化などの情報漏洩対策
・脅威防御：マルウェアや以上を検知して隔離

シャドーIT問題の対策に利用されます。

（４）セキュリティ構成要素：FWaaS

FWaaS（Firewall as a Service）は、クラウド型ファイアウォールです。以下のような機能があります。

・URLフィルタリング
・高度な脅威防止
・不正侵入防止システム（IPS）
・アプリケーション制御

従来のファイアウォールより高度な機能を持つ、次世代ファイアウォール（NGFW）を提供しています。

（５）セキュリティ構成要素：SWG

SWG（Secure Web Gateway）とは、クラウド型で提供されるプロキシです。

プロキシは、ネットワークの境界で、ログの集積やネットワークの検疫・クライアントに代行してのアクセスなどの機能を持ちます。

SWGの機能には以下のようなものがあります。

・IPアドレスの匿名化
・アンチウイルス
・サンドボックス
・URLフィルタリング
・DLP

CASBと似ていますが、CASBはクラウドサービス利用に関するセキュリティを管理するのに対してSWGは外部Webサイトへのアクセスに伴う通信のセキュリティを管理します。

SASEによるゼロトラスト実現のポイント

SASEは複数のソリューションから構成されるため、一気に全てを導入するのは現実的ではありません。

ここでは、SASEによるゼロトラスト実現のポイントを3つ解説します。

・ゼロトラスト全体を見据えて長い視点で導入計画をたてる
・機能ごとに段階的に導入する
・他のセキュリティソリューションと連携する

それぞれ、詳しく紹介します。

（１）ゼロトラスト全体を見据えて長い視点で導入計画をたてる

まず初めに、ゼロトラスト全体を見据えて長期間の導入計画を立てます。

SASEによるゼロトラスト実現には数年かかるので注意が必要です。

また、SASEは広範囲に及ぶため、全ての機能を実装しようとすると1社のベンダーだけでは難しく、複数ベンダーの製品を組み合わせる必要があります。

そのため、ゼロトラスト全体を見据えて「自社は現在どの要素が欠けているか」「どのポイントから優先して導入すれば良いか」検討し、長期的に計画をたてましょう。

（２）機能ごとに段階的に導入する

ゼロトラストの導入方法に明確な手順はありませんが、計画で分析した会社の課題によって機能ごとに段階的に導入することをおすすめします。

例えば、最初のステップとしてまずID基盤（IDaaSやIAM）を構築し、次にデバイス統制（MDMやEDR）を構築、その後にセキュアな通信（ZTNA）を構築します。手順を踏んで、脱VPNを図るといったことがおすすめです。

他にも、ID基盤とSaaS管理・セキュアな通信を最初に構築し、安全なクラウドサービスへの通信を確立するところから始めるという方法もあります。

自社に合った手順を検討しましょう。

（３）他のセキュリティソリューションと連携する

SASEはゼロトラストを実現するフレームワークですが、SASEだけでゼロトラストが実現するわけではありません。

SASEだけでは不十分な場合は、他のセキュリティソリューションと連携しましょう。

少し上述しましたが、SASE以外のソリューションには、エンドポイントセキュリティ（MDM）や認証基盤（IDaaS）、ログ分析（SIEM）などがあります。

まとめ

ここまでSASEについて、ゼロトラストとの違い、メリットや構成要素を解説しました。

ゼロトラストはセキュリティの考え方であるのに対し、SASEはゼロトラストを実現するためのフレームワークです。

クラウドサービスの普及で、従来のセキュリティシステムではさまざまなリスクが指摘されています。

リモートワークや働き方改革に適する強固なセキュリティを検討されている方は、SASEの構築が最適でしょう。

弊社では、SaaSを一元管理し、SaaS利用のセキュリティを強固にするソリューション「メタップスクラウド」を提供しています。

SaaS利用状況の可視化や、端末制限やIP制御によるアクセスコントロールが可能です。SaaS一元管理ツールの導入を検討されている方は、お気軽にご相談ください。