SASE/SSE 選定ガイド 後悔しないSASE/SSE導入5つの選定ポイント

はじめに ~群雄割拠のSASE/SSE、生き残るのはどこだ?~

多くの企業が取り組むゼロトラストにおいて、そのフレームワークとして提唱されている SASE(Secure Access Service Edge)。すでにSASEを中心としたゼロトラストネットワークを整備している企業も増えており、プロジェクトが進んでいるケースもある。群雄割拠するSASEにおいて、どんな視点で選ぶべきなのだろうか。

目次

  • ゼロトラストが今必要になる背景
  • ゼロトラストを構成する考え方とその具体的な要素
  • SASEの必要性
  • 複雑性を増すSASE選び、失敗しない5つのポイント

ゼロトラストが今必要になる背景

働き方が大きく変わり、業務環境のクラウドシフトが続くなか、新たな時代に適した業務システム環境が求められているのはご存じの通りだろう。消費行動の変化からDXへの移行が企業の生き残りをかけた経営課題となっており、テレワークが普及した働き方への対応も含め、デジタルの力を企業の活力として積極的に取り入れていかなければならない時代になっている。

一方で、情報システム部門においては、新たなセキュリティ環境の整備が急務となっている。SaaSやIaaSなどクラウドを中心とした業務基盤の整備が進んだことで、自宅も含めたあらゆる環境から業務システムにアクセスできるなど、効率的な働き方が可能になっている。

しかし、従来のファイアウォールを中心とした境界防御の考え方では企業の情報資産を守ることができず、新たな時代に適用できるセキュリティ環境へのシフトが求められている。その考え方の中心にあるのが、「Never Trust, Always Verify」(決して信頼せず必ず確認せよ)を前提にセキュリティ環境を考えるゼロトラストと呼ばれる考え方だ。

この考え方は、自社内での有効なセキュリティ対策となるだけでなく、海外の現地法人や取引先などサプライチェーンも含めたグローバルガバナンスにおける重要な指針としても重要なポイントだ。認証基盤やそのポリシー管理がグローバルに分散してしまうことで、十分なガバナンスが発揮できないばかりか、拠点によってはローカルブレイクアウトによって境界防御の外から簡単に社内ネットワークへのアクセスが可能になってしまっているという状況も生まれている。

「何も信頼しない」という視点に立つことは、グローバルガバナンスという観点からも重要だろう。

すでにゼロトラストを前提とした対策づくりがさまざまな場面で進められており、BPRも含めた運用改革を進めながら、各種ソリューションやコンサルティングサービスなどが多くのインテグレータから提供されている。

ゼロトラストは、単なる理想ではなく、現実的な実装段階にあるのだ。

SASE_SSE 選定ガイド1.png

ゼロトラストを構成する考え方とその具体的な要素

では、ゼロトラストを実現するためには、どのような環境が求められるのだろうか。そもそも、従来の境界防御における課題を考えたうえで、求められるゼロトラストの要件に合致した環境を整備していくことが重要だ。

境界防御の課題は、大きく「通信元の検証が静的でなりすまされやすい」「特権的なアクセス許可のため侵害される範囲が広い」「社内に侵入されても気付きにくい」の3つに集約される。 

通常のセキュリティ対策では、各システムにて設定されたID・パスワードなどの情報が漏洩すると、VPNを経由していとも簡単に社内への侵入を許してしまう。認証情報が静的なため、なりすましが容易なのだ。認証・認可に必要な処理は動的に行われるべきで、継続的にデバイスの安全性を検証していく仕組みが必要だ。

また、"VPNを経由したアクセスは安全" という前提に立っていることが多く、社内ネットワークへの特権的なアクセスが可能で、広い範囲で攻撃者に侵入を許してしまうことも起こりがちだ。だからこそ、VPN経由であっても、通信は全て保護しながらセッションごとに動的なアクセス許可を行うなど、最小権限のアクセス許可を前提とした環境を作り上げる必要がある。

そして、特権的なアクセスによって社内に侵入されると気づきにくいため、基本的には侵入されることを想定し、ランサムウェアや内部不正など侵害を想定した運用変革を進めていくことが求められる。

SASE_SSE 選定ガイド2.png
この3つの課題に対処するためのゼロトラスト3原則は、NIST(National Institute of Standards and Technology:米国立標準技術研究所)がクラウド時代に適したセキュリティモデルとして示した「SP 800-207: Zero Trust Architecture(A) ZT2nd DRAFT」の7つの原則と当てはめることができる。

これらを具体的な対策として落とし込むと、大きく4つのポイントに集約できる。それが「ユーザーの認証・認可」「デバイスの信頼性の監視」「ゼロトラストネットワークの実現」「侵害を想定した運用変革」だ。

SASE_SSE 選定ガイド3.png

SASEの必要性

ゼロトラストに適した環境整備を行うためには、前述した4つのポイントを加味することが重要だが、今回のテーマになっているSASEは「ゼロトラストネットワークの実現」の領域に該当する。

これまで企業では、WANによる拠点間通信をはじめ、テレワーク環境で急増するリモートアクセス、SaaSを含めたWeb通信という異なる3つの通信を制御するべく、それぞれ異なるソリューションを採用してきた。

リモートアクセスを含めたインターネット通信をデータセンターに集約する構成を採用してきた企業も少なくないが、クラウドへのアクセスを自社ネットワークからのアクセスだけに絞ってしまうと非効率であり、VPNなどのゲートウェイにかかる負荷も大きくなる。

だからこそ、ローカルブレイクアウトを含めた新たなWANトポロジを前提に、業務システムのアクセスを考える必要がある。

そこで、クラウドネイティブな形で統合的なセキュリティ環境を提供するのがSASEだ。SASEは、あらゆる通信を例外なく共通の経路を経由させることで、一元的にアクセスコントロールが可能になるため、セキュリティ面でもゼロトラストの考え方と非常に相性がいい。また、ローカルブレイクアウトにてセキュアながらダイレクトに業務基盤へアクセスできるため、生産性の向上でも大きく役立つものになる。

ただし、SASEさえ導入すればゼロトラストが実現するわけではなく、あくまで4つのポイントに照らし合わせて、それぞれ最適なソリューションを有機的に連携させていくことが重要になってくる。

SASEは、プロキシ機能やフィルタリング機能を提供するSWG(Secure Web Gateway)をはじめ、クラウドサービスにおける利用状況の可視化や制御を行うCASB(CloudAccess Security Broker)、SWGと合わせて活用することで社内ネットワークなどプライベートゾーンへのアクセスが制御できるZTNA(Zero Trust Network Access)、HTTPS以外の非Web通信を制御するFWaaS、そしてインターネットアクセス時に名前解決に不可欠なDNSを制御するDNSセキュリティなど、各種セキュリティ機能が高度に統合されている。また、ソフトウェアによって拠点間通信のWANを制御し、ネットワークの可視化を実現するSD-WANも、SASEの領域に含まれている。

世の中にはSASEに実装されている各種セキュリティ機能を個別に実装するものもあるが、ポリシーが統一できないうえに運用管理の面では煩雑で非効率になることは間違いない。適材適所に選択していくことも可能ではあるものの、できればまとめて管理していける環境を選択したいところだろう。

SASE_SSE 選定ガイド4.png

SASE_SSE 選定ガイド5.png

複雑性を増すSASE選び、失敗しない5つのポイント

では、ゼロトラストネットワークを実現するSASEフレームワークを自社に取り入れるには、どのようなソリューションを選択すればいいのだろうか。

特にSASE選びを複雑にしているのは、複数機能を統合的に扱っているソリューションであることはもちろん、ネットワーク機器やセキュリティソリューションを提供してきた多くのベンダーが、市場拡大を目的にSASEへ参入してきていることも大きな要因の1つだ。そんな群雄割拠の状態が続いているSASEに対して、いくつかの視点でその選択の勘所について考えていきたい。

ポイント1.SASE vs SSEの1 2つのアプローチを理解する

SASEは確かに包括的なセキュリティ機能とネットワーク機能を含めた理想的なフレームワークだが、通常ではネットワークとセキュリティ担当者の違いによって運用体制が異なっているのが一般的だろう。特にネットワークに関しては既存回線や設備の更改タイミングも考慮する必要があることから、全ての環境を1つのベンダーに集約することが困難な企業側の事情もある。

そこで、SASEに加えて新たに提唱されているのが、セキュリティ機能が高度に統合されたSSE(Security Service Edge)という概念で、ネットワーク機能を統合したSD-WANを別々に調達・統合するSSE+SD-WANというアプローチだ。

それぞれ一長一短あるものの、WANも含めたSASEによる導入が困難な企業においては、SSEによるアプローチを検討することも視野に入れて考えたい。

SASE_SSE 選定ガイド6.png
続きはこちら2.JPG

本記事の内容を詳しく紹介したセミナー動画をご視聴いただけます。

動画の視聴はこちら.jpg

ランキング