SASEとは？5つのメリットと具体的なアーキテクチャ例を解説

SASEの需要が高まった背景

SASEは、2019年にガートナーにより初めて提唱された新しい考え方・概念です。需要が高まった背景には、クラウドサービスとリモートワークの普及の2点が挙げられます。

SASEとゼロトラストの違い

SASEと同様に、近年注目されるネットワークセキュリティとして「ゼロトラスト」があります。ゼロトラストは、すべてのネットワークの接続を信用せず、常に認証と認可を行う新しいセキュリティモデルです。

ゼロトラストは2010年に米国の調査会社によって提唱されたもので、ネットワーク内部・外部に攻撃者が存在する可能性を考慮し、すべてのユーザーやデバイスに対するアクセスを最小限に制限するという考え方です。

一方、SASEはこのゼロトラストの考え方を基盤としており、そのうえでネットワークとセキュリティを一体化させ、ユーザーの利便性や運用の最適化まで図っています。さらに、これらの機能をクラウドから提供できるという特性を持っているのも特徴です。

【関連記事】ゼロトラストとは｜その意味やセキュリティ対策のポイントをわかりやすく説明

SD-WAN

SD-WAN（Software Defined-Wide Area Network）とは、広範囲に及ぶネットワーク（WAN）をソフトウェアで制御する技術のことです。

従来のWANは物理的な接続が中心で、回線の切り替えや管理が手間でした。

しかし、SD-WANの登場によってソフトウェアでの操作が可能となり、柔軟なネットワーク構成を行えるようになりました。

CASB

CASB（Cloud Access Security Broker）は、企業が利用するクラウドサービスへのアクセスをセキュリティ面から管理・制御するソフトウェアです。

例えば、従業員が不適切にクラウドサービスにアクセスしようとしたときに、その動きを検知し、ブロックするなどの機能を持っています。

また、情報漏えいを防ぐという目的で利用されることもあります。

ZTNA

ゼロトラストの考え方をネットワークアクセスに適用させたものが、ZTNA（ZeroTrust Network Access）です。

特定のサービス、もしくはアプリケーションへのアクセスのみを許可するもので、ユーザーがアクセスする際に認証と認可を常に行い、必要最小限のアクセスのみに抑制します。

Firewall as a Service

Firewall as a Service（FWaaS）は、企業ネットワークとパブリックネットワークの中間に位置し、複数のセキュリティによりネットワークの脅威を防ぐクラウドファイアウォールです。

従来はハードウェアとして設置されていたファイアウォールですが、クラウドサービス化したことで、あらゆる種類の脅威を検出できるようになりました。

それに伴い、ネットワークに接続するアプリケーションなどを柔軟に運用できます。

Secure Web Gateway

Secure Web Gateway（SWG）は、インターネットへのアクセスを制御するためのセキュリティソリューションです。

WEBやインターネットのトラフィックを分析し、マルウェアの感染を防ぐためのフィルタリングや、WEBサイトへのアクセス制御を設けます。

これにより、サイバー脅威やウイルス感染に対してセキュリティを確保し、ユーザーが安全にインターネットを利用できるようになります。

【関連記事】マルウェアとウィルスの違い｜マルウェアとは何なのか、特徴や感染時の対策を解説

①ネットワーク構成を簡素化できる

SASEの導入により、ネットワーク構成を大幅に簡素化することが可能です。これは、ネットワークとセキュリティの機能を1つのサービスとして提供できるようになるためです。

具体的には、複数の拠点を持つ企業やリモートワーカーがいる企業の場合、各拠点やリモートワーカーへの接続を一元的に管理できるようになります。

これにより、従来のように各拠点・個別にネットワーク設備を用意する必要がなくなり、ネットワーク構成が大幅に簡素化されます。

②セキュリティを一元管理できる

セキュリティを一元管理できるのもSASEの魅力です。SASEの包括的なセキュリティ機能により、ファイアウォールやFWaaS、SWGなどを一元管理できます。

一元管理できることで、企業が複数のクラウドサービスを利用している場合でも、それぞれのサービスへのアクセス制御やデータ保護を1つの場所から統一的に行うことが可能です。

③運用コストを削減できる

SASEを導入すると、運用コストを削減することができます。

前述したネットワーク構成の簡素化とセキュリティの一元管理により、ハードウェアやソフトウェアの維持管理コスト、セキュリティ更新などの運用コストが大幅に削減されます。

また、SASEにより社内のセキュリティが複雑化しないため、全体の管理がしやすくなるといったメリットも期待できます。

④テレワーク環境で通信の遅延を防げる

SASEの仕組みであるインターネットブレイクアウトにより、テレワーク環境での通信の遅延を防ぐことができます。

インターネットブレイクアウトとは、用途に応じて接続先を選定するという機能です。

データセンターを経由しないアクセスが可能になることで、リモートワーカーが利用するアプリケーションやサービスへのアクセスが効率化され、業務の遂行が快適になります。

⑤情報漏えい対策を強化できる

SASEを導入すれば、社内の情報漏えい対策を強化できます。これは、SASEが包括的なセキュリティ機能を提供し、リアルタイムで脅威の検知・ブロックが可能になるためです。

SASEの包括的なセキュリティ機能が役立つ主なシーンは以下の通りです。

• 社内で人的ミスが起こりそうなとき
• 第三者からの攻撃により危険にさらされたとき

企業の情報資産を外部に漏らすリスクを可能な限り抑制できるため、社員は安心してアプリケーションなどを利用できるようになります。

【関連記事】コンピューターウイルスの種類一覧｜感染経路や被害事例についても紹介

導入する機能の選定

SASEには多数の機能が存在し、企業の状況や目的に応じて優先度の高い機能が違います。

すべての機能を導入すると、かえって管理・運用が複雑になるため、SASEを活用するうえでは機能の選定が必要です。

社内のニーズに合わせて、適切な機能を選定し、効果的な活用を図りましょう。

リソース共有の確認

SASEを導入する前に、どのようなリソースが共有されるのかを事前に確認しておきましょう。共有されるリソースは多岐にわたるため、十分に確認しておかなければ、SASEの機能を十分に活かせず、高いセキュリティ機能を発揮できません。

▼具体的なリソース

• 帯域幅や接続点などのネットワークリソース
• ファイアウォールやSWGといったセキュリティリソース

SASEを導入すると、それぞれ統合的な管理が可能になります。社内のニーズに合ったソリューションを選択するためにも、必ずリソース共有を確認しておきましょう。

エンドポイント機能の確認

エンドポイントで共有される機能と、各種機能に差異があることを調べておく必要があります。サイバー攻撃を受けた場合、はじめにエンドポイントであるPCやモバイルデバイスが標的になります。

このエンドポイントの機能性を理解し、SASEのセキュリティ機能を適切に活用しなければ、システムを導入しても高い安全性は見込めません。SASEの無駄な運用を避けるために、エンドポイントの機能を事前に確認しておきましょう。

カスタマイズ性の確認

社内で利用中のサブスクリプションなどに対して、ライセンス体系の適合や拡張性について調査しておくことも重要です。

既存のIT環境やビジネス要件は企業に応じて異なり、SASEの機能性を高めるためには、それらの要素と適切に連携できるかがキーポイントとなります。

▼確認すべきカスタマイズ性

• ライセンス体系の適合性
• APIやSDKの提供
• 拡張性

カスタマイズ性を事前に確認しておけば、導入後のトラブル回避や、最適なソリューションの選択にもつながります。