SASEとは?|クラウド時代のネットワークを実現するSecure Access Service Edge(サッシー)

SASEとは?|クラウド時代のネットワークを実現するSecure Access Service Edge(サッシー)

 ワークライフバランスを実現する勤労形態、或いは、危機的状況下でも重要な業務を継続するための計画「BCP(Business Continuity Plan)」を実現する手段として、ようやく市民権を得たテレワーク。

 昨今、国内企業の多くはテレワークを実現するリモートアクセスに関わるシステムの見直しに迫られています。

 リモートアクセスの構成要素に含まれるネットワークとセキュリティにおいて、「SASE」という新しいコンセプトに注目が集まっています。

 また、SASEはリモートアクセスだけでなくクラウド利用時に直面しがちな課題を解決し、DXやクラウドを推し進める新たなネットワークセキュリティの効率的な投資を可能すると期待されています。

 そこで、ネットワークやセキュリティに取り組まれている方をはじめ、リモートアクセスやDX、クラウドを推進をされている方に向けて、リモートアクセスと関連してよく目にするワード「SASE」について、わかりやすく解説します。




▼ 目次
1. SASEとは?
2. なぜSASEが必要か?
3. SASEを導入するメリット





1. SASEとは?

 SASEとは「Secure Access Service Edge」の頭文字をとった略語で、読み方は「サッシー」となります。

 2019年8月にGartner社によって発表された「The Future of Network Security Is in the Cloud」というレポート内で、新たなネットワークセキュリティのコンセプトとして初めて言及され、現在各ベンダーがSASEの考え方を踏まえた既存製品や新製品を販売、発表しています。

 SASEの詳細については、同レポートにて細かく書かれていますが、簡単に言うとネットワークの機能とセキュリティの機能を統合しクラウド上で提供しようというものです。

 この基盤を中心とし、接続元となる拠点や自宅から、接続先となるデータセンターやSaaS、IaaS、インターネットへのネットワーク接続とセキュリティ機能を同時に提供することが出来ます。






2. なぜSASEが必要か?

 SASEがどのようなコンセプトかはご理解いただけたかと思います。次はこのSASEが必要となった背景についてご説明いたします。

 SASEの背景としてあげられるものは下記の2点です。

  • アクセス元の多様化
  • クラウド利用の普及


 この2つの変化によって、データセンターを中心にした今までのネットワークアーキテクチャが非効率で使いづらいものとなりました。

 具体的に見ていきましょう。


 テレワークの普及などによって、社外から社内のリソースにアクセスし仕事を行うというケースは今や日常的なものになりました。そういった場合、社外にいても社内と同様なセキュリティを提供するためにはどうすればよいでしょうか。


 従来のデータセンターを中心としたネットワークの場合、各拠点や社外からの通信をすべて社内データセンターに集約し、そこでセキュリティチェックやアクセスの一元管理を行うことで、社内と同様のセキュリティを担保していました。


 しかし、クラウドサービスの利用が普及したことにより問題が生じます。今まで社内に存在したリソースがクラウドに移行したことにより、データセンターから外に出るネットワークトラフィックが増大したのです。これにより、データセンターのネットワークリソースが不足し更なるネットワーク機材の増強が必要となりました。


 現在では「ローカルブレイクアウト」と呼ばれる方法で各拠点や社外からクラウドに向かう通信はデータセンターを介せずに直接アクセスさせ、この問題を回避しようとすることが一般的になっています。

 しかし、ブレイクアウトした通信は接続元の環境からそのままインターネットに出ていくため、セキュリティを担保することが出来ず、証跡(ログ)を残すことも難しくなります。

 これにより、データセンターを経由した通信とブレイクアウトした通信でどのようにセキュリティレベルを統一して運用するかという新たな問題が生じました。


 この一連の問題を解決するための手段として提唱されたのがSASEです。


SASEとは





 実際にSASEを利用する例を見ていきましょう。

 まず、拠点・社外からデータセンター・クラウド・インターネットに向ける通信はすべてSASEを経由して通信させます。これにより、接続元や接続先、接続経路に関係なく統一的にSASEが持つセキュリティ機能を適用可能となります。

 また、SASEはクラウド上で提供されているため、仮に通信量や利用するユーザ、端末数が大幅に増えた場合でも、管理者がクラウド側のリソースを意識する必要はありません。

 多くのSASE製品は帯域幅や利用ユーザ、端末数でライセンスを購入して利用するため、不足分のライセンスを購入するだけでスムーズな拡張を行う事が可能です。



SASEとは







3.SASEを導入するメリット

 次にSASEを利用する上でのメリットを整理しましょう。一般的なメリットは下記の通りです。

  • アクセス元のロケーションに関係しないセキュリティ
  • トラフィックやユーザ数の増減、セキュリティ機能の利用に対して柔軟に対応できる
  • コストや運用者の負担低減



3-1. アクセス元のロケーションに関係しない統一的なセキュリティ

 複数の拠点やテレワークなどのリモートユーザからのアクセスに対して、共通のセキュリティ基盤を提供します。

 これにより、社内外を意識せずにセキュリティ機能を提供できるだけでなく、管理機能を集約・統合化することで、セキュリティ対策の抜け漏れを防ぐことにもつながります。



3-2. トラフィックやユーザ数の増減、セキュリティ機能の利用に対して柔軟に対応できる

 オンプレの環境では、トラフィックが増えると新たに機材を増強する必要がありましたが、SASEはクラウド上で提供されるため、ユーザ数の増加などで急にトラフィックが増加した場合でも、追加ライセンスの購入などで簡単に対応できます。

 また、SSL復号などアプライアンス機器では慎重なサイジングが必要であった高負荷なセキュリティ機能も、容易に実装し利用できるようになります。



3-3. 運用時の負荷削減とトータルコストの削減

 拠点側の機材を最小限にして、ネットワークとセキュリティの機能をクラウドに集約する事で運用時の負荷を軽減できるようになります。

 また、データセンターで所有しているファイアウォールやURLフィルタリング等の各種セキュリティ機器毎に掛かっていた保守費や運用コスト、あるいは拠点とデータセンター間を繋いでいた専用線のコストについても、SASEに置き換え、統合化を図ることで削減につながります。



 前章の「なぜSASEが必要か?」では、データセンター中心のネットワークを見直すという面でご紹介しました。

 しかし、現在SASE製品をご検討頂いているお客様の中には、テレワーク環境の整備を目的として、導入を検討するケースが非常に多くなっています。



 テレワーク利用時には、社外から社内リソースへのどのようにアクセスさせるか、また、セキュリティをどう担保するかが大きな課題となります。

 SASEではクラウド上の基盤にアクセスするだけで、アクセス元に関係せず共通のセキュリティ機能を提供可能なため、ネットワークとセキュリティの課題を同時に解決できます。

 また、クラウドサービスであるため、サイジングを気にしなくて良い点も早急にテレワークが必要なケースではより重要になるでしょう。これらの特徴から、SASEはテレワーク環境の整備においても非常に相性の良いものとなっています。



 なお、SASEで定義されているセキュリティ機能は多岐に渡るため、一口に「SASEのコンセプトを実現するソリューション」と言っても、製品によって提供可能なセキュリティ機能は異なりますが、その中でも幅広くセキュリティ機能をカバーしている製品としてPalo Alto Networks社のPrisma Accessがあげられます。

 こちらの製品は、Firewall をクラウド上で提供するもので、SWG(Secure Web Gateway)、IPS/IDS、アンチウイルス、サンドボックス、SSL復号といった多くのセキュリティ機能を利用可能な点が注目されています。


 SASE製品の比較例、及び PaloAlto Networks社のPrisma Accessによる、テレワークのためのリモートアクセスのベストプラクティスについては、以下よりご覧いただけます。 



関連記事を読む






4.まとめ

 本記事にて述べた点を振り返ります。

  • 「SASE」とはネットワークの機能とセキュリティの機能を統合しクラウド上で提供しようというコンセプト。
  • クラウドサービスの利用や社外からのアクセスによって、データセンターを中心に置くような従来のネットワーク構成は非効率になった。
  • SASEを利用することで、データセンター中心のネットワークから脱却し、社内外で共通のセキュリティレベルを保ち、ユーザの増減などに対しても柔軟に対応が可能
  • テレワーク環境を整備する目的においてもSASE製品は非常に相性が良い。



 今後さらにクラウドへの移行が進み、ITシステムの利用環境や形態が多様化していく中で、今までの様にアプライアンス機器を導入するというやり方ではネットワーク全体を考えた時に非効率となるでしょう。

 また、多くの企業がテレワーク環境の整備を進めていますが、テレワーク環境だけを目的とするのはもったいないと私は感じます。この機会に、先を見据えたネットワークインフラ全体の見直しも行うことで、より無駄の無いインフラを実現できるのではないでしょうか。

 もし、テレワークという課題からSASEを中心とした新しい時代のインフラにご興味を持っていただければ幸いです。

著者プロフィール

著者アイコン
山本高弘
伊藤忠テクノソリューションズ株式会社在職中|1. 現在の担当業務 : セキュリティ製品のプリセールス|2. 保有資格:情報処理安全確保支援士(登録申請中)、ネットワークスペシャリスト|3. 趣味 : 登山、トランペット|4. 好物 : 鍋料理

関連記事はこちら