クラウドセキュリティで注目の「SASE」 そのメリットとリスクとは?SD-WANとの関係は?

クラウド利用が広がる現代企業において、「SASE」や「SD-WAN」といったクラウドソリューションが、ますます注目を浴びています。しかし、これらはまだ比較的新しい概念であり、現場での理解が十分に進んでいないのが実情です。 そこで本記事では、SASEやSD-WANの基本概念、それぞれの関係性について詳しく解説します。また、導入時のリスクやポイントについても触れていますので、ぜひご参考ください。

SASEとは?

SASE(サシー)とは、「Secure Access Service Edge」の略で、クラウドのネットワークとセキュリティを一元管理するための新しい概念です。2019年にガートナー社が提唱し、今やクラウドやセキュリティの話題で欠かせない存在となっています。

最近では、クラウド型のネットワークやセキュリティのサービスが多岐にわたり、企業がそれらをすべて管理するのは困難になってきました。ネットワークやセキュリティの設定がサービスや機器ごとに異なると、システム運用者の負担が増加する恐れがあります。

このような背景から、クラウド環境でのネットワークとセキュリティを統合的に管理するモデルとして「SASE」が登場しました。SASEは、働く場所や使用するデバイスを問わず、優れたネットワークとセキュリティ機能を提供します。

なぜSASEが注目を集めるのか?

近年、SASEが急速に注目を集めている背景には、企業におけるトラフィック量の増加が大きな要因として挙げられます。特に、インターネット技術の進化により、クラウドサービスの利用が一般的になってきました。

企業がインターネットにアクセスする機会が増えると、それを集中的に管理するデータセンターに大きな負担がかかります。これが原因で、回線遅延やシステム障害が発生することも少なくありません。

さらに、最近の働き方の変化により、テレワークを導入する企業が増加しています。一般的に自宅などから安全に自社システムにアクセスするためにVPN接続が使われていますが、接続数には上限があり、それを超えると従業員がアクセスできないことがあります。
このような、アクセス量の増大や既存の接続方式で十分に対応できないといった課題がある中で、SASEが有効な解決策として注目されています。

SASEは、データセンターを経由せずに外部と通信を行う「インターネットブレイクアウト」や、リモートからでも安全に社内システムにアクセスできる「ゼロトラスト・ネットワークアクセス」が実現できます。そのため、外部のSaaSやWebサイトへのスムーズなアクセスが可能となり、自社回線への負担軽減が期待できます。

SASEの構成要素

SASEは非常に幅広い意味を持つ概念であるため、少々理解しづらいかもしれません。現に、単一のSASE製品というものは存在せず、構成要素に合わせて個々のサービスを導入していくのが現時点での解決策となります。

SASEは、「ネットワーク」の要素と「セキュリティ」の要素、この2つの面を持っているのが特徴です。以下では、ガートナー社が公表した『The Future of Network Security Is in the Cloud』を参考に、SASEの構成要素を機能別にご紹介します。

  1. ネットワーク機能

    SD-WAN(Software Defined-Wide Area Network)
    Geo Restrictions
    Routing and Path Selection
    Traffic Shaping
    Cost Optimization
    SaaS Acceleration
    Caching/CDN
    Bandwidth Optimization and Deduplication

  2. セキュリティ機能

    CASB(Cloud access security broker)
    SWG(Secure Web Gateway)
    DLP(Data Loss Prevention)
    FWaaS(Firewall as a Service)
    ZTNA(Zero Trust Network Access)
    WAF/WAAP(Web Application Firewall/Web Application and API Protection)
    UEBA/Fraud(User and Entity Behavior Analytics)
    Wi-Fi Protection
    DNS Protection

    上記の中で、主なソリューションとなるのが「SD-WAN」「CASB」「SWG」「ZTNA」といった技術です。SD-WANについては後述しますので、以下では他の3つについて簡単にご紹介します。

    ・CASB (Cloud Access Security Broker)

    CASB(クラウドアクセスセキュリティブローカー)は、クラウドサービスの利用状況を可視化し、管理するためのセキュリティサービスです。企業がクラウドサービスを利用する際のアクセス制御、データ保護、脅威防御、コンプライアンスの確保などを行います。CASBは、クラウドサービスとエンタープライズユーザーの間に位置し、セキュリティポリシーの適用ポイントとして機能します。これにより、企業はクラウド環境におけるセキュリティリスクを軽減し、データ漏洩や不正アクセスを防止することができます。

    ・SWG (Secure Web Gateway)

    SWG(セキュアウェブゲートウェイ)は、企業ネットワークと外部インターネットの間に設置されるセキュリティ装置で、ウェブトラフィックを監視し、不正なアクセスやマルウェアから企業を保護します。SWGは、URLフィルタリング、アプリケーション制御、データ損失防止(DLP)、暗号化の解除・検査などの機能を提供します。これにより、企業はインターネット利用に伴うセキュリティリスクを管理し、従業員の安全なウェブアクセスを確保することができます。特にクラウドベースのSWGは、リモートワークやモバイル環境でも同様のセキュリティを提供します。

    ・ZTNA (Zero Trust Network Access)

    ZTNA(ゼロトラストネットワークアクセス)は、従来のネットワーク境界防御に依存せず、すべてのユーザーやデバイスを厳格に検証し、最小限のアクセス権を付与するセキュリティモデルです。ZTNAは、ネットワーク内外のすべてのアクセス要求を個々に検証し、信頼を再評価することで、セキュリティを強化します。このモデルは、特にリモートワークやクラウドサービスの利用が増える中で、データ漏洩や不正アクセスのリスクを軽減するために重要です。ZTNAは、VPNに代わるより安全なアクセス方法として注目されています。

SASEの実現に欠かせないSD-WANとは?

SASEの実現には、「SD-WAN」が非常に重要な役割を果たしています。SD-WANとは、「Software Defined-Wide Area Network」の略で、企業が構築したWANをソフトウェアを使って一元的に管理する技術のことです。

このSD-WANの基盤となっているのが、「SDN(Software Defined Networking)」という技術です。SDNは、ソフトウェア上でネットワークを管理できる仕組みで、各機器のネットワーク構成や機能を1つの管理画面から柔軟に設定・変更することができます。これにより、これまで各機器で個別に設定していたものを統合的に管理できるようになり、ネットワーク管理の負担を大幅に減らすことができます。

SD-WANは、SDNの考え方を企業のWANに適用したもので、各拠点にある機器のネットワーク設定を一元管理することができます。これにより、エンジニアを各地に派遣したり、ポリシーを個別に設定したりする必要がなくなります。

また、SD-WANは自動的に最適なルートを選択し、トラフィックを効率的に分散させることで、ネットワークのパフォーマンスを向上させることができます。これにより、企業はコスト削減とともに、業務の効率化を図ることができるのです。

SD-WANの仕組み

SASEとSD-WANの関係性を理解するためには、SD-WANの技術的な仕組みを知る必要があります。

SD-WANの物理的な構成要素は、各拠点に設置される末端ルータ「エッジデバイス」と、ネットワーク全体を一元的に管理する「オーケストレータ」で構成されています。

エッジデバイスは、物理的な回線「アンダーレイネットワーク」を使用しつつ、仮想的な回線「オーバーレイネットワーク」をメインに通信を行う点が特徴です。これにより、複数のキャリアのWANサービスを利用していても、統合的な管理が可能となります。

オーケストレータは、ネットワーク全体の設定を一括して管理するシステムで、各拠点のエッジデバイスと連携して動作します。このシステムを使うことで、データセンターを経由せずに直接インターネットに接続する「インターネットブレイクアウト」が実現できます。インターネットブレイクアウトにより、自社ネットワークにかかる負荷を大幅に軽減できるのが大きな利点です。

SASEを導入するメリット

それでは、SASEを導入することによって得られるメリットにはどのようなものがあるのでしょうか。ここでは、3つの主要なポイントを詳しく解説します。

  1. 利便性とセキュリティの両立

    SASEを導入することで、クラウド利用時に利便性とセキュリティの両方を追求できる点が大きなメリットです。これは、ネットワークやセキュリティの管理がクラウド境界で一元化されるためです。

    SD-WANには、企業がクラウドサービスを活用する際にWAN構成を柔軟に変更できるというメリットがありましたが、各拠点から直接インターネットに接続する際のセキュリティ面では、セキュリティホールが生じやすいという懸念がありました。

    しかし、SD-WANも含めたSASEでは、クラウド利用時の利便性とセキュリティの確保が同時に実現できます。SWGやCASBといったクラウドセキュリティサービスを活用により、あらゆるユーザーやデバイスに対して「ゼロトラストセキュリティ」を実現し、境界を限定せずに対策を講じることが可能です。

    SASEを導入することで、企業のネットワークをSD-WANにより自由に構成できると同時に、SWGやCASBの活用でクラウドセキュリティを強化することができます。

  2. 通信のパフォーマンス向上

    SASEにより、拠点や社外のネットワーク設定が最適化され、快適な通信環境を場所を問わず利用することができます。

    従来では、各拠点からのデータ通信や自宅からのリモートアクセスにはWANやVPNが一般的に使用されていました。しかし、接続先サービスや利用者が増加することで、回線が遅延する問題が発生していました。

    SASEではこれらの問題をSD-WANやZTNAなどのソリューションが解決します。クラウド上でのネットワーク管理が可能になり、自社のファイアウォール、プロキシサーバー、ゲートウェイなどにかかる負担を大幅に軽減できます。

  3. 運用コストの削減

    SASEでは、ネットワークやセキュリティのすべてを単一のクラウド上で設定できるため、運用にかかる負担やコストを大幅に削減できます。また、オンプレミス型システムを別途構築したり、ネットワーク設定のために各地を飛び回ったりする必要がなくなります。

    さらに、事業規模の拡大に伴ってシステムを拡張する場合も、システム変更のために都度改修を行わなければならないオンプレミスとは対照的に、SaaSベンダーに相談するだけでスムーズに実施できます。

    セキュリティ面でも、セキュリティポリシーを一貫して適用できるため、システム担当者の運用負担を減らし、より重要度の高い業務に集中させることができます。

SASEを導入するリスク

SASEの導入には多くのメリットがありますが、同時にいくつかのリスクも伴います。これらを理解しておくことが重要です。
例えば、SASEはあらゆるサービスを単一のクラウドで利用するため、一度通信や設定に問題が発生した場合、事業全体が停止してしまう可能性があります。また、SASEを標的にしたウイルスや攻撃手法が新たに登場するリスクも考えられます。
さらに、SASEはまだ比較的新しいソリューションであるため、市場環境が急速に変化することで、導入したばかりのSASEが他の魅力的なサービスによって取って代わられたり、利用中のサービスが突然終了したりすることも考えられ、機会損失につながる可能性もあります。
新しいソリューションには一定のリスクが伴うため、自社の状況や市場環境を慎重に見極めながら、段階的にSASEを構成するソリューションを導入していくことが重要です。

SASEの活用シーン

ここでは、実際の現場におけるSASEの活用シーンを2つご紹介します。

  • 例1:支社で営業活動を行うAさんのケース

    Aさんは会社用のPCを使用して、SFAやCRMなどの顧客データベースにアクセスします。その際、SD-WANで接続したゲートウェイを経由し、CASBによって識別とアクセス許可が行われます。もし会社が許可していないサービスにアクセスしようとするなど、ポリシーに反する行動を取った場合には、接続が自動的に拒否されます。

  • 例2: 在宅勤務を行うBさんのケース

    Bさんは会社用のPCを使って、社内システムや外部ネットワークにアクセスします。その際にZTNAが社内システムへのアクセス可能かを判別し、許可された場合にクラウド経由でスムーズに接続されます。インターネットに接続する際には、SWGがフィルタリングを行うことで、適切な通信を許可します。

SASEを導入する方法・ポイント

SASEは単一のソリューションとして提供されているわけではなく、各要素を個別に導入する必要があるため、自社の要件に合わせて適切な組み合わせを選択することが重要です。

まず、自社のシステム構成を明確にすることで、どのサービスを導入する必要があるのかを確認してから、SASE実現に向けた詳細な計画の策定をし、どこかを優先して取り組むのかを決定します。

また、ベンダーやサービスが増えると、運用が複雑化し、管理が難しくなることから、SASE導入で失敗しないためには、関与するベンダーやサービスをできる限り少数に抑えることも重要です。

まとめ

この記事では、SASEの導入のメリット・デメリットやSASEを実現するうえで不可欠な、SD-WANの概要や関係性などを解説しました。また、導入方法についても説明しました。SASEが実現すれば多大なメリットを享受できますが、一方で管理が複雑になるリスクも存在することには注意が必要です。
まだ成長途中でもあるソリューション分野のSASEについては、市場環境や動向を注視しながら、自社の要件に合ったサービスを選定していくことが重要です。
SASEやSD-WANについて理解し、自社のクラウド活用やセキュリティを見直しましょう。

資料ダウンロードはこちら

2025/02/19 | カテゴリ:IT基盤構築
IT基盤構築に関するソリューション情報はこちら

© EXEO Digital Solutions, Inc. All Rights Reserved.