クラウドサービスの普及やリモートワークの一般化により、従来の境界型ネットワークセキュリティでは対応が困難な新たな課題が顕在化しています。
本記事では、現代のビジネス環境に最適化されたセキュリティアーキテクチャとして、今大きな注目を集める「SASE(サシー:Secure Access Service Edge)」に焦点を当て、その基本概念から、「ゼロトラスト」との違い、導入によって得られるメリット、そして具体的な構成要素までを詳しく解説します。
Contents
SASEとは?その基本概念と構成要素
SASE(サシー:Secure Access Service Edge)は、ガートナー社が提唱した、ネットワーク機能とセキュリティ機能をクラウド上で統合し、サービスとして提供する新しいアーキテクチャモデルです。
ユーザーがどこにいても、デバイスがどこにあっても、一貫したセキュリティポリシーと最適なネットワークアクセスをクラウド経由で提供することを目的としています。これにより、従来のデータセンター中心のセキュリティモデルが抱える課題を解決し、クラウド時代に即したセキュアな環境を実現します。
SASEは、ネットワークとセキュリティの境界をクラウドのエッジに移動させることで、場所やデバイスに依存しないアクセス制御と脅威の防御を可能にします。
ゼロトラストセキュリティの考え方
ゼロトラストセキュリティとは、「何も信頼しない(Never Trust)、常に検証する(Always Verify)」という原則に基づいたセキュリティモデルです。
従来の「社内は安全、社外は危険」という境界型セキュリティの考え方とは異なり、ネットワークの内部・外部に関わらず、すべてのユーザー、デバイス、アプリケーション、データへのアクセス要求を疑い、厳格な認証と認可を行った上で、最小限のアクセス権限を付与します。この考え方は、クラウド利用やリモートワークの普及により、従来の境界が曖昧になった現代のIT環境において、セキュリティを確保するための基盤として重要視されています。
関連記事:ゼロトラストとは? DX時代に求められる次世代セキュリティモデル
SASEとゼロトラストの違い
SASEとゼロトラストは密接に関連していますが、異なる概念です。
ゼロトラストは「セキュリティの考え方や原則」であるのに対し、SASEは「そのゼロトラスト原則を実現するためのアーキテクチャ」と言えます。
SASEは、クラウドベースのネットワークとセキュリティ機能を統合することで、ゼロトラストの原則である「常に検証し、最小権限のアクセスを許可する」というアプローチを、場所やデバイスに依存せず、一貫して適用できる環境を提供します。
つまり、SASEはゼロトラストを実現するための「具体的な手段」であり、ゼロトラストはSASEを導入する上での「設計思想」という関係性です。
変化する企業のIT環境とSASEが求められる背景
SASEが求められる背景には、企業のIT環境の劇的な変化があります。
第一に、SaaSやIaaSなどのクラウドサービスの利用が拡大し、データやアプリケーションが社内だけでなくクラウド上にも分散するようになりました。これにより、ネットワークのボトルネック化と通信遅延、セキュリティ対策の複雑化、セキュリティリスクの拡大、管理負荷やコストの増大などが課題となっています。
第二に、新型コロナウイルス感染症の影響でリモートワークが急速に普及し、従業員が社外から多様なデバイスで業務を行うようになりました。これにより、従来の境界型セキュリティでは対応しきれない新たなセキュリティリスクが顕在化しています。
SASEは、これらの変化に対応し、どこからでも安全かつ快適に業務を行える環境を提供するために不可欠なソリューションです。
SASEの構成要素
SASEは、2つの主要な要素「ネットワーク管理」と「サービス管理」で構成されています。
ネットワーク管理:SD-WAN(Software-Defined Wide Area Network)
SD-WANは、ネットワークをソフトウェアでコントロールする技術です。これは、複数のインターネット回線や専用線をまるで一本の太いパイプのように束ね、それぞれの通信(アプリケーション)の種類に応じて、いま一番速くて安定した経路を自動で選びます。
つまり、ユーザーがどこからアクセスしても、SD-WANがクラウド上にあるSASEの入り口(SASEエッジ)まで、最速かつ最も効率的な接続を選択し、これにより、ネットワークの速度や安定性が向上し、いつでも快適にシステムを利用できるようになります。
サービス管理:SSE(Security Service Edge)
SSEは、SASEの仕組みの中で要となる、セキュリティを守るためのさまざまな機能の集まりです。インターネットへの接続点に近いクラウド上に配置され、ここを通るすべての通信が厳しくチェックされることで、場所やデバイスに関わらず、どこからでも安全に仕事ができる環境が作られます。
FWaaS(Firewall as a Service):
クラウド上にあるファイアウォール機能です。場所を問わず、インターネットにつながるすべての通信をクラウド上で見張って、怪しいアクセスやウイルスなど、不正な動きを防御します。
WG(Secure Web Gateway):
インターネットの閲覧(Webアクセス)を安全に管理するための機能です。例えば、URLフィルタリング、マルウェア対策、重要な情報が外部に漏れないように監視(データ損失防止)といった働きをし てWeb経由のさまざまな脅威から保護します。
CASB(Cloud Access Security Broker):
クラウドサービスを安全に利用するための機能です。誰がどのクラウドサービスにアクセスしようとしているかを確認し(ユーザー認証)、許可された人だけが使えるように制限したり(アクセス制御)、クラウド上に保存されている会社の重要なデータが外に漏れたりしないよう守りします(データ保護)。
ZTNA(Zero Trust Network Access):
ゼロトラストの考え方に基づき、ユーザーやデバイスの認証・認可を厳格に行い、必要最小限のアクセスのみを許可許可する機能です。これにより、万が一、不正なアクセスがあっても、被害を最小限に抑え、セキュリティのリスクを大きく低減できます。
SASE導入で何が変わる? 期待できる効果・メリット
SASEの導入は、企業に多岐にわたるメリットをもたらします。
セキュリティレベルの向上
クラウド上で一元的にセキュリティ機能を提供するため、場所やデバイスを問わず、常に最新かつ一貫したセキュリティポリシーを適用できます。これにより、外部からの攻撃だけでなく、内部からの脅威にも対応し、セキュリティレベルを飛躍的に向上させることが可能となります。
ネットワークパフォーマンスの最適化
ユーザーに最も近いSASEエッジからクラウドやデータセンターに接続するため、通信の遅延を大幅に削減し、ネットワークパフォーマンスを向上させます。特に、グローバル拠点を持つ企業や、クラウドサービスを多用する企業にとって、業務効率の向上に直結します。
運用管理の効率化とコスト削減
SASEは、ネットワークとセキュリティの機能をクラウド上でまとめて管理できます。これにより、これまで手間がかかっていた複雑な設定変更やセキュリティルールの更新作業を効率化できます。結果として、IT担当者の作業負担を軽減し、運用コストの削減につながります。また、各拠点に高額なセキュリティ機器設置の必要がなくなり、初期投資も抑えることもできます。
SASE導入のステップと考慮すべきポイント
SASE導入は、企業のITインフラに大きな変革をもたらすため、計画的なアプローチが不可欠です。
現状の課題と導入目標の明確化
SASEを導入する前にまず、現在のネットワーク構成、セキュリティ対策、運用状況などを詳細に把握し、具体的な課題を洗い出します。その上で、SASE導入によってどのような効果を得たいのか、具体的に決めることが大切です。例えば、セキュリティ強化、パフォーマンス改善、コスト削減など、具体的な目標を設定します。
自社に最適なSASEソリューションの選定
SASEソリューションは、ベンダーによって提供する機能やサービスレベルが異なります。自社のビジネス要件、既存システムとの連携、予算などを考慮し、最適なソリューションを選定することが重要です。複数のベンダーを比較検討し、トライアルを通じて実際の使用感を確かめることも有効です。
スムーズな導入に向けた計画と体制整備
SASE導入は、既存のネットワーク環境に影響を与える可能性があるため、段階的な導入計画を立てることを推奨します。例えば、一部の部門や拠点からスタートし、効果を検証しながら徐々に範囲を拡大していきます。また、導入後も継続的な運用と管理が必要となるため、適切な運用体制を整備し、社員へトレーニングを行うことも重要です。
まとめ
現代の企業のIT環境は、クラウド化とリモートワークの進展により、従来のセキュリティモデルでは対応しきれない複雑な課題を抱えています。
SASEは、ネットワークとセキュリティ機能をクラウド上で統合することで、これらの課題を解決し、どこからでも安全かつ快適に業務を行える環境を実現する、まさにクラウド時代のセキュリティアーキテクチャです。SASEの導入は、セキュリティレベルの向上、ネットワークパフォーマンスの最適化、運用管理の効率化とコスト削減といった多大なメリットをもたらします。
しかし、SASEは単なる技術導入に留まらず、セキュリティの考え方そのものを変革するものです。したがって、SASE導入においては、ネットワークだけでなくゼロトラスト全体を意識した構築が必要です。
SASE環境において、MDM(モバイルデバイス管理)は、デバイスレベルのセキュリティと管理を担う不可欠な存在です。
MDMの役割は、デバイスにセキュリティポリシーを適用し、SASEのセキュリティ機能をエンドポイントまで行き渡らせることにあります。また、SASEのゼロトラスト機能が適切なアクセス制御を行えるよう、デバイスが安全な状態か常に監視します。これにより、多数のモバイルデバイスを一元管理できるようになり、IT管理者の運用負担を軽減できます。
結果として、情報漏洩リスクの低減によるセキュリティレベルの向上、ゼロトラスト原則をより実践的に適用できるようになります。さらに、デバイス管理の効率化によるコスト削減といったメリット、社員がどこにいても安全に仕事を進められる業務の効率化も期待できます。
さまざまなMDMサービスが展開されている中で、CLOMO MDMはMDM市場で14年連続シェアNo.1*を誇っています。
CLOMO MDMは、豊富な機能の搭載、幅広いデバイスへの対応、わかりやすく使いやすい管理画面が特徴です。国産のMDMサービスのため特にサポート面が手厚く、メーカーからの直接サポートや電話サポートを受けられます。24時間365日、電話で有人オペレータが緊急対策の代行も行っています。製品の機能・活用事例のダウンロードや製品についてのお問い合わせもできるため、ぜひご活用ください。
あらゆる業界で利用されており、企業はもちろん、学校や病院などの教育機関や医療機関への導入事例も豊富です。市場シェアNo.1*のCLOMO MDMで、安心・安全なデバイス管理を行いましょう。
*出典:デロイト トーマツ ミック経済研究所「コラボレーション/コンテンツ・モバイル管理パッケージソフトの市場展望」2011〜2013年度出荷金額、「MDM自社ブランド市場(ミックITリポート12月号)」2014~2023年度出荷金額・2024年度出荷金額予測
監修者
杉本 裕基
CLOMO事業本部 コンサルティングサービス部
2021年、CLOMO事業本部 コンサルティングサービス部に入社。前職のクラウドセキュリティサービスを提供する企業では、グループウェアやIDaaSなどのSaaS全般にわたる導入支援を担当。その経験を活かし当社でも特にセキュリティ面で不安を抱えるお客様向けの端末設定、運用周りに関するサポートを行っている。
