セキュア アクセス サービス エッジ (SASE) とは?
セキュア アクセス サービス エッジ (SASE) フレームワークによってどのようにワイド エリア ネットワーキングとゼロ トラスト セキュリティが統合されてクラウドベース エンタープライズが安全に守られるかを学びましょう。
SASE の定義
セキュア アクセス サービス エッジ (Secure Access Service Edge: SASE) は、ソフトウェアで定義されたワイド エリア ネットワーク (SD-WAN) とゼロ トラスト セキュリティのソリューションを統合するセキュリティ フレームワークです。これによって作られるクラウド デリバリー型のコンバージド プラットフォームが安全に、ユーザー、システム、エンドポイント、リモート ネットワークをアプリとリソースに接続します。
SASE の主な特性は次の 4 つです。
1. ID ドリブン:
アクセス権は、ユーザーとデバイスの ID に基づいて付与されます。
2. クラウド ネイティブ:
インフラストラクチャとセキュリティ ソリューションのどちらもクラウド デリバリー型です。
3. すべてのエッジをサポート:
物理的、デジタル、論理的のすべてのエッジが保護されます。
4. グローバルに分散:
ユーザーは、どこで作業するときでもセキュリティで保護されます。
SASE アーキテクチャの主要ゴールは、シームレスなユーザー エクスペリエンス、最適化された接続、包括的なセキュリティを、デジタル エンタープライズ特有の動的なセキュア アクセスというニーズをサポートする形で提供することです。トラフィックを従来型のデータセンターまたはプライベート ネットワークにバックホールしてセキュリティ検査を行う代わりに、SASE ではデバイスとリモート システムがいつでも、どこからでもアプリとリソースにシームレスにアクセスできます。
SASE の主な構成要素
SASE は 6 つの主要要素に分けることができます。
ソフトウェアで定義されたワイド エリア ネットワーク (SD-WAN)
ソフトウェアで定義されたワイド エリア ネットワークはオーバーレイ アーキテクチャの 1 つであり、ルーティングまたはスイッチングのソフトウェアを使用して仮想接続を エンドポイント (物理的と論理的の両方) 間に作成するというものです。SD-WAN によってユーザー トラフィックのために作られるパスは無限に近く、その結果としてユーザー エクスペリエンスが最適化されます。また、暗号化とポリシー管理における強力な柔軟性が実現します。
サービスとしてのファイアウォール (FWaaS)
サービスとしてのファイアウォール (FireWall as a Service: FWaaS) によってファイアウォール保護が、従来のネットワーク境界からクラウドに移ります。これで、リモートで働くモバイル ワーカーが安全に会社のネットワークに接続できるようになりますが、引き続き一貫したセキュリティ ポリシーを適用でき、ポリシーの到達範囲を組織の地理的敷地の先まで伸ばすことができます。
セキュア Web ゲートウェイ (SWG)
セキュア Web ゲートウェイは Web セキュリティ サービスの 1 つであり、特定のネットワークにアクセスしようとする未認可トラフィックをフィルターで除外するというものです。SWG のゴールは、脅威が仮想境界を突破する前に突き止めることです。これを達成するために、SWG ではさまざまなテクノロジの組み合わせが使用されます。たとえば悪意のあるコードの検出、マルウェア排除、URL フィルタリングなどです。
ゼロ トラスト ネットワーク アクセス (ZTNA)
ゼロ トラスト ネットワーク アクセスは、クラウドベースの多数のテクノロジを集約したものです。これが作用するフレームワークでは信頼が暗黙的であることは絶対になく、アクセス権は、知る必要がある (need-to-know) 場合に限定して最小特権ベースで付与され、このことがすべてのユーザー、デバイス、アプリケーションに適用されます。このモデルでは、すべてのユーザーが認証、認可、継続的検証を受ける必要があり、その後で会社のプライベート アプリケーションとデータへのアクセスが許可されます。従来の VPN のユーザー エクスペリエンスの低さや運用の複雑さ、コスト、リスクが ZTNA で解消されます。
クラウド アクセス セキュリティ ブローカー (CASB)
クラウド アクセス セキュリティ ブローカーは 1 つの SaaS アプリケーションであり、オンプレミスのネットワークとクラウド ベースのアプリケーションとの間のセキュリティ チェックポイントとしての役割を果たし、データ セキュリティ ポリシーを施行します。 CASB では、防止、監視、軽減の手法を組み合わせて会社のデータが保護されます。また、悪意のある行動を特定して、コンプライアンス違反を管理者に警告する機能もあります。
集中統合管理
モダンな SASE プラットフォームでは、IT 管理者が SD-WAN、SWG、CASB、FWaaS、ZTNA の管理を集中統合型で、ネットワーキングとセキュリティの両方について行うことができます。これで、IT チームのメンバーが解放されて他の切迫した領域に専念できるようになり、ハイブリッド作業の従業員のユーザー エクスペリエンスも向上します。
SASE の利点
SASE プラットフォームには、従来型のオンプレミス ネットワークに比べて多大な優位性があります。組織が SASE フレームワークに切り替える主な理由としては、次のようなものがあります。
IT のコストと複雑さが軽減される
旧来のネットワーク セキュリティ モデルでは、ネットワーク境界のセキュリティを維持するために多数のソリューションの寄せ集めが必要になります。SASE では、アプリケーションとサービスのセキュリティ保護に必要なソリューションの数が減るため、IT のコストを節約でき、管理がシンプルになります。
アジリティとスケーラビリティが向上する
SASE はクラウド デリバリー型であるため、ネットワークとセキュリティ フレームワークの両方が完全にスケーラブルになります。利用するエンタープライズ企業が成長するのに合わせてシステムも成長できるので、デジタル トランスフォーメーションの加速が可能になります。
ハイブリッド作業を支えるように作られている
従来型のハブアンドスポーク ネットワークでは、リモート ワーカーの生産性維持に必要な帯域幅の扱いが容易ではありませんが、SASE ではエンタープライズ レベルのセキュリティをすべてのユーザーに対して、各ユーザーがどこで、どのように仕事をするかを問わず維持できます。
ユーザー エクスペリエンスが向上する
SASE では、ユーザーに合わせてセキュリティを最適化するために、セキュリティ交換の管理がインテリジェントにリアルタイムで行われます。これで、ユーザーがクラウドのアプリケーションとサービスに接続しようとするときの待ち時間が短縮されるとともに、組織の攻撃面が縮小されます。
セキュリティが向上する
SASE フレームワークでは、SWG、DLP、ZTNA、その他の脅威インテリジェンス テクノロジが統合されて、リモート ワーカーが会社のリソースに安全にアクセスできるようになると同時に、ネットワーク内の横移動のリスクが縮小されます。SASE では、すべての接続が検査されてセキュリティで保護され、脅威対策ポリシーが事前に明確に定義されます。
SASE と SSE の違い
セキュリティ サービス エッジ (SSE) は SASE の中の独立した一部分であり、クラウド セキュリティ サービスのみに焦点が当てられます。SSE では、インターネットへのセキュア アクセスを実現するために保護された Web ゲートウェイが使用され、SaaS とクラウド アプリを安全に守るために CASB が使用され、プライベート アプリへのリモート アクセスをセキュリティで保護するために ZTNA が使用されます。SASE にもこれらの構成要素がありますが、その他に SD-WAN、WAN 最適化、QoS (サービスの品質) の要素も含まれています。
SASE の使用を開始する方法
SASE の実装を成功させるには、綿密な計画と準備に加えて、継続的な監視と最適化が必要です。ここでは、SASE の段階的な展開の計画と実施の方法に関するアドバイスを紹介します。
1. SASE のゴールと要件を定義する
お客様の組織内の問題点のうち、SASE で対処できる可能性のあるものを特定します。併せて、期待されるビジネス アウトカムも明確にします。なぜ SASE が必要かを理解できたら、お客様の組織の現在のインフラストラクチャにおけるギャップをどのテクノロジで埋められるかを明らかにします。
2. SD-WAN バックボーンを選択する
ネットワーキング機能を提供する SD-WAN を選択してから、SSE プロバイダーを加えます。これで包括的な SASE ソリューションが作られます。統合が鍵です。
3. ゼロ トラストのソリューションを取り入れる
アクセス制御のガバナンスを ID によって行う必要があります。SASE 展開を完成させるために、ゼロ トラストを中核とするクラウド ネイティブのテクノロジのスイートを選択します。この目的は、お客様のデータを可能な限り安全に保つことです。
4. テストとトラブルシューティングを行う
SASE 展開を本稼働に移行する前に、SASE 機能をステージング環境でテストして、お客様のマルチクラウド セキュリティ スタックが SD-WAN およびその他のツールとどのように統合されるかを実験して調べます。
5. SASE セットアップを最適化する
お客様の組織が成長して優先事項が進化するのに合わせて、継続的かつ適応型の SASE 実装の新しい機会を探します。SASE アーキテクチャの成熟を目指す道のりは、組織ごとに異なります。段階的実装は、確信を持って行程の各ステップを進めていくのに役立ちます。
企業のための SASE ソリューション
包括的な脅威対策とデータ保護、デジタル トランスフォーメーションの加速、リモートまたはハイブリッドという従業員の働き方の促進を求めている組織は、今すぐ SASE フレームワークの導入を検討することをおすすめします。
最高の成果を得るには、お客様の現在の環境を評価して、早急に対処すべきギャップを特定します。その後で、これまでのテクノロジへの投資を活用できるソリューションを特定します。具体的には、既にゼロ トラストの原則に従っている現行ツールとの統合が可能であるものです。
Microsoft Security についてさらに学ぶ
よく寄せられる質問
-
セキュア アクセス サービス エッジ (SASE) は、ソフトウェアで定義されたワイド エリア ネットワーク (SD-WAN) とクラウド デリバリー型のセキュリティ スタック (SWG、CASB、ZTNA、FWaaS) を統合するクラウドベースのセキュリティ アーキテクチャです。
-
主要アーキテクチャ モデルの 1 つである SASE アーキテクチャでは、グローバルでスケーラブルなネットワークが活用されており、ハイブリッド作業の従業員の生産性を高めるとともに今日の分散型エンタープライズ環境の複雑さを軽減することができます。
-
SASE では、従来型のネットワーク セキュリティ アプローチとは異なり、ユーザー、エンドポイント、リモート ネットワークを検査してからアプリやリソースに接続します。従来のエンタープライズ ネットワーク セキュリティでは、トラフィックをプライベート ネットワークとコーポレート データ センターに、セキュア Web ゲートウェイとファイアウォールを通してバックホールするという方法が使用されますが、SASE はアクセスの地点に常に存在します。
このモデルによって、従来のセキュリティ モデルのユーザー エクスペリエンスの質の低さ、運用の複雑さ、コスト、リスクが解消され、エンタープライズ企業の攻撃面が縮小されて IT のアジリティが向上します。
-
SASE のソリューションは 6 つの主要要素で構成されており、これらは次のように多様な機能を提供します。
1. ソフトウェアで定義されたワイド エリア ネットワーク (SD-WAN): エンドポイント間に仮想接続を作成するオーバーレイ アーキテクチャです。
2. セキュア Web ゲートウェイ (SWG): 特定のネットワークへの、未認可トラフィックによるアクセスを禁止するための Web セキュリティ サービスです。
3. クラウド アクセス セキュリティ ブローカー (CASB): オンプレミスのネットワークとクラウドベースのアプリの間のセキュリティ チェックポイントとしての役割を果たす SaaS アプリケーションです。
4. サービスとしてのファイアウォール (FWaaS): このソリューションによってファイアウォール保護が、従来のネットワーク境界からクラウドに移ります。
5. ゼロ トラスト ネットワーク アクセス (ZTNA): 会社のアプリとデータにアクセスするすべてのユーザーに対して、明示的に認証、認可、継続的検証を受けることを要求する IT ソリューションです。
6. 集中統合管理: ポリシー管理を 1 つのコンソールから行います。
-
SASE が適切に実装されていれば、組織のユーザー、デバイス、アプリケーションがどこに存在するときでも安全なアクセスが確実になります。加えて、SASE には次のような特長があります。
1. 柔軟で、包括的なセキュリティ。脅威に対する保護から、次世代のファイアウォールまでが含まれます。
2. パフォーマンスの最適化と、ユーザー エクスペリエンスの向上 (たとえば、待ち時間の短縮とオンデマンドのセキュリティ)。
3. コストと複雑さの低下。ネットワークとセキュリティの主要機能が集約されて、ソリューションの数が減るからです。
4. アジャイルでスケーラブルなネットワーク エッジ。これによってデジタル トランスフォーメーションと IoT 導入が加速するとともに、従業員のモダンなハイブリッド作業が可能になり、組織全体の生産性が向上して複雑さが低下します。
Microsoft をフォローする