SASEとゼロトラストの概念は似ているので、混同してしまうことがあります。SASEが具体的な取り組み・ソリューションであるのに対して、ゼロトラストは概念です。それぞれの違いを知るためには、以下のように認識しておくとわかりやすいでしょう。
ゼロトラスト=強固なセキュリティ対策のための一つの概念
SASE=ゼロトラストを実現するためのソリューション
ここでは、SASEとゼロトラストの具体的な違いを理解するためのポイントや両者の関係、ゼロトラストの実現方法などを見ていきます。
ゼロトラストの概要
最初に、ゼロトラストという概念と考え方を整理しておきましょう。ゼロトラストというセキュリティ理念は、2019年頃からあらゆる場面で重要視されるようになりました。概念とともに、ゼロトラストが求められるようになった背景や経緯についても確認していきましょう。
ゼロトラストについては別記事で詳しく解説していますので、あわせてご覧ください。
ゼロトラストの考え方
ゼロトラストの意味は「何も信頼しない」ですが、これだけでは具体的にどのようなセキュリティ理念なのか理解しづらいでしょう。
ゼロトラストを理解するためには、昨今重要視されているセキュリティモデルと従来型のセキュリティモデルの違いを知る必要があります。
これまで情報セキュリティにおいて重要視されてきたのは、外部からの攻撃に対するセキュリティを徹底する境界制御型モデルです。社内ネットワークへの不正侵入などのサイバー攻撃に対処することが、従来のセキュリティ対策では一般的だったのです。
しかし近年は、セキュリティ対策は境界を問わずに行う必要があるとされています。脅威は、社内外のさまざまなポイントに潜んでいることが指摘されているためです。
このような経緯で登場した理念が、ゼロトラストです。すべての場所に脅威があると想定すること、つまり常に「何も信頼しない」でセキュリティ対策を徹底することが、正しいセキュリティ対策のあり方として求められているのです。
ゼロトラストが注目されている理由
なぜゼロトラストが注目されるようになったのでしょうか。その理由の一つは、クラウドサービスやテレワークの普及です。現在オンプレミスからクラウドへの移行が盛んに行われており、多くの企業がクラウドを活用した従業員のテレワーク化を推進・実施しています。
ビジネスは、これまでのように社内ネットワークのみで完結するものではなくなってきたということです。クラウドサービスが多様化する現代では、今後ますますゼロトラストの重要性が高まっていくでしょう。実際、組織内部からの情報漏洩事故などが頻発し、問題になっています。それらを防ぐためには、より強固なセキュリティ対策として、ゼロトラストセキュリティを構築することが不可欠なのです。
ゼロトラストのメリット
ゼロトラストのメリットとして以下があります。
- 場所や端末を問わない業務に対応できる
- シンプルなセキュリティの設定で済む
- 従来より高いセキュリティ対策を実現できる
ゼロトラストセキュリティは全ての通信を信頼しない方針でセキュリティ対策を実施します。許可された通信だけがアクセスできる仕組みです。よって、場所や端末が社内(のリソース)でなくても業務ができます。
従来型のネットワークでは社内と社外のそれぞれにネットワークやセキュリティの設定を実施していました。しかし、ゼロトラストは社内外の区分がないため、実施する設定が一つで済みます。よって一つの設定で済むシンプルなセキュリティ対策を実現可能です。
ゼロトラストは「社内だから信頼する」「社外だから信頼しない」ではなく「許可した以外の通信を信頼しない」モデルです。従来は社内で発生する悪意を持った通信を防げませんでしたが、ゼロトラストでは防げるメリットがあります。
ゼロトラストのデメリット
ゼロトラストのデメリットとして以下があります。
- 実現のためにはコストを要する
- ログインの手間が増える
ゼロトラストを実現するためには、セキュリティ機器や認証機能の追加が必要になります。よってこれらの導入や設定にコストがかかる点がデメリットです。導入するまでに時間や人手がかかりますし、機器の調達やサービスの利用には費用も発生します。
ゼロトラストを実現すると、従来よりも認証が必要な場面が増えます。認証を突破するためにパスワードの入力やワンタイムパスワードの確認が必要です。従業員は毎回のように認証を突破する必要があるため、煩わしく感じるでしょう。結果として従業員の生産性が下がってしまう可能性を持つことがゼロトラストを導入するデメリットです。
SASEの概要
続いて、SASEの考え方やメリットを整理していきましょう。セキュリティ対策の徹底に向けて近年重視されるようになったSASEとは、どのようなアプローチになるのでしょうか。
SASEの考え方
SASE(Secure Access Service Edge)とは、現在注目されているネットワークセキュリティモデルの一つです。クラウドサービスの利用が盛んになっている現代において、2019年に新たに提唱されたセキュリティソリューションを実行するにあたり、ネットワークとセキュリティを一元的にクラウドサービスで実現するというアプローチです。
SASEはクラウドサービスの利用を前提とし、SD-WANやCDNなどのネットワーク機能やCASBやZTNAなどのゼロトラストに対応するセキュリティ機能を包括的に提供するフレームワークです。
クラウドでは、ネットワークやセキュリティのサービスを提供しています。しかし、そのほとんどはそれぞれが別個の状態で存在しています。管理のしやすさを重視するならSASEの導入は必須であり、業務効率化に大きく貢献するでしょう。
SASEを導入するメリット
SASEはゼロトラストを実現するための一手段であることを解説しました。ゼロトラストのメリットに加え、SASEを導入することで得られるメリットは以下のとおりです。
- セキュリティ強化の実現
- 運用コストの削減
- ネットワークのレイテンシ低減
セキュリティ強化の実現
SASEのメリットはセキュリティ強化を実現できることです。ゼロトラストのメリットでも解説したように、SASEは基本的には全ての通信を信頼しない方針でセキュリティ対策を実現します。
SASEを利用することで、社内システム、クラウドサービスなど社内外を問わず安心して利用できる通信を実現します。特に社外だけでなく、社内でも悪意を持った通信をするユーザーがいる可能性もあるため、ゼロトラストの考え方は必要です。よって社内の通信も監視の目を光らせておく必要があります。
社内での通信だけでなく、社外に対しても安心して通信できるようになる、怪しい通信を遮断できることがSASEによるセキュリティ対策のメリットです。
運用コストの削減
SASEによるセキュリティ対策によって運用コストの削減を実現できます。
従来のネットワーク構成やセキュリティ対策は、さまざまな機器やサービスを導入していました。加えて従来型の場合、それぞれにセキュリティポリシーを設定し、運用をする必要があります。このことで企業には大きな負担がかかっていました。例として従来型の場合、機器のアップデートの際に以下の負担が必要です。
- それぞれの機器をアップデートする
- アップデート後に各機器の通信に影響を及ぼさないか確認する
しかし、SASEはセキュリティ機能が統合されており、一元管理が可能です。よって上記の負担からは解放されます。運用コストが軽減されることで、企業は利益を生み出す生産性が高い活動にリソースを投入可能です。
SASEでセキュリティ対策をすれば、セキュリティ対策の運用コスト低減を実現できることがメリットです。
ネットワークのレイテンシ低減
SASEを用いることで、従来型ネットワーク構成よりもネットワークのレイテンシ(遅延)を低減しやすいです。
SASEはクラウド型のサービスです。よって各従業員がテレワークで、自宅から業務システムに直接アクセスする場合でも、監視ができます。
従来型のネットワーク構成の場合、セキュリティ対策をするために、社内システムを経由してから、業務システムにアクセスする必要がありました。従来型の構成は、社内システムに負担がかかりやすく、ネットワークレイテンシが生まれやすいです。
しかし、SASEは社内システムを経由することなく、業務システムにアクセスできます。SASEはネットワークレイテンシが生まれにくいセキュリティ対策です。
SASEのデメリット
逆にSASEを導入することによるデメリットには以下があります。
- 導入までに時間とコストがかかる
- ネットワーク障害発生時に使えなくなる可能性がある
- 導入後も安定運用までに調整が必要
導入までに時間とコストがかかる
SASEの導入には時間とコストがかかることがデメリットです。
ゼロトラストのデメリットでも解説しましたが、SASEを導入する場合にはサービスの選定や、導入時の設定が必要になります。クラウドサービスといえど、利用を決定してからすぐに導入できるわけではありません。
また導入時には相応のコストがかかります。クラウドサービスのため、従量課金が続くことや、従業員が使い慣れるためにもコストが必要です。
このように時間もコストも要するセキュリティ対策のため、SASEを利用する際には覚悟を持って導入しましょう。
ネットワーク障害発生時に使えなくなる可能性がある
SASEはネットワーク障害発生時に使えなくなる可能性があります。
SASEはクラウド型のサービスです。よって、インターネット経由での通信で利用するケースが大半でしょう。インターネットが使えなくなってしまえばSASEとの通信ができなくなるため、社内外問わず通信の監視や制御ができなくなってしまいます。
セキュリティ対策が無効になってしまうと、通信のリスクが跳ね上がることになります。こうした事態を避けるためにも、複数の経路を用意しておくことや、インターネットの通信機器を冗長化する対策が必要です。
導入後も安定運用までに調整が必要
SASEは導入後も安定運用できるようになるまで調整が必要です。
SASEにかかわらず、セキュリティ対策は一度実施したら終わりということはありません。継続的にアップデートや脅威を監視し、随時ポリシーを変更していく必要があります。
よって最初のうちはポリシーが厳し過ぎて業務に影響を及ぼす可能性があるでしょう。逆にポリシーが少な過ぎて、遮断すべき通信を遮断できない可能性もあります。いずれにせよ、安定した運用ができるためには導入後に試行錯誤を加えて様子を見る必要があります。
SASE導入後、適切な制御と業務への支障がない状態を両立するためには調整に時間がかかります。
SASEの製品を一部紹介
SASEにはさまざまな製品(サービス)があります。代表的なものを紹介します。
- Netskope(Netskope株式会社)
- ibossクラウドプラットフォーム(iboss社)
- Smart One Access(SCSK株式会社)
- Secure Access Gateway(NTTPC株式会社)
- Cisco Umbrella(Cisco株式会社)
- VMware SASE(VMware株式会社)
上記はSASEサービスの一部です。各社でさまざまなサービスが登場しており、自社のクラウドサービスやセキュリティソリューションと組み合わせて提供されています。
SASEとゼロトラストの関係と違い
最後に、SASEとゼロトラストの関係と違いについて整理していきましょう。
SASEとゼロトラストの違いとは
冒頭で簡単に触れたように、両者には以下のような違いがあります。
- ゼロトラスト=セキュリティ上の理念
- SASE=セキュリティ強化のための具体的なフレームワーク
ゼロトラストネットワークは何も信頼しないという前提で境界型防御を脱却する概念ですが、それを実現するために必要なソリューションをまとめたフレームワークのひとつがSASEとなります。SASEは上記のメリットを見るとわかるとおり、コスト削減や業務効率化などのメリットももたらします。
SASEによるゼロトラストの実現
現代にマッチするセキュリティのあり方を実現するためには、SASEをゼロトラストセキュリティの構築に役立てるべきでしょう。SASEはセキュリティとネットワークを一元管理できるフレームワークであるため、ゼロトラストセキュリティの実現には最適といえます。
複雑化することで管理のしづらさが指摘されているセキュリティは、SASEによって一元化することで容易に管理ができるようになります。ただし、SASEは最近登場したアプローチであるため、今のところ単一のSASEソリューションは提供されていません。そのため、セキュリティを強化するためには、SASEのアプローチをセキュリティポリシーのベースとして、製品やソリューションの選定に役立てることが大切です。
SASEの主な機能
SASEに含まれる代表的な機能として以下があります。
- SD-WAN
- CASB
- SWG
- ZTNA
- FWaaS
SD-WAN
SD-WAN (Software-Defined Wide Area Network)はソフトウェアでWAN(広域ネットワーク)の制御や管理を実施できる機能です。
SD-WANを利用することで、通信経路の仮想化が可能です。仮想的なネットワークがあることで、ソフトウェアで制御できるネットワークが実現します。
SD-WANによってネットワークの制御ができることで、通信状況の可視化やトラフィックの優先順位をつけられることがメリットです。これにより通信の安全性の確認や、レイテンシが少なくなる通信の制御が実現します。
CASB
CASB(Cloud Access Security Broker)は複数のクラウドサービスを利用する際のセキュリティ対策を実現する機能です。
CASBを使わずにセキュリティ対策を実施しようとすると、各サービスに対してセキュリティ設定を実施する必要があります。しかし、クラウドサービスの利用が増え、複数のサービスを利用することが一般的になり、各サービスへの設定は負担が大きくなってきていました。
CASBを利用すると複数のクラウドサービスへのセキュリティ対策を一元管理できるため、設定や運用の負担を大きく軽減できます。
CASBについては別記事で詳しく解説していますので、あわせてご覧ください。
SWG
SWG(Secure Web Gateway)は社外へのアクセスを安全に利用するために接続するプロキシの機能です。
プロキシは従来から社外へのアクセス時に利用されてきました。プロキシを経由して社外に接続することで、社内情報の匿名性が保持されたり、プロキシから外側の通信を制御したりできるメリットがあります。
そのプロキシに、URLフィルタやアンチウイルスなどセキュリティ機能が追加されたサービスがSWGです。SWGを利用することで、社内から外部に通信する際のセキュリティ強化を実現できます。
ZTNA
ZTNA(Zero Trust Network Access)はゼロトラストの概念を実現したネットワークアクセスの機能です。
ZTNAはゼロトラストベースで運用するため、従業員がどのサービスにアクセスする場合でも従業員を信頼しません。そのため、各サービスにアクセスする際に従業員は認証や許可を受ける必要があります。
ZTNAは認証や許可がなければ、社内網、社内PCであっても通信を許さない厳しい設定ができるセキュリティ対策です。
なおZTNAを用いたSASEを利用する場合には、認証機能が特に重要になります。認証機能を実現するソリューションの一つとしてIDaaSがおすすめです。
FWaaS
FWaaS(Firewall as a Service)はクラウドベースのファイアウォールを提供するサービスです。
従来のファイアウォールは社内やデータセンターに設置し、運用することが一般的でした。しかし、FWaaSはクラウドベースのため、自社で設置する必要なく運用できます。これにより、クラウドベースのメリットである以下を実現可能です。
- 高いスケーラビリティ
- クラウド上で柔軟に設定変更が可能
FWaaSは従来のファイアウォール機能で通信をブロックしつつ、クラウドベース故のメリットも享受できるサービスです。
まとめ
SASEはゼロトラストの概念を実現するセキュリティソリューションの一つです。ゼロトラストのため、ユーザーは認証や許可を受けながら社内で通信をする必要があります。よってSASEソリューションを利用する場合には、認証サービスとしてIDaaSの導入がおすすめです。
HENNGEが提供するIdentity Editionでは、情報漏洩対策やアクセス制限、シングルサインオンといった包括的セキュリティ対策を行っています。効率的な業務環境整備にも役立つため、ぜひ利用を検討してみてください。
