PCに限らず、スマートフォンやタブレットといった電子デバイスがインターネットに接続することが普通になった今、サイバー攻撃の脅威は年々増加しています。
そんな中で、注目を浴びている概念がゼロトラストネットワークであり、そのゼロトラストネットワークを実現する技術として知られるのがSASEやCASBです。
本記事では、ゼロトラストネットワークを実現するためのSASEやCASBについての基本的な知識や違いについて詳しく解説します。
SASEとCASBの基本概念
現代の企業にとって、インターネットやクラウドサービスの利用は当然の状態といえます。インターネットに接続することは、便利な反面「常に危険にさらされる可能性がある」ということを忘れてはいけません。
セキュリティと利便性を担保するために導入が進んでいるのがSASE(Secure Access Service Edge)とCASB(Cloud Access Security Broker)です。
これらのサービスの基本概念を理解することで、企業のセキュリティ戦略にどのように役立つかを理解していきましょう。
ゼロトラストモデルの基礎知識
SASEやCASBを導入するにあたり、基本的な考え方となるのが「ゼロトラスト」です。
これまでのネットワークセキュリティは、社内と社外で分断し、社外からの攻撃を防ぐことが主軸でした。
しかし、サイバー攻撃の巧妙化により、社内ネットワークからマルウェアの被害が拡大することが増えました。
ゼロトラストは、信頼(Trust)する対象がゼロという意味で、ネットワーク内外の全てのアクセスを信頼しないことを前提とし、常に検証を行います。
つまり、社内ネットワークであっても信頼せず、社外からのアクセスと同等に扱います。これにより、セキュリティの一貫性を確保し、社内の潜在的な脅威も未然に防ぎます。
SASEとは何か?
SASE(Secure Access Service Edge)は、ネットワーク機能とセキュリティ機能をクラウドベースで統合したセキュリティのコンセプトです。SASEはコンセプトですが、そのコンセプトに基づいたセキュリティソリューションを指すこともあります。SASEはゼロトラストの考え方に基づいて生まれたコンセプトです。
SASEはリモートワークや複数拠点がある組織に対しても安全に社内リソースへアクセスできる環境を提供します。
SASEの具体的な機能は以下です。
- CASB
- FWaaS:ファイアウォール機能
- SWG:プロキシ機能
- ZTNA:ゼロトラストに基づいたアクセス制限機能
今回解説するCASBもSASEの一部として含まれています。
CASBとは何か?
CASB(Cloud Access Security Broker)はクラウドサービス利用における情報セキュリティのコンセプトです。CASBはコンセプトですが、そのコンセプトに基づいたクラウドサービスへのアクセスを監視し、制御するためのセキュリティソリューションを指すこともあります。
CASBには以下の機能があります。
- クラウドサービスの利用状況の可視化
- データの暗号化や損失防止によるデータ流出の対応
- 異常な行動を検知、防御による不正アクセスの防止
CASBを導入することで、上記のように企業が安全かつ安心してクラウドサービスの利用をできるようセキュリティ強化が可能です。
SASEとCASBの違い
SASEとCASBは、どちらもゼロトラストを実現するためのソリューションですが、目的や機能において異なる点があります。
ここでは、それぞれの役割と機能、適用範囲について詳しく解説します。
SASEとCASBの役割と機能の違い
SASEとCASB機能の違いは以下のとおりです。
- SASE
- CASB
- FWaaS:ファイアウォール機能
- SWG:プロキシ機能
- ZTNA:ゼロトラストに基づいたアクセス制限機能
- CASB
- クラウドサービスの利用状況の可視化
- データの暗号化や損失防止によるデータ流出の対応
- 異常な行動を検知、防御による不正アクセスの防止
ご覧の通り、CASBはSASEの一部の機能として捉えられます。SASEはネットワークセキュリティを強化するためのソリューションです。一方でCASBはクラウドサービスの利用を安全に保つ機能が備わったソリューションとなります。
よってどちらを導入するのか、を判断する際には自社がどのようにセキュリティ強化したいか、を踏まえることが重要です。
SASEとCASBの適用範囲の違い
SASEとCASBの役割の違いは対応範囲です。
SASEは、リモートワークや分散型の組織を含む広範なネットワーク環境全体をカバーします。一方、CASBはクラウドサービスのセキュリティに特化し、企業のデータがクラウド環境で安全に保たれるよう支援します。これにより、企業はそれぞれのニーズに応じたセキュリティ対策を講じることができます。
SASEは、オンプレミスのセキュリティ機能とクラウドベースのサービスを組み合わせて提供することで、包括的なセキュリティを実現可能です。CASBは、クラウドサービス利用時のデータ保護とコンプライアンスを強化し、リスクを軽減します。
SASEとCASBの選び方
SASEとCASBは、それぞれがサポートする範囲が異なるため、どちらが良いかを単純比較できるものではありません。導入する企業のニーズや環境に応じて慎重に行う必要があると考えましょう。
ここでは、どちらを選ぶべきか、また適切な製品の選び方について詳しく解説します。
SASEとCASBのどちらを選ぶべきか
企業のセキュリティに対するニーズや、その企業の環境によって、SASEとCASBのどちらが適しているかが異なります。
たとえば、リモートワークが主流の企業や分散拠点を持つ企業のネットワーク構築にはSASEが適しています。一方で1拠点で完結し、クラウドサービス利用のマネジメントが主要な目的であればCASBを選ぶべきです。
SASEはCASBを包括しているためSASEを選ぶ、という選択も可能です。ただし、予算や導入の手間などのコストを踏まえましょう。CASBの方がコストが小さく済む可能性があります。
そのため、企業は包括的なSASEを選ぶよりも自社のセキュリティ要件を明確にし、どちらのソリューションがより適しているかを判断すべきです。
- SASEはネットワーク全体のセキュリティを強化するために利用する
- CASBはクラウドサービス利用時のセキュリティを強化するために利用する
と考えると良いでしょう。
企業に適したSASE製品の選び方
企業にSASEを導入する場合、注意するべき点は以下の通りです。
- 必要なネットワーク機能やセキュリティ機能が搭載されていること
- ネットワークのパフォーマンスに悪影響が少ないこと
- 導入時のコストが少ないこと
- ユーザー数や拠点数、リモートワーク社員の急増があっても対応できること
SASEを導入する場合、特に注意しなければならないのがネットワークのパフォーマンスが低下することと、導入時のコストが大きすぎることです。導入コストやパフォーマンスの負の影響が大きいと従来の業務の生産性が落ちる可能性があります。
セキュリティを強化した結果、生産性が下がることがないように十分注意しましょう。
CASB製品の選び方とおすすめポイント
CASB製品を導入する際に気を付けるべきポイントは以下の通りです。
- 自社で利用しているクラウドサービスと互換性があること
- 導入方式は自社が望むタイプかどうか
- 利用状況の可視化、異常検知、データ損失防止のそれぞれが含まれていること
特に社内で利用するクラウドサービスのセキュリティ対策をするソリューションのため、利用中のクラウドサービスとの互換性は必須要件です。
CASBの導入方式はプロキシ型、API型、ログ分析型の大きく3種類があります。それぞれに一長一短があるので、自社が導入しやすい型の製品を選択しましょう。
またCASBで使えるべき3つの機能がそれぞれ使えることも重視すべきです。CASB製品によっては3つが備わっていないこともあります。
SASEとCASBと他のセキュリティソリューションの違い
SASEやCASBのほかにも、様々なセキュリティソリューションが存在します。
ここでは、他のサービスの特徴や、前述のサービスとの違いについて解説します。
SWGとの違い
SWG(Secure Web Gateway)は、Webトラフィックを監視し、制御することで、マルウェアや不正なWebサイトへのアクセスを防ぐセキュリティサービスです。SWGを利用することで、デバイスのマルウェア感染やデータの漏えいを防ぐ役割を期待できます。
SASE,CASBとSWGは、いずれもセキュリティソリューションですが、守る範囲が異なります。
SASEはネットワーク全体のセキュリティとパフォーマンスを向上させます。SWGもCASBと同様にSASEを実現する機能のひとつと考えると良いでしょう。
CASBは提供するクラウドサービスを安全に利用することを目的としたソリューションです。CASBはクラウドサービスを利用中の状況やトラブル解決に機能します。一方でSWGはクラウドサービスやインターネットの利用開始時のトラブルを防ぐ役割です。
ZTNAとの違い
ZTNA(Zero Trust Network Access)は、ネットワークへのアクセスをゼロトラストモデルに基づいて制御するソリューションです。ZTNAは、ユーザーやデバイスの認証と認可を強化し、必要なリソースへのアクセスのみを許可します。認証や認可、リソースの利用状況を可視化する機能もあります。ZTNAを用いることで、内部不正も含めたセキュリティリスクの低減が可能です。
SASEとCASBとZTNAは、いずれも情報セキュリティ対策に有効ですが、それぞれ対応範囲が異なります。
SASEは、ZTNAの機能を含む広範なセキュリティソリューションを提供します。ZTNAもSASEを実現するための1つの機能、と考えましょう。
CASBはクラウドサービスの利用状況の可視化や、クラウド上のデータの損失を防止する役割です。一方でZTNAはクラウドサービスだけでなく、オンプレミスも含めて機能を提供します。
ZTNAはゼロトラストに基づき、自社が利用するオンプレミス、クラウドそれぞれのセキュリティ強化を実現するソリューションです。よってパブリッククラウドのサービスだけでなく、オンプレミスやプライベートクラウドへの利用状況可視化やデータ損失の防止、アクセス制限といった役割の役割を持ちます。
具体的なSASEとCASB製品の紹介
ここからは、実際にサービスを展開しているSASE製品を紹介します。
主要なSASE製品とその特徴
まずは、世界に展開している以下のSASE製品を紹介します。
- Cato SASE
- Prisma SASE
Cato SASE
Cato SASEはCato Networksが提供するSASE製品です。世界で2,000社以上に利用されており、ゼロトラストエッジソリューションのリーダーとして選ばれたこともある代表的なSASE製品と言えます。
Cato SASEは世界の80以上の拠点からサポートする体制やスケーラビリティにも優れているSASE製品です。
Prisma SASE
Prisma SASEは、Palo Alto Networksが提供するSASEソリューションです。高度なセキュリティ機能とネットワーク管理機能を兼ね備えており、導入社数は2,500を超えています。こちらも代表的なSASE製品でガートナーなどから高い評価を受けています。
また同製品はAIを利用した脅威の検出を強化させて、さらなる顧客への貢献に力を入れています。
おすすめのCASB製品とその特徴
次に、おすすめのCASB製品として以下2点を紹介します。
- ForcePoint CASB
- Microsoft Defender for Cloud App
ForcePoint CASB
Forcepoint CASBは、ForcePoint社が提供するCASB製品です。
同製品は他社製品と比較して連携できるクラウドサービスが多いメリットがあります。またエージェントレスで導入しやすいことも特徴です。
日本国内でも導入事例が増えてきている、有力なCASB製品と言えます。
Microsoft Defender for Cloud Apps
Microsoft Defender for Cloud Appsは、Microsoft社が提供するCASB製品です。
Microsoft 365やAzureはもちろんのこと、さまざまなクラウドアプリケーションに対応しており、包括的なセキュリティ対策を実現できます。
特に、同社の展開する Microsoft Defender XDRやEntraID(旧Azure AD)との親和性が高いことも大きなメリットであり、WindowsやEntraIDを社内インフラとして活用する場合には大きな運用コストの削減が望めます。
SASEの実現に必要な認証基盤も検討を
HENNGE One Identity Editionは、企業の従業員がクラウドサービスを安全かつ効率的に利用できるようにするセキュリティソリューションです。
クラウドサービスの利用時には基本的に認証基盤を通る必要があります。SASEやCASBに認証の監視や多要素認証の機能が加わることで、より安全なネットワーク環境を実現可能です。HENNGE One Identity Editionを利用することで、多要素認証やシングルサインオンが可能になるため、認証による不正を防ぎやすくなります。
またActive Directory連携やセキュアブラウザも、ユーザーの使い勝手を崩さずに安全なサービス利用に貢献します。
SASEやCASBの導入時にさらなるセキュリティ強化にご興味をお持ちであれば、下記リンクからお問い合わせください。
HENNGE One Identity Edition
まとめ
SASEとCASBの基本的な知識や違い、選び方について解説してきました。
インターネットの普及に伴い便利になった反面、サイバー攻撃の脅威は増しています。
利便性とセキュリティを両立するためにも、「ゼロトラストネットワーク」を実現するSASEやCASB等の導入を検討してみてはいかがでしょうか。
SASEやCASBの導入時にさらなるセキュリティ強化にご興味をお持ちであれば、下記リンクからお問い合わせください。
https://hennge.com/jp/service/one/identity/
- カテゴリ:
- ゼロトラスト