セキュアアクセスサービスエッジ (SASE) とは

Gartnerによって定義されたセキュアアクセスサービスエッジ (SASE)は、ネットワークサービスとセキュリティサービスを組み合わせたフレームワークです。

2020 Gartner SWG マジック クアドラント ビジョナリー

Netskopeは2020 Gartner SWG マジック クアドラント ビジョナリーにおいてビジョナリーに選出されました

 

詳細については、レポートをお読みください。

従来のネットワーク境界がなくなりつつあります。

従来のセキュリティ対策では、アプリケーションとユーザーがネットワーク境界内に存在することが想定されていましたが、この前提が崩れつつあります。企業データがクラウドに移行し、従業員がリモートで作業する作業が増えています。また、デジタルトランスフォーメーションイニシアチブでは、IT組織は新しいビジネスチャンスに素早く活用する必要があります。

 


その結果、従来のネットワーク境界は解消され、アクセス制御、データ保護、脅威保護を実現するための新しいモデルが必要です。これらの変更を考えると、ファイアウォール、セキュア Web ゲートウェイ、DLP、CASB などのスタンドアロンのポイント製品の既存のコレクションは、クラウドファーストの世界では適用しにくくなってきております。

SASEアーキテクチャはどのようなものでしょうか

SASEは、ネットワークとセキュリティサービスをクラウドで提供するアーキテクチャに統合し、あらゆる場所でユーザー、アプリケーション、データを保護します。ユーザーとアプリケーションが企業ネットワーク上に存在しなくなった場合、ネットワークエッジの従来のハードウェアアプライアンスにセキュリティ対策を依存させることはできません。代わりに、SASEでは、必要なネットワークとセキュリティをクラウドから提供します。SASEモデルは、適切に実行されれば、境界型のアプライアンスとレガシーソリューションを排除します 。セキュリティのためにアプライアンスにトラフィックを配信する代わりに、ユーザーは SASE クラウドサービスに接続して、セキュリティポリシーの一貫した適用でアプリケーションとデータを安全に使用できます。

SASEとは何で、SASEアーキテクチャはどのようなものなのでしょうか

SASEには以下の技術が含まれています

SASEアーキテクチャは、ユーザーとデバイスを識別し、ポリシーベースのセキュリティ制御を適用し、適切なアプリケーションやデータへの安全なアクセスを提供することができます。SASEは、ユーザー、データ、アプリケーション、デバイスの場所に関係なく、安全なアクセスを提供することを可能にします。

  • 単一のプラットフォームアーキテクチャかつクラウドネイティブのマイクロサービス
  • SSL/TLS 暗号化されたトラフィックを検査する機能
  • クラウドトラフィックとウェブトラフィックを復号できるインラインプロキシ(次世代SWG)
  • すべてのポートとプロトコルに対するファイアウォールと侵入保護(FWaaS)
  • マネージド・クラウドサービスに保管されたデータを検査するための API 連携機能 (CASB)
  • IaaS の設定を確認する、セキュリティ評価機能 (CSPM)
  • 移動中および保管中のデータ向けの先進的なデータ保護(DLP)
  • AI/ML、UEBA、サンドボックスなど、高度な脅威対策 (Advanced TP)
  • 脅威インテリジェンスの共有とEPP/EDR、SIEM、および SOAR との統合
  • ゼロトラストネットワークアクセスを備えたソフトウェア定義の境界線は、従来の VPNを置き換える(SDP、ZTNA)
  • SD-WANのような、支社間のネットワークを保護するもの
  • グローバルにPoPを備えた、キャリアグレードの、高い拡張性を持つネットワークインフラストラクチャ

ガートナーのSASEに関する予測

20%

の企業が、2023年までにSWG、CASB、ZTNA、ブランチの FWaaS を採用する

参考:GARTNER レポート: THE FUTURE OF NETWORK SECURITY IS
IN THE CLOUD

40%

の企業が、2024年までにSASEを採用するための戦略を策定する

参考:GARTNER レポート: THE FUTURE OF NETWORK SECURITY IS
IN THE CLOUD

SASEのメリット

01

柔軟性

従来のデータ・センターをわざわざ経由するものではなく、どこからでもクラウドまたはWebサイトへの直接アクセスが可能

02

コストの節約

オンプレミスインフラストラクチャの設備投資を削減し、サービスとしてのセキュリティモデルにより、運用コストを低く抑える

03

複雑さの軽減

セキュリティスタッフをアプライアンスの管理からポリシーベースのセキュリティサービスの提供に集中させることにシフトし、統合ポリシーを適用することで、SecOpsをシンプル化

04

パフォーマンスの向上

低レイテンシー、大容量、高可用性向けに最適化されたグローバルネットワークインフラストラクチャを通じて、インターネットリソースへのアクセスを強化および高速化

05

ゼロトラストネットワークアクセス

パブリック/プライベートクラウド上に展開されたプライベートアプリへのセキュアでコンテキストに基づいたアクセスを提供

06

脅威からの保護

クラウドフィッシング、マルウェア、ランサムウェア、悪意のあるインサイダーなどのクラウド攻撃やウェブ攻撃を阻止

07

データ保護

認可クラウドの中だけでなく、企業用と個人用のクラウドアプリケーションのインスタンス間も含めて、組織内外のあらゆる場所のデータを保護

SASEを始めるには

SASE の中核となるのは、クラウドのセキュリティをサービスとして再定義する、統合されていて、かつ拡張可能なアーキテクチャです。SASEを開始するには、次の質問を考慮してください。

現在、API と JSON を使用して数千のクラウドアプリとウェブトラフィックをデコードできる 1 つのインラインプロキシソリューションがありますか?

セキュア Web ゲートウェイ (SWG) とクラウドアクセスセキュリティブローカー (CASB) を統合することを検討してください。これにより、同じプラットフォームでクラウドホストされるデータ損失保護 (DLP) と高度な脅威対策 (ATP) 防御の重要な可視性と制御が提供されます。従来の SWG アプライアンスを廃止するほか、ゼロトラストネットワークアクセス(ZTNA)に移行して、従来のVPN アプライアンスを置き換えて、セキュリティで保護されたアクセス体制全体を最新化します。

現在のセキュリティスタックは、クラウド規模の SSL/TLS 復号化と検査を提供できますか。

クラウドトラフィックの大部分は暗号化されており、従来のネットワーク制御を回避するためにクラウドを活用する攻撃者が増えています。クラウド規模の SSL/TLS 検査を使用すると、脅威の状況を把握できます。

現在の MPLS /プライベートネットワークは高パフォーマンスであり高い可用性を持っていますか。

SASE が遅い場合、ユーザーは不満をいだきます。ユーザーは低レイテンシーで高いパフォーマンスを期待しています。優れたユーザーエクスペリエンスを提供するために、SASEソリューションは高いパフォーマンスを発揮するように設計されており、ユーザーのいる場所に近いところにPoPを設置します。

既存のセキュリティスタックを管理するために、現在何台のコンソールを準備し、どれほどのポリシーを作成する必要がありますか。

多くのベンダーが単にソフトウェアを仮想化し、クラウドベースのソリューションと呼んでいます。しかしSASE として設計されていない場合、複数の管理コンソール、管理が困難な複雑なポリシー、調査を実行するための時間の無駄なツールが必要になる可能性があります。単一の管理コンソール、単一のクライアント、および単一のポリシーを持つソリューションを選択して、SecOps チームが組織のセキュリティを最大限に活用できるようにします。

リソース

境界線を再構築しましょう