テレワーク推進などに伴い、企業でのクラウド利活用が進むなかで「SASE（サッシ―）」という新しい概念が注目を集めています。

「サッシ―？？あー、元A●B48の子だよね！かわいいよね～！」となった方はさすがにいないかと思いますが...

クラウドの利活用を進めている企業のIT担当者の方の中には
「社員から“ネットワークの通信が遅くて、テレビ会議システムの画面が固まっちゃう！”という問い合わせが多いんだよなぁ・・・」
「社外から社内システムへアクセスすることが増えているけれど、当社のセキュリティ対策は本当に大丈夫なのだろうか・・・」
というお悩みを抱えている方は多いのではないでしょうか。

SASEは、そんなIT担当者の「救世主」になるかもしれません。
今回はSASEとは何か？導入時のメリットやポイントまで解説します。

SASEとは？

SASEとは「Secure Access Service Edge」 の略で、一言でいうと、これまで別々に構築していたネットワーク機能とセキュリティ機能を一体化させ、1つのクラウドベースで提供するという新しいアーキテクチャ（構成）です。

2019年に米国の調査会社 ガートナー社が発行したレポート「The Future of Network Security Is in the Cloud（※注　全英文）」にて提唱され、企業のクラウド利用の推進に欠かせない概念として注目されてきました。

SASEの仕組み～構成ソリューション例～

冒頭でも触れましたが、SASEは、複数のネットワーク機能とセキュリティ機能をまとめて、1つのプラットフォームで提供しています。

SASEの構成要素すべてを把握するのは難しいため、今回は、構成要素の中でも主な4機能に絞ってご紹介します。

①【ネットワーク機能】SD-WAN（Software-Defined WAN）
②【セキュリティ機能】CASB（Cloud Access Security Broker）
③【セキュリティ機能】SWG（Secure Web Gateway）
④【セキュリティ機能】ZTNA（Zero Trust Network Access）

①【ネットワーク機能】SD-WAN（Software-Defined WAN）
SD-WANとは、ソフトウェアでネットワークを一元管理し、通信経路をコントロールする技術です。ネットワークの負荷分散ができるため、遅延を防ぐことができるというメリットがあります。

詳しくはこちら「SD-WANって実際どうなの？ メリットや注意点をみんながわかるように解説！」

②【セキュリティ機能】CASB（Cloud Access Security Broker）
CASBとは、複数のSaaS（※）アプリケーションのセキュリティを単一の管理システムで管理しようという考え方です。

「可視化・分析」「コントロール」「データ保護」「脅威防御」という4つの機能から構成されており、シャドーIT（※）の問題を解決する手段として注目されています。

※SaaS：Software as a Service：クラウド上で必要な機能を必要な分だけ、サービスとして利用できるソフトウェアの提供形態。
※シャドーIT：企業の組織内で用いられる情報システムやその構成要素（機器やソフトウェアなど）のうち、従業員や各業務部門の判断で導入・使用され、経営部門やシステム管理部門による把握や管理が及んでいないもの。

③【セキュリティ機能】SWG（Secure Web Gateway）
SWGとは、URLフィルタリング（※）、アプリケーションフィルター（※）、アンチウイルス（※）、サンドボックス（※）など複数のセキュリティ機能をクラウド上で提供するサービスのことです。

CASBがSaaSのセキュリティを対象としているのに対し、SWGはWebサイトのセキュリティを対象にしています。

※URLフィルタリング：不適切なURLへのアクセスを阻止する仕組み。
※アプリケーションフィルター：事前に設定したルールによって、ユーザーのアプリケーションアクセスを制御する仕組み。
※アンチウイルス：コンピュータウイルスやマルウェアへの対策を意味する。ウイルス対策ソフトや、ウイルスの感染や拡大を防ぐための考え方やリテラシーも含めてアンチウイルスと呼ばれる。
※サンドボックス：外界と隔離された領域で、プログラムを実行し、問題発生時においても他のプログラムに影響を及ぼさないようにする仕組み。

④【セキュリティ機能】ZTNA（Zero Trust Network Access）
ZTNAとは、ゼロトラスト（※）の考えに基づいたネットワークアクセス環境を提供するサービスです。

ユーザーがリモートアクセスする際、使用しているネットワーク、デバイスをすべてクラウド上で検証し、事前に定義した情報にもとづいてアクセスを許可します。

※ゼロトラスト：「何も信頼しない」を前提に対策を講じるセキュリティの考え方。詳しくは、この後「2. SASEとゼロトラスト」にて解説。

SASEが注目されるようになった背景 　

SASEについて詳しく解説する前に「従来の構成」について簡単に触れておきます。

従来の構成では、データセンターを中心とし、VPN（※）などを利用して社内ネットワークを経由し、Webやクラウドサービスに通信する形が一般的で、社内プロキシサーバー（※）やファイアウォール（※）での環境防御によって外部の脅威に対するセキュリティ対策を行っておりました。

※VPN：「Virtual Private Network」の略称。インターネット上で利用者専用の仮想的なプライベートネットワークを構築することで、セキュリティ上の安全性を担保して通信を行う技術。
※プロキシサーバー：インターネットに直接接続できないコンピューターに代わり、インターネットに接続し、Webサイトへのアクセスなどを行うサーバーのこと。ネットワーク内におけるインターネットの出入り口をプロキシサーバー経由に限定することで、外部からの不正アクセスを防止したり、業務と関係のないWebサイトへのアクセスを禁止したりすることができる。
※ファイアウォール：ネットワーク通信において、その通信をさせるかどうかを判断し許可するまたは拒否する仕組み。

しかし、従来型の構成は、急激なテレワークの推進やクラウドサービスの普及が進んでいる現代において、適切な構成環境とは言えなくなってきております。

ネットワーク遅延問題や、運用管理面でのコスト増加につながってしまうケースが多いためです。

あなたの会社でも、Google workspace、Microsoft365、SlackやZoomなど、さまざまなクラウドサービスを活用していると思います。
その際、下記のような課題に頭を悩ませていないでしょうか。

お悩み①「ネットワークの遅延が多くて社員が快適に利用できていない！」
お悩み②「テレワークの急増によりシャドーITの把握/制御ができず、セキュリティが不安...」
お悩み③「ネットワーク／セキュリティシステムの運用が煩雑になっており、管理・運用コストが増加している...」

お悩み①「ネットワークの遅延が多くて社員が快適に利用できていない！」
クラウドサービスやテレワークの推進により、Web会議などを利用する機会も増え、通信量は増加しています。

従来のデータセンターを中心としたネットワーク設計では、大量のデータがネットワーク上を流れることを想定して設計していないことが多く、ネットワークの遅延が発生しやすくなります。

せっかく業務効率化のためにクラウドサービスを導入したにも関わらず、ネットワーク遅延が発生して社員にストレスを与えてしまうのであれば、本末転倒です。

したがって、クラウドサービスの本格的な利活用に向けて、ネットワークの速度面など、質の改善は急務で解決すべき課題と言えます。

お悩み②「テレワークの急増によりシャドーITの把握/制御ができず、セキュリティが不安...」
テレワークの推進により、自宅など、社外から社内システムへのアクセスが増えてきました。
社外から社内のシステムに接続する際は、VPNを導入してデータセンター経由で社内システムにアクセスさせる形が、従来型の構成では一般的でした。

しかしながら、「お悩み①」でもあったように、データセンター経由でクラウドを利用すると、ネットワーク遅延が多く発生してしまいますし、VPNも大量のネットワークが一気に接続されるとパンクしてしまうため、更にネットワーク遅延に拍車をかけます。

そして、ネットワーク遅延が多く発生すると、結果としてシャドーITが増加します。

業務上でのネットワーク遅延に耐えられない社員が、自宅のインターネットから直接、会社未承認のものも含めたクラウドサービスに接続して、「快適に仕事をしよう」という発想に至ってしまうためです。

その対策として、管理者側としてはシャドーITを即座に検知し、制御できる仕組み作りが必要です。シャドーITは、会社の情報を個人利用のクラウドサービスなどに持ち出されるリスクがあるためです。

こういったテレワーク時代だからこそ起こる、新たなセキュリティ対策の検討が必要と言えます。

お悩み③「ネットワーク／セキュリティシステムの運用が煩雑になっており、管理・運用コストが増加している...」
ネットワーク、セキュリティにおいては様々なサービスが提供されていますが、複数ベンダーのサービスを導入していった結果、システムごとに異なる運用マニュアルの存在や、運用業務が属人化してしまうことが課題として挙げられます。

こうした状況は人的コストの増加だけではなく、セキュリティリスクを増大させる可能性もあります。複数のシステムを同時に利用する環境では、システムごとのセキュリティルールが統一しづらく、外部からのマルウェア（※）侵入経路を作ってしまうことにもつながるからです。

※マルウェア：不正かつ有害な動作を行う意図で作成された悪意のあるソフトウェアや悪質なコードの総称。

上記のようなお悩みを抱えながらも、多くの企業は従来のデータセンター中心のITインフラ構成でクラウドサービスを無理やり利用しようとしているのが現状です。

『これからクラウドの時代なのに、従来型の構成のままだとマズくない？？』
上記のようなお悩みを解決するために提唱されたのが、「SASE」なのです。

SASEとゼロトラスト

ZTNAの紹介で少し登場しましたが、SASEと一緒に覚えていただきたいキーワードとして「ゼロトラスト」があります。ゼロトラストについて簡単にいうと、“境界のないセキュリティ”と呼ばれるセキュリティモデルのことです。

従来のセキュリティは、ネットワークを内側と外側の2つに分け、境界点にファイアウォールなどで防御壁を作り、その防御壁を管理していました。

防御壁の内側にいる社員・デバイスは「信頼できるもの」、外側は「信頼できないもの」とし、外側からの攻撃、脅威に対処していこうといった考え方が主流でした。
この考え方を「境界型セキュリティモデル」と呼びます。

それに対し、「ゼロトラスト」は“境界の無いセキュリティ”という名の通り、社内、社外を区別せず、全てのアクセスやネットワークを脅威と捉え、信頼せず、攻撃されることを前提とした考え方です。

テレワークやリモートワークの浸透と共に注目され、「ゼロトラスト」実現のためには、従来よりも厳格なセキュリティ対策が必要となります。
また、「ゼロトラスト」を実現するために必要なサービスを提供する仕組みが「SASE」です。

ゼロトラストについて詳しくはこちら「【セキュリティ】情シス部員なら知っておきたい！ゼロトラストセキュリティの基礎知識」

SASEのメリット

さて、SASEを導入することにより、どのようなメリットがあるのでしょうか。
「SASEが注目されるようになった背景」で述べた、3つのお悩みをポイントごとに解説していきます。

お悩み①「ネットワークの遅延が多くて社員が快適に利用できていない！」

　→SASEなら、通信のパフォーマンス改善ができる！

SASEに含まれるSD-WANというサービスが、通信量増加に伴うネットワークの遅延を解決します。クラウド上でネットワーク管理が可能になるため、自社のファイアウォール、プロキシサーバー、ゲートウェイなどにかかる負担を大幅に軽減することができます。

これにより、通信量増加に伴うネットワークの遅延、通信品質の劣化などを防ぐことで業務効率化に繋げ、良質な業務環境を社員に提供できます。

お悩み②「テレワークの急増によりシャドーITの把握/制御ができず、セキュリティが不安...」

　→SASEなら、利便性とセキュリティの両方を実現できる！

SASEを導入することで、ネットワークやセキュリティをすべてクラウド上で管理できるようになります。

たとえば、SD-WAN単体では、企業がクラウドサービスを利用する際に、WAN構成を柔軟に変更できるというメリットはあるものの、各拠点から直接インターネットへ接続する際のセキュリティ面では、セキュリティホール（※）が生まれやすいという懸念点もあります。

一方でSASEでは、クラウド利用時の利便性に加えて、セキュリティ強化も実現できるのがポイントです。

CASBやSWGといったクラウド型セキュリティサービスを活用することで、境界にとらわれず、あらゆるユーザーやデバイスへの対策を行う「ゼロトラストセキュリティ」が実現できます。

※セキュリティホール：コンピュータのOSやソフトウェアにおいて、プログラムの不都合や設計上のミスが原因となって発生したセキュリティ上の欠陥のこと。

お悩み③「ネットワーク／セキュリティシステムの運用が煩雑になっており、管理・運用コストが増加している...」

　→SASEなら、運用の複雑さと管理・運用コストを削減できる！

SASEを導入することで、ネットワークやセキュリティのすべてを単一のクラウド上で設定できるため、ベンダーの総数が減り、運用にかかる負担やコストを大幅に削減できます。

オンプレミス型システムを構築したり、ネットワーク設定のために全国各地へわざわざ足を運ぶ必要もなくなります。

また、システムを拡張したい際は、SaaSベンダーへ相談するだけでスムーズに実現できます。
さらにセキュリティ面においては、セキュリティポリシーの設定を一貫して適用できるため、IT担当者にかかる運用負担を軽減できます。

これにより、日々の運用に追われ、後回しになっていた重要度の高い業務へ集中できるようになるため、IT担当者自身の生産性向上にも繋げることが可能です。

SASE導入時のリスクとポイント

■SASE導入時のリスク
SASE導入には様々なメリットがありますが、一方で多少のリスクがあることも抑えておきましょう。

たとえば、SASEはあらゆるサービスを単一のクラウドで利用するため、一度通信や設定で問題が発生した際に、事業のほとんどが止まってしまう可能性があります。

また、SASEは新しいサービス概念なため、今後SASEを狙ったウィルスや攻撃手法が出てくるリスクもあるでしょう。

登場したばかりのソリューションは、市場環境が大きく変化していくことが考えられます。
導入直後により魅力的な別サービスが登場したり、利用中のサービスが突然終了したりすることによって、機会損失につながるリスクもあります。

■SASE導入時のポイント

最後にSASE導入時のポイントについても抑えておきましょう。

まず知っておかなければならないこととして、現時点ではSASEの機能を完璧に網羅しているサービスは無く、自社の要件に合わせて適切な組み合わせをしていく必要があるということです。

まずは、自社のシステムがどのような構成になっているかを明確にし、必要な機能を実現するサービスは何かを確認します。
その後、SASE実現に向けた詳細な計画を策定し、どこから優先して取り組むかを決定します。

SASE導入で失敗しないためには、最小限のベンダーにとどめることが重要です。
なぜなら、関わるベンダーやサービスが増えてしまうと、管理や運用面での複雑さが増してしまい、SASEのメリットである運用コストの軽減を享受することができないためです。

 まとめ

今回は「SASE」について解説しました。
「SASE」について覚えていただきたいポイントは下記の3点です。

①SASEとは「Secure Access Service Edge」 の略で、ネットワーク機能とセキュリティ機能を　　一体化させ、1つのクラウドベースで提供するという新しいアーキテクチャ（構成）のこと。
②SASEの導入により、ネットワーク遅延の防止／ゼロトラストセキュリティの実現／
　管理・運用コストの削減など、クラウド利用に伴うお悩みを解決することが可能。
③現時点ではSASEの機能を完璧に網羅しているサービスは無いため、自社の要件に合わせて
　適切な組み合わせをしていく必要がある。

働き方の多様化やテレワークの普及に伴い、安全かつ便利にクラウドを活用できる仕組みが求められています。
SASEはこれからのクラウド時代の「救世主」ともいえるでしょう。

快適なネットワーク環境とセキュリティの確保を両方実現したい！とお考えの場合は、自社にとって必要な条件を見極めた上で、SASE導入を検討してみてはいかがでしょうか。

■関連記事

・クラウド時代の新しいネットワーク　SD-WANの6機能とは！？

・導入コストを抑えて社内の悩みを解決！SD-WAN導入のイロハ

・【SD-WANは1つではない】企業のポリシーに合うSD-WAN製品の選択を！

※この記事は、公開時点の情報をもとに作成しています。

​​​​​​​