SASEはゼロトラストアーキテクチャを支える重要な要素であり、従来のネットワーク境界に依存せず、あらゆる場所からのアクセスを保護します。企業のデジタルトランスフォーメーションの進展やリモートワークの普及、クラウドサービス利用の拡大に伴い、セキュリティはクラウドへとシフトしています。SASEはこの変化に対応し、場所を問わず安全なアクセスを実現するセキュリティ基盤として注目されています。
かつての企業ネットワークは、オフィスネットワークと企業専用のデータセンターで構成されていました。従業員はオフィスに出勤し、PCにログインして、データセンターで稼働するアプリケーションにアクセスしていました。企業の業務アクセスはすべてネットワーク境界内で完結していました。
従来のネットワークセキュリティでは、ネットワークの周囲にファイアウォールを配置して保護していました。ユーザがファイアウォール内に入ると、そのデバイスは「信頼済み」とみなされ、以降の通信はほとんど検証されませんでした。
しかし、デジタルトランスフォーメーションにより、従業員の働き方は大きく変化しました。多くの従業員は、オフィスだけでなくリモートからも、企業データセンターの保護対象外であるクラウド上のアプリケーションにアクセスするようになりました。例えば、従業員がSalesforceを利用する際、自宅のノートPCからアクセスするケースも一般的です。アプリケーションがインターネット上で提供される場合もあれば、企業データセンター内のアプリケーションへリモートからアクセスする場合もあります。
現代のビジネス環境では、従来のような明確なネットワーク境界は存在しません。アクセスポイントが分散し、情報のやり取りにインターネットが不可欠となったためです。このような環境では、企業環境への入口である「エッジ」をいかに保護するかが課題となります。
分散環境で不十分となった境界セキュリティを補うため、ITチームは複数のベンダー製品やポリシー、管理コンソールを導入してきましたが、十分に対応しきれていません。SASEは、こうした課題に対応する新しいアプローチです。分散アクセス環境におけるセキュリティ運用の複雑さを軽減し、有効性の向上を実現します。
SASEは、ネットワーク機能とセキュリティ機能を統合したテクノロジー群です。従来、これらのテクノロジーは個別のソリューションとして提供されていましたが、SASEやZero Trust Edgeは、それらを単一の統合クラウドサービスとして提供します。
SASEモデルにより、組織はネットワークを統合し、分散したユーザとデバイスのセキュリティを強化することができます。
ユーザ中心のネットワークとセキュリティ管理を強化したい組織では、ZTNAを実現するためにSASEアーキテクチャを採用するケースが増えています。ゼロトラストモデルとは、デバイスやアクセスを「信頼せず、常に検証し、侵害を前提に備える」という考え方です。インターネットはあらゆるものを接続しますが、オープンな環境であるため、どのデバイスも本質的には信頼できません。
SASEは、ゼロトラストアーキテクチャにおける重要な要素です。SASEは単一の新技術ではなく、複数の既存技術と新技術を統合した仕組みであり、ユーザ、デバイス、さらにはエッジコンピューティング環境に対してセキュリティ制御を提供します。従来のサイバーセキュリティではデータセンターのファイアウォールで保護していましたが、SASEはデジタルID、リアルタイムのコンテキスト、組織のポリシーに基づいて認証・アクセス制御を行います。
SASEの重要な構成要素
SWGはインターネットアクセスを制御し、ユーザが閲覧できるコンテンツと、閲覧を制限すべきコンテンツを管理します。ユーザが不審なWebサイトにアクセスしたり、そこからファイルをダウンロードしようとしたり、ギャンブルサイトなどの禁止対象サイトへアクセスしようとした場合、SWGがそれらをブロックします。
サイバー攻撃は年々高度化しています。スペルミスや不自然な文章が特徴だった従来のフィッシングメールは認識しやすくなりましたが、攻撃者はさらに巧妙な手口を用いるようになっています。現在では、知識のあるユーザであっても、正規メールと攻撃メールを見分けるのは非常に困難です。
社内のサイバーセキュリティ研修は強固な防御体制の構築に不可欠ですが、研修を受けていてもユーザが誤って操作してしまう可能性は残ります。SWGは、セキュリティチームがネットワークとの間のすべてのトラフィックを監視するための重要なツールであり、脅威が検出された場合にはSWGを活用してリスクを軽減できます。
これらの制御は、大規模環境から小規模環境まで幅広く適用できます。具体例としては以下が挙げられます。
CASBはSaaSアプリケーションの可視性を向上させます。ユーザがSalesforce、Microsoft365などのアプリケーションに接続すると、セキュリティチームは転送されているデータ、OneDriveやSharePointにおけるアップロード・ダウンロードの内容、操作を行ったユーザ、操作日時などを可視化できます。
CASBはオンプレミスまたはクラウド上に導入されるソフトウェアで、ユーザとクラウドサービスの間を仲介しながら、クラウドアクセスに関するセキュリティポリシーを適用し、ネットワーク上の動作を監視します。
CASBでのレポート作成は、組織内のユーザグループごとにアクセスオプションを設定することから始まります。例えば、あるグループにはアップロードのみを許可したり、別のグループにはドキュメント編集を許可したり、また別のグループには閲覧のみを許可するといった細やかな制御が可能です。これらのポリシーは組織側で設定します。
また、組織は禁止行為が発生した際の対応も設定できます。セキュリティチームは、禁止行為を自動でブロックしたり、許可したうえでイベントログに記録する、などの処理を柔軟に設定できます。
ZTNAゲートウェイは、SASEを構成する新たな要素です。ZTNAは、認証されたユーザ・デバイス・アプリケーション間のトラフィックのみを許可するセキュリティアーキテクチャであり、すべてのトラフィックを「信頼しない」ことを前提にしています。エンドデバイスは安全性が検証されるまで潜在的に危険なものとして扱われます。ZTNAは、リモートユーザ認証において従来のVPNに代わる方式として広く採用されつつあります。
VPNは、組織が長年リモートユーザを組織内のネットワークへ接続するために使用してきた技術ですが、いくつかの課題があります。コストが高く、接続が不安定になる場合があるほか、リモート接続が非効率だと業務に支障をきたし、生産性低下につながる恐れがあります。
さらにVPNの最大の課題は、十分なセキュリティ制御がないまま広範囲のアクセスを付与してしまう点です。ユーザが自宅ネットワークからVPNを介して接続すると、組織のネットワークのフロントエンドからバックエンドまで広くアクセス可能となります。その結果、マルウェアがユーザ端末に侵入した場合、ネットワーク内を横移動してデータ窃取や情報漏えいを引き起こす危険性があります。
ZTNAは、ユーザ・デバイス・アプリケーションを個別に認証し、必要最小限のアクセス権のみを付与することで、マルウェアの横移動リスクを排除します。
ゼロトラストへの第一歩は、組織としてそのアーキテクチャを採用することを決断することです。ITチームとセキュリティチームは、時間をかけて複数のテクノロジーを段階的に導入することで、成熟度を高めていくことができます。
まず、日常業務に影響を与えている環境上の課題を把握することが重要です。例えば、インターネットアクセスが適切に制御されておらず、ユーザが意図せずマルウェアをダウンロードしてしまう可能性がある場合、SWGが最初に導入すべきゼロトラスト技術となることがあります。
次のステップとして、従業員が使用しているSaaSアプリを把握し、誰がどのアプリにアクセスできるのかを明確化します。可視性を高めることで、承認されたアクティビティに適切なアクセス権限を付与し、ユーザがポリシーを遵守しているかどうかを確認できます。
SASEのセキュリティパラメータを設定しただけでは、ネットワークが完全にゼロトラストになったとは言えません。これはゼロトラストへ向けた段階的な取り組みの一つです。ゼロトラストは、時間をかけてネットワークセキュリティを強化していく継続的なプロセスであり、取り組みを継続することで、セキュリティレベルは着実に向上していきます。
サイバーセキュリティの本質的な目的は、ノートPCやサーバといった物理資産や、ユーザアカウント、アプリケーションそのものを保護することではありません。ユーザ名、パスワード、組織固有のデータ、機密情報、決済情報など、事業運営に不可欠なデータを保護することこそ、サイバーセキュリティの目的です。