リモートワークの増加やマルウェア感染への対策が必要になってきている現代において、Secure Access Service Edge(以下、SASE)/Security Service Edge(以下、SSE)のニーズが増えてきています。
SASE/SSEの代表例として、Zscaler / Microsoft Entra / Cato / Cisco Secure Connect の4つのソリューションがあります。これから4回に分けて、各ソリューションの特徴を踏まえ、機能面の比較についてご紹介していきます。
- 境界型ネットワークからゼロトラストネットワークへの変革
- 各ソリューションの特徴
- 各ソリューションの機能比較
- SASE/SSE 導入ユースケース
本記事では、まずは「境界型ネットワークからゼロトラストネットワークへの変革」について解説します。
ゼロトラストネットワーク
現在、テレワークの普及に伴い、社外から社内ネットワークに接続する機会が増えたことや、マルウェア感染被害の増加により、ネットワークセキュリティの考えを改めなければならない状況となっています。
こちらの図をご覧ください。VPNを利用した既存の境界型ネットワークアクセスの仕組みが左図、ゼロトラストネットワークアクセス(ZTNA)の仕組みが右図になります。
左図のVPNは単なる仮想的なLANの引き伸ばしであるため、新たな攻撃表面を生み出す懸念があります。また、二次被害として社内システムにも影響が及ぶことになり、極めて危険な環境といえます。
右図のゼロトラストネットワークアクセスであれば、外部にさらされるネットワークの入り口がなくなるため、外部から攻撃されるリスクを低減することが可能となります。
また、一度の認証だけですべての社内リソースにアクセス可能なVPNとは異なり、ゼロトラストネットワークアクセスでは、ポリシーベースでのアクセス制御やリアルタイム認証を実施するためセキュリティが担保されます。
ゼロトラストネットワークの実現のためにはいくつかの要素が必要になります。
大きく分類すると、以下の4つの構成要素が必要になります。
- ユーザー
- デバイス
- ネットワーク
- 運用
本記事では「3.ネットワーク」のうち、「SASE / SSE」について詳しくご紹介します。
SSE(Security Service Edge)
SSEはセキュリティ・サービス・エッジ(Security Service Edge)の略で、データのセキュリティ強化を行い不正アクセスからデータを保護するための機能です。
これにより、以下のような事が可能となります。
- プロキシサーバー/ファイアウォールの負荷軽減
- クラウドサービス利用の可視化と制御
- 無防備なインターネットアクセスを防止
- セキュリティポリシーの統一
SASE(Secure Access Service Edge)
SASEとは、セキュア アクセス サービス エッジ(Secure Access Service Edge)の略で、SSEの持つ機能にSD-WAN機能を足したものです。
SD-WAN機能とは、物理的なWAN通信をソフトウェアで制御し仮想的なネットワークを構築・管理する技術です。
インターネットブレイクアウト機能により、インターネット回線の混雑回避、WANトラフィックの分散が実現可能になります。
本来なら、ゼロトラストネットワークを実現するには複数のセキュリティソリューションが必要です。
ですが、これらをSASE製品に一本化することで、セキュリティを向上しながらネットワークのパフォーマンスを維持し、さらに管理者の負担を軽減し、コスト削減も叶うなど、さまざまなメリットを得ることが出来ます。
まとめ
本記事では、近年、利用が増加傾向にあるSASE/SSEソリューションについて、概要を説明しました。
次回以降、代表的な4つのソリューションについて、それぞれの特徴、機能比較、導入ユースケースをご紹介していきます。