企業におけるクラウドの導入や利用が進んでいくにつれ、「SASE」や「SD-WAN」といったクラウドソリューションが注目されるようになってきました。しかし、これらはまだ新しい概念であることから、現場での理解が進んでいない、というのが現状となっています。そこで今回は、SASEやSD-WANの概要、そして、それぞれがどのような関わりを持っているのか、ということについて解説します。導入のリスクやポイントについても解説してありますので、ぜひ参考にしてみてください。
SASEとは?
SASE(サシー)とは、「Secure Access Service Edge」の略で、クラウドのネットワークやセキュリティを統合管理するための概念です。2019年8月にガートナー社によって提唱されましたが、現在では、クラウドやセキュリティを語るうえでは欠かすことのできないものとなっています。
近年は、クラウド型のネットワークやセキュリティのサービスがさまざまに登場しており、企業がそれらすべてを管理することは簡単ではないのが現状です。ネットワークやセキュリティに関する設計や設定がサービスや機器ごとに違うため、システム運用者の負担増加になっています。
そこで、クラウドにおけるネットワークとセキュリティを一元管理するために登場したのが「SASE」です。SASEは、働く場所や使用する機器は問いませんし、良質なネットワークやセキュリティ機能を提供します。
SASEが注目される背景
SASEが近年注目されている理由は、企業のトラフィック量の増加が挙げられます。特にインターネット技術が年々向上しているため、クラウドサービスが当たり前のように導入し利用されるようになってきました。
企業内のユーザーによるインターネットアクセスが増えると、通信を集中的に管理しているデータセンターへの負担が増大していきます。場合によっては、回線遅延やシステム障害につながり、業務に影響を及ぼすこともあります。
また最近では、働き方改革やコロナ禍の影響により、テレワークを導入する企業が増加傾向にあります。自宅から自社システムへセキュリティ的に安全にアクセスするためには、VPN接続によるアクセス一般的ですが、接続数の上限が設けられているため、上限を超えてしまうと、アクセスできない従業員が出てきてしまうという現状もあります。
上記で説明したように、アクセス量が増えたり、既存の接続方法では限界がある、という課題が存在する場合に、SASEが有効な解決策として注目されています。
SASEは、データセンターを経由しないで外部と通信可能である「インターネットブレイクアウト」や、リモートから安全に社内システムへアクセスできる「ゼロトラスト・ネットワークアクセス」を実現させます。これにより、外部のSaaSやWebサイトへスムーズにアクセス可能になり、データセンターを経由する自社回線の負担軽減を実現できます。
SASEの構成要素
SASEはとても幅広い意味をもつ概念であるため、すこし理解しづらいかもしれません。実際に、単一のSASE製品というものは存在しておらず、構成要素に合わせて個々のサービスを組み合わせて導入していくのが現時点での解決策となっています。SASEは、「ネットワーク」の要素と、「セキュリティ」の要素の2面をもっているのが特徴です。ガートナー社が公表した『The Future of Network Security Is in the Cloud』の内容を参考に、SASEの構成要素の例を機能別に説明していきます。
【ネットワーク機能】
- SD-WAN(Software-defined Wide Area Network)
- Geo Restrictions
- Routing and Path Selection
- Traffic Shaping
- Cost Optimization
- SaaS Acceleration
- Caching/CDN
- Bandwidth Optimization and Deduplication
【セキュリティ機能】
- CASB(Cloud access security broker)
- SWG(Secure Web Gateway)
- DLP(Data Loss Prevention)
- FWaaS(Firewall-as-a-Service)
- ZTNA(Zero Trust Network Access)
- WAF/WAAP(Web Application Firewall/Web Application and API Protection)
- UEBA/Fraud(User and Entity Behavior Analytics)
- Wi-Fi Protection
- DNS Protection
上記のなかで、主なソリューションとなるのが「SD-WAN」「CASB」「SWG」「ZTNA」といった技術です。SD-WANについては後述するので、以下では、ほかの3つについて簡単に説明いたします。
【CASB】
CASBは「Cloud access security broker」の略で、複数のSaaSアプリケーションのセキュリティを、一つの制御ポイントで管理する、という考え方のことです。CASBには、「可視化・分析」「コントロール」「データ保護」「脅威防御」の4つの機能があり、シャドーITの課題を解決することができる手段としても注目されています。
【SWG】
SWGとは、「Secure Web Gateway」のことで、「Webフィルタリング」「サンドボックス」「アプリケーション制御」「アンチウイルス」といった機能をクラウドで提供するサービスのことです。CASBがSaaSのセキュリティを対象としているのに対し、SWGでは、Webサイトのセキュリティに特化しています。
【ZTNA】
ZTNAとは、「Zero Trust Network Access」の略で、すべてのアクセスやネットワークを脅威とみなす、という「ゼロトラスト・ネットワーク」の考えをもとにしたソリューションです。企業内ユーザーがリモートアクセスをする時に、ユーザーの端末やアイデンティティについて、すべてクラウド上で検証し、事前に定義した情報に基づいてアクセスを許可します。これまでのVPN通信において課題であった、スケーラビリティや通信経路の問題を解決できるソリューションとして注目されています。
SASEの実現に欠かせないSD-WANとは?
SASEの実現にあたって、非常に大きな役割を果たしているのが「SD-WAN」です。SD-WANとは、「Software-defined Wide Area Network」の略で、企業が保有するWANをソフトウェアによって一元管理するための技術です。
SD-WANのベースとなっているのが、「SDN(Software Defined Networking)」という技術です。SDNとは、ソフトウェア上で管理することが可能なネットワークのことで、各機器のネットワーク構成や機能などを、1つの管理画面上から柔軟に設定・変更することが可能です。今まで、各機器でそれぞれ個別に設定していたものを統合的に管理することが可能であるため、ネットワーク管理者の負担を大幅に減らすことができる、ということがメリットです。
SD-WANは、SDNの考え方を企業のWANに適用したものです。各拠点に設置してあるネットワーク機器の設定を一元的に行うことが可能であるため、エンジニアを各拠点へ派遣したり、拠点ごとのポリシーを個別に設定する必要がなくなります。
SD-WANの仕組み
SASEとSD-WANの関係性を理解するために、まず、SD-WANの技術的な仕組みを説明しておきます。
SD-WANの物理的な装置は、各拠点に設置した末端のルータ「エッジ装置」と、ネットワークを一元管理するシステム「オーケストレータ」で構成されています。
「エッジ装置」からのネットワーク通信は、物理的な回線の「アンダーレイネットワーク」を利用したうえで、仮想的な回線の「オーバーレイネットワーク」を中心に行うのが特徴です。これによって、複数の回線業者のWANサービスを利用していた場合でも、それらを統合的に管理することが可能になります。
また、オーケストレータにて適切なネットワーク設定を行うことで、データセンターを経由しないで直接インターネットへ接続する「インターネットブレイクアウト」を実現することが可能です。「インターネットブレイクアウト」によって、自社で保有するネットワークにかかる負担を軽減できるのがメリットとなっています。
SASEを導入するメリット
では、SASEを導入することにはどのようなメリットがあるのでしょうか。これから、3つのポイントを詳しく解説いたします。
①利便性とセキュリティの両方を追及できる
SASEを導入すると、クラウド利用時に、利便性とセキュリティの両方を追及できる、という点がメリットです。これは、ネットワークとセキュリティについてはすべてクラウド境界で管理することができるようになるためです。
SD-WANは、企業がクラウドサービスを導入し利用する時に、WAN構成を柔軟に変更することが可能というメリットがあります。その一方、各拠点から直接インターネットへ接続することになるため、セキュリティ面では、セキュリティホールが生まれやすい、という懸念点が指摘されていることも事実です。
一方でSD-WANも含めたSASEは、クラウド利用時に利便性がある、という点に加えて、セキュリティの確保をすることが可能である、ということがポイントです。SWGやCASBといったほかのクラウドセキュリティサービスを活用することで、境界を限定することはせず、あらゆるユーザーやデバイスに対して対策を行う「ゼロトラストセキュリティ」を実現することが可能となります。
SASEを導入することで、SD-WANで企業のネットワークを柔軟に構成できることと同時に、SWGやCASBとあわせて活用することにより、クラウドセキュリティを強化することが可能となります。
②通信のパフォーマンスを改善できる
SASEを導入することにより、各拠点や社外のネットワーク設定が最適化されるので、場所を問わず快適な通信が実現されることになります。
今までは、各拠点からデータ通信をするためにWANを構築する必要があったり、自宅からリモートアクセスをしたりするためにVPNを構築するのが一般的でした。しかし、クラウドサービス利用やインターネット接続利用者が増えることで、通信スピードが遅延してしまう問題が多発するようになりました。
それについては、SASEに含まれるSD-WANやZTNAといったソリューションがこれらの問題を解決します。クラウド上でネットワーク管理をすることができるため、自社のファイアウォール、プロキシサーバー、ゲートウェイなどにかかる負担を大幅に削減することが可能です。
③運用コストを削減できる
SASEにおいては、ネットワークやセキュリティの設定を単一のクラウド上で一元的に管理できるため、運用にかかる負担やコストを大幅に削減することが可能です。別途オンプレミス型システムの構築や、ネットワーク設定のための拠点への主張などは不要となります。
また、事業拡大に伴うシステム拡張の時は、SaaSベンダーへ相談するだけでスムーズな拡張が可能となります。対してオンプレミスでは、システムを変更するたびに、毎回変更作業が必要になります。特にセキュリティ面においては、セキュリティポリシーの設定を一元的に、集中管理することができることがメリットです。システム担当者にかかる運用負担を減らし、より重要度の高い業務へ集中できるようになります。
SASEを導入するリスク
SASEを導入することにはたくさんのメリットがあるのですが、その一方で、多少なりともリスクが存在することも理解しておくことが必要です。たとえば、SASEは様々なインターネットサービスを単一のクラウドで利用するため、一度でもインターネット通信やインターネットに関係する設定で問題が発生してしまうと、事業のほとんどが止まってしまう恐れがあります。また、SASEを狙ったウイルスや新たなサイバー攻撃が登場する可能性もあります。
上記の点に追加して、SASEはまだ始まったばかりのソリューションであるため、今後、市場環境が大きく変化していく可能性があります。そうすると、導入した直後に別の魅力的なサービスが登場するようなことがあったり、利用中のサービスが突然終了してしまうようなことにより、ビジネスの機会損失につながるという可能性も考えられます。
大半のソリューションサービスについて言えることなのですが、サービス開始したばかりのものには多少のリスクがつきものです。自社のセキュリティ状況や市場環境を調査し、検討したうえで、SASEを構成するソリューションを段階的に導入していくことで、実現させることができるでしょう。
SASEの活用シーン
次に、実際のビジネスシーンにおけるSASEの活用場面を2つご紹介いたします。
1つ目の例は、北海道の支社で営業活動をするAさんのケースです。Aさんは会社用のパソコンを使って、SFAやCRMなどの顧客データベースへアクセスします。その時、SD-WANを利用したゲートウェイ経由で、CASBによる識別や許可が行われます。
もし、会社が利用許可していないサービスへアクセスしたり、ポリシーに反した利用をしようとすると、接続が自動的に拒否されてしまいます。
次に、在宅勤務をするBさんのケースです。Bさんは、会社用のパソコンを使って、社内システムや外部ネットワークへアクセスします。
社内システムへアクセスする時は、ZTNAがアクセス可能かどうかを識別し、許可された場合にのみクラウド経由で接続することが可能です。インターネットへ接続する際は、SWGがフィルタリングを行い、適切な通信を許可する、という仕組みになっています。
SASEを導入する方法・ポイント
SASEは一つのソリューションとしては提供されていないため、それぞれの要素を個別に導入していく必要があります。そのため、自社の要件に合わせた組み合わせを選択していく必要があります。
そのためには、まず、自社のシステム構成がどうなっているか現状分析し、どのサービスが必要であるのかを検討します。それから、SASE実現に向けた詳細な計画を策定し、どのような順番で何から優先して導入していくかを決定します。
SASE導入で失敗しないためには、可能な限り関わるベンダーやサービスの数を少なくすることが大切です。なぜならば、関わるベンダーやサービスが増えてしまうと、それらを運用するときに複雑になってしまうからです。
【まとめ】SASEやSD-WANについて理解し、自社のクラウド活用やセキュリティを見直そう
この記事では、SASEやSD-WANの概要、導入のメリット・デメリットなどについて説明しました。SASEを実現するうえで、SD-WANが実現する「ネットワーク制御」の機能や「インターネットブレイクアウト」は、欠かすことのできないものとなっています。
また、SASEを導入するメリットやデメリット、導入方法についても説明しました。実現すれば多くのメリットを受けることが、その一方で、運用や管理が複雑になってしまうなどの課題が発生してしまう点にも注意しましょう。
SASEはまだ成長段階のソリューション分野です。そのため、市場環境や今後の動向に注目していき、自社の要件に合ったサービスを慎重に検討し選ぶようにしましょう。
コメント