2021年6月11日

第1回 3分でわかるSASE(サシー)とは?

クラウドサービスの普及により、いつでもどこでもどんなデバイスからでも情報にアクセスできるようになりました。そしてコロナ禍の現在においては、様々な企業でテレワークの普及が加速しています。
しかしながら、リモートによる業務環境の実現速度を優先した結果、機密情報の管理など、セキュリティ面での課題が露呈している状況もあり、クラウドサービスの利用を躊躇する企業が増えつつあるのも事実です。
今回紹介する「SASE(サシー)」はこのようなクラウド時代のネットワークとセキュリティのフレームワークで、実は2019年に提唱された新しい概念なのです。クラウド活用における機密情報セキュリティを確保するものとして期待されています。
まず今回はSASEの概要と必要とされる背景について解説します。

■SASE(Secure Access Service Edge)とは?

SASEは「Secure Access Service Edge」の略で、2019年にガートナー社が提唱したネットワークセキュリティモデルです。
ガートナー社は、これからのデジタルビジネスでは、いつでもどこでもアプリケーションやサービスにアクセスする必要があり、そのアクセス先はクラウドであると言及しています。
多くの企業がMicrosoft365やGSuiteなどのSaaSを導入し、スマートフォンやタブレットのデバイスでの業務利用も進んでいる現在、アプリケーションの多様性やデバイスの増加、あるいは働き方の変容などに対してそれらを支えているネットワークのバックボーンやセキュリティのニーズに十分に応えられていません。
SASEが目指すのは「デバイスや利用者のロケーションに依存しないセキュリティを提供する仕組み」です。
SASEではネットワーク機能(Network as a Service)とネットワークセキュリティ機能(Network Security as a Service)をクラウド上で統合し、必要な機能をエッジ(セキュリティサービスの提供者の接続拠点やユーザー企業の各拠点の出入口に設置するデバイス及びアクセスポイント)に対して提供します。

■従来の考え方との違い

従来のセキュリティ対策は、社内ネットワークとインターネットの境界にファイアウォールやUTM、プロキシーなどを設置し、そこで通信を監視・制御するというものでした。こうした考え方をペリメータ(境界)セキュリティと呼びます。
ペリメータセキュリティは、ネットワークの内側に守るべきものがあり、外部は危険であるという前提で対策を講じますが、すでにこの前提は崩れつつあります。現在では社内ネットワークの外にあるクラウドにさまざまなデータを保存し、あるいはクラウド上で業務アプリケーションを実行するといったことが一般化しています。
またテレワークやワーケーションといった言葉が浸透しつつあるように働く場所も社内とは限りません。
つまり守るべきものが境界の外にあるという状況であり、従来の境界型セキュリティでは対応できなくなっているというわけです。

■SASEが必要とされる背景

①クラウドシフトの加速
デジタルトランスフォーメーション(DX)の推進に伴い、業務システムのクラウドシフトが加速しております。
総務省が2019年7月に公表した「情報通信白書」の第2部第3章第2節1「(4)企業におけるクラウドサービスの利用動向」では、「クラウドサービスの利用状況」のなかで、企業のクラウドサービス利用率を2014年から2018年まで比較し、年々上昇していることが明らかになっております。
2018年の企業におけるクラウドサービス利用率は58.7%であり、そのうち83.2%の企業がクラウドサービスの効果について「非常に効果があった」または「ある程度効果があった」と回答しており、今後もクラウドサービスを利用する企業は増加すると推測されます。
しかし、クラウドサービスの利用にあたっては、社内の情報資産が社外のサーバに保管される可能性があり、社内ネットワークと社外ネットワークの境界が拡張して曖昧になるため、セキュリティの脅威と複雑性が増します。
またSaaSなどのクラウドアプリケーションをデータセンター経由で利用する場合、アプリケーションごとに異なるポリシーを適用させる必要性があり、管理コストの増大やネットワークの帯域増加に伴う大きな遅延が発生し、効率性と生産性に大きな影響を及ぼします。

②テレワークの普及
働き方改革の促進や新型コロナウイルス感染症(COVID-19)の影響により、オフィス以外の場所で働くテレワークの普及が進んでおります。
東京都が2020年9月14日に公表した「テレワーク導入実態調査結果」によると、従業員30人以上の都内企業10,000社を対象に、テレワークの導入に関する実態調査を実施したところ、テレワーク導入率は57.8%に達しており、昨年2019年7月の調査結果25.1%に比べて2.3倍に上昇し、大企業に限らず中堅・小規模企業においてもテレワークの導入が急激に加速していることがわかります。その一方でテレワークの実施に際しては、ノートパソコンやスマートフォンなどの会社の端末を社外へ持ち出し、自宅やサテライトオフィスのパソコンを利用して、パブリックなネットワークから社内のネットワークに接続する可能性があるため、信頼されていないネットワークからの通信を遮断して安全を確保する従来型のセキュリティ対策の適用ができなくなります。

③「内部不正による情報漏えい」の増加
情報処理推進機構(IPA)が2020年4月に公開した「情報セキュリティ10大脅威 2020」において、「内部不正による情報漏えい」が組織の脅威の第2位に入り、昨年2019年の5位から3つ順位を上げました。「内部不正による情報漏えい」とは組織の従業員や元従業員など、組織関係者による機密情報の持ち出しや悪用をはじめとする不正行為によるセキュリティ脅威です。組織の情報管理ルールを守らずに情報を持ち出し、さらにはそれを紛失し、情報漏えいが発生することもあります。
「内部不正による情報漏えい」は当事者の悪意の有無にかかわらず、組織の社会的信用の失墜、損害賠償による経済的損失など、組織に多大な損害を与えます。
また前述のテレワークの普及に伴い、会社が許可していない個人所有の端末を業務に活用する「勝手BYOD(Bring your own device)」や、従業員や部署が独自にデバイスやアプリケーションを導入する「シャドーIT」の危険性が増加しています。
つまり、人もデバイスも境界型ネットワークの外に出てきていることに伴い、従来のペリメータセキュリティでは不十分になり、新しい「デバイスや利用者のロケーションに依存しないセキュリティを提供する仕組み」が急務となっているのです。

■SASEのメリット

それではSASEを導入することで、具体的にどのようなメリットがあるのでしょうか。
次回のブログから世界初のSASEプラットフォーム「Cato Cloud」のケーススタディを用いて解説していきます。

「Cato Cloud」の詳細はこちら
お問い合わせはこちら