SASEとは?
SASEとは?
2019年にGartnerが作った新造語である「セキュアアクセスサービスエッジ(SASE)」は、最新のサイバーセキュリティアーキテクチャに関係しています。SASEモデルは、セキュリティサービスをユーザーから近い場所から提供し、その時点でのリスクレベルに基づいて、適切なアクセスレベルを提供することに焦点を当てています。
SASE(「サッシー」と発音)は、ネットワークセキュリティと統合したネットワーキングを体現しています。ユーザーの現在地に関係なく攻撃に対する強力な保護を提供し、ユーザーがどこにいるのであれ、トラフィックを企業にバックホールする必要なく、一貫したポリシーの適用を確保します。このプロセスはユーザーにとって透明性があり、より安全な環境を提供します。
SDNが解決する問題とは何ですか?
多くの組織には、分散したサイト、リモートユーザー、アプライアンスなどの複雑なネットワークインフラストラクチャが存在します。これらの要素の運用が複雑になると、重要な管理と維持上の課題がSecOpsチームに生じます。
多くのセキュリティコントロールには、それぞれ独自の設定プロセスと相互運用性の課題があり、独自のセキュリティ管理システムを使用しています。この状況は可視性のギャップを頻繁に生み出し、リスクを高め、IT運用チームに負担をかけることがあります。それに加えて、ネットワークトラフィックとアプリケーションの多様性が変動するため、使用量の急増に対応してレイテンシを最小限に抑えるための追加のリソースも必要になります。
ほとんどのIT チームは、トラフィックの増加と予測されるサイバー攻撃の集中砲火の準備に多くの時間と資金を投資しています。アクセシビリティとセキュリティの間で、厳しい決定を余儀なくされることが多々あります。これは従来のアーキテクチャが、セキュリティを検査するために一元化されたネットワークハブにトラフィックをバックホールし、望ましいアプリケーションやサービスにルーティングするためです。このプロセスは非常に安全ですが、パフォーマンスと予算に悪影響を及ぼします。特に追加の容量が必要とされる場合には問題となります。
対照的に、SASEアーキテクチャはトラフィックを検査し、ユーザーの地理的な位置から近いポイントオブプレゼンスでサービスにアクセスできるようにします。ピーク需要に対応するためにリソースを柔軟に追加して、需要が減少したら縮小することができます。トラフィックバックホールが排除されるため、企業はセキュリティとアクセシビリティのどちらかを選択する必要がなくなり、エンドユーザーエクスペリエンスがシームレスなものとなり、リスクも低減されます。
SASEはどのようにして「脅威認識型」ネットワークを構築するのですか?
SASEプラットフォームは、ネットワーキングソリューションとセキュリティソリューションを1つのまとまりのあるサービスとして提供し、組織のネットワークおよびセキュリティを管理する上での課題に対処します。IT運用チームは、データセンターのゲートウェイあるいは物理ネットワーク境界でこれらのタスクを実行する代わりに、ネットワーク上のすべての接続ポイントを使用して、悪意のあるアクティビティを確認し、自動化および保護することができます。
これらの機能により、ネットワークが「脅威認識型」となり、脅威を検出し、脅威がネットワークで足がかりを得ることを阻止できます。その結果、ユーザーのID、アプリケーション、インフラストラクチャの保護が容易になります。
SASEモデルは、パブリッククラウド時代に対応する脅威認識型ネットワークを提供し、複雑さを軽減し、管理を合理化しながら、最終的にセキュリティを向上させます。セキュリティを管理しやすくすることで、SASEはネットワークの運用可能性を高めます。
SASEの概要
SASEのメリットとは何ですか?
SASEは、単一の製品を指すのではなく、ネットワーキングとセキュリティ技術の実装におけるアーキテクチャの転換を表しています。SASEベンダーは、特にクラウドの導入やリモートワーカーの数が増加する中で、より柔軟で拡張性があり、セキュアなネットワーク管理方法を企業に提供しています。そのコストパフォーマンスと複雑なネットワークアーキテクチャを簡素化できる能力も、現代の企業にとって魅力的な選択肢となっています。SASEアーキテクチャは、以下の方法で今日の企業ネットワークを進化させます。
- セキュリティの向上:悪意のある攻撃者は、ネットワークを攻撃するために必要なあらゆる手段を使用するため、ネットワーク全体で一貫したセキュリティポリシーとサービスを設けて、あらゆる場所に存在するユーザー、インフラストラクチャ、アプリケーションを保護することが重要です。SASEは、展開が容易な拡張されたセキュリティソリューションを提供し、分散型の接続ポイントを活用してセキュリティポリシーを適用し、エンドツーエンドのセキュリティを強化するための脅威防御を実施します。
- 運用上の俊敏性を向上:ネットワーク全体の可視性は、アプリケーションとネットワークの健全性を迅速に評価し、潜在的な悪意のあるアクティビティを特定するために重要です。複雑性を減少することで、既存のリソースはより多くを実行し、より幅広い範囲を確認できるようになります。セキュリティ機能とネットワークの自然な統合は、システム管理者にとって明確な焦点の一つとなります。ポリシーの一貫性により、設定エラーが減少し、全体的なセキュリティの有効性も向上します。
- 使いやすさの向上:これまで、企業は何重にもなった防御層とファイアウォールが設置された主要な「難所」を通過するトラフィックに対応する必要がありました。これに加えて、管理すべき多くのアクセスコントロールもあります。SASEでは、クライアントデバイスからクラウドへの直接的な接続に焦点が当てられています。
- ネットワークパフォーマンスの向上:SASEは、トラフィックを最も近いポイントオブプレゼンス(PoP)にルーティングし、遅延を短縮することで、ネットワークパフォーマンスを向上させます。これにより、ユーザーはトラフィックをデータセンターにバックホールする必要なく、クラウドアプリケーションに直接安全に接続し、ユーザーエクスペリエンスを向上することができます。さらに、ユーザーに近いエッジロケーションを活用することで、時間に依存するアプリケーションのパフォーマンスも向上します。
- 運用コストの削減:SASEは、ネットワーキングサービスとセキュリティサービスを単一のフレームワークに組み合わせることで、複数のポイント製品(個別のファイアウォール、VPN、WANソリューションなど)の必要性をなくし、運用コストを削減します。クラウドベースのモデルであるため、各拠点に高価なハードウェアを設置する必要がなく、設備投資も最小限に抑えられます。
SASEはネットワークをどのように安全に保ちますか?
SASEは、複数のセキュリティ機能を組み合わせて、統合されたクラウドネイティブなプラットフォームにするため、ネットワークの保護に役立ちます。ユーザー、デバイス、アプリケーションが複数の場所に分散している、最新の分散型環境が有するセキュリティ上の課題に対処します。SASEのコンポーネントには、以下が含まれます。
- Software-defined wide area networking(SD-WAN):企業のネットワーク接続と回線コストを管理するための、プログラムによる自動化されたアプローチです。
- Firewall-as-a-Service(FWaaS):アプリケーションを特定し、99.8%以上の有効性で悪用やマルウェアがないかトラフィックを検査します。
- セキュアウェブゲートウェイ(SWG):許可される使用ポリシーを実施し、ウェブ経由の脅威を脅威を防御することで、ウェブアクセスを保護します。
- クラウドアクセスセキュリティブローカー(CASB):SaaSアプリケーションを可視化し、粒度の細かい制御で許可されたアクセス、脅威の防御、コンプライアンスを徹底します。
- データ損失防止(DLP):データトランザクションを分類および監視し、ビジネスコンプライアンス要件とデータ保護規則が遵守されることを保証します。
- ゼロトラストネットワークアクセス(ZTNA):リモートユーザーが企業およびクラウドベースのリソースにリモートから安全にアクセスできるようにし、信頼性の高い接続性と一貫したセキュリティをあらゆる場所のあらゆるデバイスに提供します。ユーザーがどこにいるのであれ、デバイスがどこにあるのであれ、可視性と拡張してポリシーを実施することで、リスクを軽減します。
- Advanced Threat Prevention:トラフィックを復号化できない場合でも、ボットネットやC2を含むゼロデイマルウェアや悪意のある接続を検出します。ファイルの隔離やアクセス権の削減など、粒度の細かい保護メカニズムを実施します。
SASEのユースケース
SASEアーキテクチャは、現代の多様なネットワーキングニーズとセキュリティニーズに適しています。最も一般的なユースケースには、以下が含まれます。
- 分散された従業員の保護:SASEは、ZTNAとSWGを使用して、クラウドおよびオンプレミスアプリケーションへのセキュアなアクセスを提供し、従業員があらゆる場所から一貫したセキュリティポリシーと最適化されたパフォーマンスで接続できるようにします。
- クラウドおよびSaaSアプリケーションの採用:SASEにより、一元化されたデータセンターを介してトラフィックをバックホールすることなく、クラウドアプリケーション(AWS、Microsoft 365、Salesforceなど)に直接かつ安全にアクセスすることができます。エッジコンピューティングとSD-WANを通じてパフォーマンスを最適化すると同時に、CASBなどのセキュリティサービスを提供し、クラウドアプリの使用を制御し、データを保護します。
- ネットワーキングとセキュリティ管理を簡素化:SASEは、ネットワーキングとセキュリティを単一のプラットフォームに統合し、一元化された制御と可視性を提供します。この統一されたアプローチにより、ポリシー管理が簡素化され、複数のポイントソリューションの必要性がなくなり、ネットワーク全体での一貫したセキュリティポリシーの実施が確保されます。
- 支社/拠点の接続性:SASEはMPLSをSD-WANに置き換え、支社/拠点にセキュアで高性能な接続性を提供します。次世代ファイアウォール(NGFW)や脅威保護などのセキュリティサービスがアーキテクチャに統合されており、オンプレミスにセキュリティハードウェアを設置する必要なく、各支社/拠点を確実に保護します。
- ゼロトラストセキュリティの実装:SASEはZTNAモデルを中心に構築されており、ユーザーとデバイスのIDを絶え間なく検証して、必要なリソースのみにアクセスできるようにします。これにより、ネットワーク内の脅威の横方向への移動が制限されます。
- インターネットとSaaSアクセスを保護:SASEは、SWGとCASBを活用して、SaaSやウェブベースのアプリケーションへのセキュアで制御されたアクセスを提供します。また、セキュリティポリシーが均一に実施されるようにすることで、データを漏洩から保護し、マルウェアやフィッシング攻撃を防御します。
- データ保護とコンプライアンス:SASEにはDLP機能が含まれており、企業が機密データの動きを監視および制御するのに役立ちます。また、統合プラットフォームであるため、監査やレポート作成が簡素化され、GDPR、HIPAA、PCI-DSSなどの規制へのコンプライアンスを確保することができます。
- グローバルユーザーおよび分散するユーザーのパフォーマンスを最適化:SASEは、世界中に分散したクラウドアーキテクチャとエッジコンピューティングを活用しており、ユーザーが最も近い場所にあるポイントオブプレゼンス(PoP)に接続できるようにします。これにより、遅延が削減され、特に遠隔地にいるユーザーに対して、アプリケーションのパフォーマンスが最適化されます。
要約すると、SASEアーキテクチャは、分散されている人員を保護し、クラウドおよびSaaSアプリケーションを採用し、ネットワーキングとセキュリティの管理を簡素化し、データ保護と規制へのコンプライアンスを維持しながら、パフォーマンスを向上させたい企業に最適です。
SASEとSSEの比較
SASEは、ネットワーキング(SD-WANなど)とセキュリティサービス(SWG、CASB、ZTNAなど)の両方を単一のクラウドネイティブソリューションに組み合わせた包括的なフレームワークであり、分散されているユーザー、デバイス、ロケーションをセキュアに接続するように設計されています。対照的に、SSE(セキュリティサービスエッジ)はSASEのサブセットであり、SD-WANなどのネットワーキング側面は含まれず、セキュリティサービスのみに焦点が当てられています。SSEはクラウドサービス、プライベートアプリケーション、インターネットへのアクセスを保護しますが、ネットワーク管理と最適化は他のソリューションに任せます。つまり、SASEはネットワークとセキュリティの両方をカバーしますが、SSEはセキュリティ機能のみに限定されています。
ジュニパーのSASEソリューション
ジュニパーのセキュアAIネイティブエッジは、単なるセキュリティソリューションではなく、ビジネスを実現するためのソリューションです。優れた運用効率とユーザーエクスペリエンスの向上により、企業がより良いビジネス成果を達成できるようにサポートします。業界をリードするセキュリティ効果と組み合わせることで、卓越した運用上の俊敏性で優れた保護とパフォーマンスを提供します。
ジュニパーは、共通の運用ポータルにおけるネットワーキングとセキュリティを業界をリードするAIOpsに統合する、唯一のセキュアAIネイティブエッジソリューションを提供しています。これにより、コラボレーションとネットワークの可視性が向上し、より効率的なトラブルシューティングとセキュリティインシデントに対する迅速な対応が可能になります。
セキュアAIネイティブエッジは、ウェブ、SaaS、オンプレミスアプリケーションに包括的なセキュリティを提供します。ユーザーがどこにいても一貫したセキュアなアクセスを確保し、広範なデジタル脅威から効果的に保護します。セキュアAIネイティブエッジをジュニパーのAIドリブンSD-WANと組み合わせることで、最高のSASEアプローチを提供します。この統合は、WAN運用を合理化し、クラウドアプリケーションのパフォーマンスを向上させ、場所に関係なく安全で最適化された接続性を確保するのに役立ちます。
ジュニパーを使用することで、市場で最も効果的と実証されている効果的な脅威防御サービスを活用してトラフィックを検査し、どこからでもWeb、SaaS、オンプレミスアプリケーションに安全にアクセスできるようにして、リスクを軽減することができます。
SASEに関するよくある質問
SASEとは?
SASE(セキュアアクセスサービスエッジ)は、サイバーセキュリティフレームワークであり、広域ネットワーキング(WAN)機能とセキュリティサービスを組み合わせて、現代の企業が必要とする動的でセキュアなアクセスへのニーズをサポートします。
SASEはクラウドベースですか?
はい。SASEは設計上クラウドベースです。ネットワーキングサービスとセキュリティサービスを、統合された1つのクラウドネイティブプラットフォームにしたものです。このクラウドを中心に置いたアプローチにより、SASEは分散されている従業員、複数の支社/拠点、クラウド環境を持つ企業に、拡張性、柔軟性、および一元化された管理を提供することができます。
SASEはトラフィックをバックホールしますか?
いいえ。SASEは通常、従来の意味でトラフィックをバックホールすることはありません。SASEの主なメリットの1つは、レガシーネットワークアーキテクチャによく見られるトラフィックバックホールの必要性が解消されることです。バックホールが削減されると、ネットワーク全体を流れる冗長トラフィックの量が減少するため、帯域幅が解放され、全体的なネットワーク効率が向上します。
脅威認識型ネットワークとは何ですか?
脅威認識型ネットワークとは、セキュリティ上の脅威をリアルタイムで事前に検出、対応、軽減するように設計されたネットワークです。高度なセキュリティメカニズムと脅威インテリジェンスが組み込まれており、トラフィックを監視し、潜在的な脆弱性を特定し、悪意のあるアクティビティが損害を与える前に、迅速に対応して中和します。脅威認識型ネットワークの主な特徴は、進化するサイバー脅威を継続的に評価し、適応する能力です。
SASEはコスト効率の高いソリューションですか?
はい。SASEは複数のセキュリティツールとネットワーキングツールを統合し、ハードウェアとメンテナンスコストを削減し、帯域幅効率を向上させ、拡張性を強化する能力があるため、一般的にコスト効率に優れたソリューションと考えられています。クラウドネイティブなアーキテクチャで、高価なハードウェアが不要で、サブスクリプションベースの価格設定モデルであるためコスト面での柔軟性もあります。さらに、SASEはネットワークパフォーマンスを最適化してセキュリティを強化することもでき、運用コストとサイバー脅威に関連する財務面のリスクの両方が削減されるため、現代の企業にとって財務面からも優れた選択肢となっています。
