2022年3月10日 / 最終更新日時 : 2023年2月16日 テクバン ネットワークソリューション担当 SASE

SASE(セキュア・アクセス・サービス・エッジ)とは

こんにちは。ネットワークソリューション特集 編集部です。
今回は、SASE(セキュア・アクセス・サービス・エッジ)について解説します。

SASE(セキュア・アクセス・サービス・エッジ)

昨今のバズワードとしてSASE(サシー)がよく出てきますがSecure Access Service Edgeの略称でソリューションそのものではなくとなり今までの中央集権型のネットワーク機能、セキュリティ対策ではなくデバイス(エッジ)を中心に置いたいつでも、どこからでも接続できるネットワーク機能やセキュリティ対策をまとめた概念となります。

今回は、そのSASEで提示されている主要機能をご紹介します。

ネットワーク機能

SD-WAN(ソフトウェア・デファインド・ワイド・エリア・ネットワーク)

海外では回線が安定しないため、ブロードバンド回線、MLPS回線、LTE回線などを組み合わせて最適な通信環境の回線を利用するなどの利用用途が多いですが日本国内では安定した高速なブロードバンド回線が普及しているため帯域保証閉域網(広域イーサネットやIP-VPN)とブロードバンド回線でSaaS向け通信をブレイクアウトするのが多いです。

  • SaaSが帯域保証閉域網からインターネットへのアクセスで輻輳する
  • デバイスにエージェントやプロキシ設定をせずに透過的にSWGと連携したい

Web通信をSWG(セキュア・ウェブ・ゲートウェイ)に流すなどの利用用途もあります。

主なSD-WAN製品

Viptera、Velocloud、PaloAlto、Fortigate

セキュリティ対策

SWG(セキュア・ウェブ・ゲートウェイ)

オフィスネットワーク環境ではUTMやプロキシサーバでセキュリティ対策(悪意サイトブロックやマルウェア防御)やコンテンツ制御(業務に無関係なコンテンツブロック)を実施していました。

コロナ禍において、全社員でのリモートVPN(コロナ前は外出時のみ利用等で社員数の10%ぐらいの許容量)はキャパシティが足りず業務遂行に支障が出てきてスケールアウトできるクラウドサービスに移行が進んでいます。

  • テレワークデバイスもオフィスと同じ基準でセキュリティを担保したい
  • テレワークデバイスのリモートVPN接続がスペック不足のためアクセス数に限りがある
  • SaaS中心のためリモートVPN接続は必須ではないがSaaSアクセス制御で接続元をオフィス限定にしている
  • 常時SSL対応サイトがメインになってきているためSSL解読処理のUTMやプロキシサーバのマシンスペックが必要で拡張には買い替えが必要でスケールアウト出来ない

SWG導入前

SWG導入後

主なSWG製品

Zscaler Internet Access、iboss、Menlo、Netskope、Umbrella

CASB(クラウド・アプリケーション・セキュア・ブロッカー)

SWGプロダクトに機能が統合され始めてますがまだまだCASB専用プロダクトの機能を全部は取り込めていないため専用製品には完全な置き換えが難しいです。

  • SaaS利用の可視化、分析をしたい
  • クラウドストレージ(Googleドライブ、Oneドライブ、Box等)等で細かい制御をしたい
    ※アップロードはNGで、ダウンロードはOKなど
  • 情報漏えい対策をしたい

主なCASB製品

MVISION Cloud、Netskope、Microsoft Cloud App Securit、SWG製品

RBI(リモート・ブラウザ・アイソレーション)

ブラウザの脆弱性を狙った攻撃に有効です。

  • セキュリティ要件にブラウザ分離(仮想化)がある
  • ブラウザのアップデートを管理できない(システム側で強制アップデートが出来ない)

主なRBI製品

McAfee、Forcepoint、Zscaler、Broadcom、Menlo

DNSセキュリティ

WebはSWGで保護できますがそれ以外のプロトコルはSWGでは保護できません。DNSセキュリティを導入してアクセス前にブロックします。

  • Web以外のプロトコルもセキュリティ保護したい
  • 悪意のあるデータアクセス前にブロックしたい

主なDNSセキュリティ製品

SWG製品の一部、パブリックDNSサービスの一部

ZTN(ゼロ・トラスト・ネットワーク)、SDP(ソフトウェア・ディファインド・プライマー)

ログイン(またはリソースアクセス)時にヘルスチェック機能(OSパッチ適用状況は?マルウェア対策状況は?パーソナルFWは有効か?貸与デバイスか?等)の結果によりアクセス拒否をしたりアクセス権限を変更したりします。

  • ID/PWのみではなくデバイスの状態によってアクセス制御したい
  • 会社貸与のデバイスのみアクセス許可をしたい
  • リモートVPN用のVPN機器脆弱性での攻撃を回避したい

主なZTN、SDP製品

Duo、Zscaler Private Access、Pulse Secure、ForsScout、Citrix

DLP(データ・ロス・プレベーション)

ネットワークソリューションでのDLPはほとんどが辞書ベースのため、キーワード(文章に「機密情報」を入れるなど)を決めて運用する必要があります。

  • 機密情報流出対策をしたい
  • クラウドストレージを利用しているが機密情報管理が出来ていない

主なDLP製品

Symantec、Forcepoint、Microsoft、SWG製品の一部

FWaaS(ファイアウォール・アズア・サービス)

クラウドサービスで提供される次世代FWサービスです。最近ではSWGのサービスとの統合も進んでいます。

  • FWのシグネイチャ管理、ログ監視が出来ていない
  • FWのファームウェア管理が出来ていない

主なFWaaS製品

通信キャリアサービス、SWG製品の一部

まとめ

今回は、SASEの主要機能についてご紹介しました。

  • SASEという製品はなく概念
  • 全ての機能を満たすソリューションは出てきていないがSWGとZTNに統合しつつある

関連記事:

UmbrellaCisco Umbrellaの強み、弱み(メリット、デメリット) SASEの前にSSEを導入しよう Cisco製品値上げ(2021年10月末より) 情報漏えい対策にSWGを導入する効果
カテゴリー
SASE
タグ
セキュリティ

前の記事

Emotetの防ぎ方
2022年3月4日
クラウドセキュリティ

次の記事

Zscaler Internet Access(ZIA)でのSAML認証設定
2022年3月14日