Secure Access Service Edge (SASE) アーキテクチャの需要はこの数年間で急増しており、収まる兆しがありません。
セキュリティチームが脅威を防止し、より良いユーザーエクスペリエンスを提供するために、ポリシーの適用をエッジに近づけようと努力する中で、SASEはセキュリティ戦略の実装と維持方法を簡素化するための最良の選択肢としてその需要を維持しています。
本ガイドについて
Secure Access Service Edge (SASE) アーキテクチャのサイバーセキュリティへのインパクトと組織上のメリットについて詳しく説明しています。
SASEとは
SASEは、ネットワークおよびセキュリティソリューションと機能を、単一のクラウド提供サービスモデルに統合します。 これらの機能を統合することでコストを削減し、アプリケーションのパフォーマンスを向上させ、組織の保護を高めます。
Gartner®によって、2019年に初めてSASEの概念が策定されましたが、パンデミックが発生したこともあり、ITチームがますます分散する従業員とITネットワークをサポートしようと努める中でその採用も加速されました。
数年のうちに、SASEは学術的な概念から、サイバーセキュリティ業界のリーダーによって後押しされる最も一般的なアーキテクチャへと進化しました。 Gartnerは2025年までに、市販のシングルベンダーSASE製品を供給するベンダーの数は、2023年半ばと比較して50%増加すると予想しています。
SASEは、集中データセンター経由でトラフィックをバックホールする代わりに、ネットワークとセキュリティの統合によりクラウドへの直接接続を可能にし、エンドユーザーのパフォーマンスの加速を可能にします。同様に、統合されたセキュリティサービスは、従業員が業務に必要なアプリケーションを操作する際のユーザー体験をより簡略化します。
組織は、新しいソリューションを導入してSASEを採用することで、仮想プライベートネットワーク(VPN)アクセスなどの古いテクノロジーから離れています。 Zero Trust Network Access (ZTNA) はSASEの重要な部分であり、組織はVPNから生じる遅延を回避しながら、内部アプリケーションにアクセスできるようにユーザーとデバイスを認証することができます。
多くの人々が在宅勤務をし、オンラインで世界中の人々が集まる中で、SASEソリューションは生産性を維持し、組織に強固なクラウドセキュリティを確保するために不可欠となります。SASEはリモートワークを強化し、拡張性を向上させて、「Bring Your Own Device」(BYOD)ポリシーをより安全にします。
SASEアーキテクチャの仕組み
SASEのセキュリティ面およびネットワーク面は、それぞれSecurity Service Edge (SSE) およびSoftware-Defined Wide Area Networking (SD-WAN) として知られています。
シングルベンダーから両方が提供されることで、Gartner®が定義し、現在一般的に使用されている最も効果的なSASEモデルとなります。
セキュリティサービスエッジ
SSEは、ウェブ、クラウド、プライベートアプリケーションという3つの重要なアクセスポイントを保護します。 攻撃者を排除し、機密データを守る能力に優れています。
このセキュリティ機能を統合することで、組織はアクセス管理、データセキュリティ、脅威保護、監視を1つのプラットフォームに統合することができます。 SSEの個々のコンポーネントは、必要に応じてセキュリティ戦略に組み込むことができ、最終目標としてはそれらをすべて統合することができます。
SASEは接続を最適化して遅延を低減することで、SSEが効率的に機能するようにして高品質のユーザーエクスペリエンスを提供します
ソフトウェア・デファインド・ネットワーク
SD-WANを採用することで、組織はトラフィックをより効果的にルーティングおよび管理でき、ネットワークポリシーを作成してどこにいるユーザーに対してもポリシーを簡単に拡張することができます。
MPLS、LTE、ブロードバンドインターネットサービスなどのあらゆる種類の接続タイプと組み合わせることで、ネットワークコストを削減し、ユーザーがアプリケーションや企業リソースに最速でアクセスできるようにします。 SD-WANテクノロジーによって、トラフィックがより効率的にルーティングされて帯域幅消費が最適化されるため、パフォーマンスを向上させることもできます。
Secure SD-WANソリューションには、IPSやAdvanced Malware Detectionなどのセキュリティ機能が組み込まれており、セキュリティ重視のSASEプラットフォームと組み合わせることで、シームレスで安全なユーザーエクスペリエンスを確保します
従来のセキュリティモデルでは、組織はさまざまなポイント製品を使用して、ハイブリッドワーカーを脅威から保護していました。 しかしながら、セキュリティモデルが異なるために、カバー範囲のギャップ、誤検知アラート、ユーザーパフォーマンスの低下につながっていました。 このため、脅威が検出されずにまぎれ込んだり、従業員が規則を回避しようとしたりして、組織により大きなリスクをもたらすことになっていました。
SASEによってすべてが変わります。 セキュリティレベルでは、ポリシー構成と適用が1つのコンソールに統合されるため、管理と保守が容易になります。 クラウド配信セキュリティサービスと改善されたネットワークにより、クラウドアプリケーションのパフォーマンスとセキュリティが向上し、エージェントレスカバレッジによってユーザーエクスペリエンスもスムーズになります。
SASEの5つの主要コンポーネント
SASEを成功裏に実装するためには、採用しなければならない5つの重要なコンポーネントがあります。 以下に紹介します。
Secure Web Gateway (SWG)
SWGは、悪意のあるウェブサイトからの保護を提供し、コンテンツ検査フィルタを使用してユーザーから開始されるトラフィックを保護することで、企業のウェブ閲覧ポリシーを適用します。 クラウドプロキシを使用することも、エンドポイントで直接実行することもできます。 Forcepoint ONE SWGはZero Trust Web Access (ZTWA) の一部であり、2つの主要製品と機能でSASEセキュリティを強化します。
Remote Browser Isolation (RBI): RBIは、危険なサイトをリモート仮想コンテナにレンダリングすることで、悪意のあるコードがエンドポイントに感染するのを防止します
Zero Trust Content Disarm & Reconstruction (CDR): Zero Trust CDRは、ファイルから有効なビジネス情報を抽出し、それが安全であることを検証してから、新しいファイルを作成してそれを伝達することで、高度なゼロデイ攻撃や悪用さえも防止します。
Cloud Access Security Broker (CASB)
CASBは、クラウドアプリケーションへのアクセスを保護し、その中にデータセキュリティポリシーを適用します。 Forcepoint ONE CASBは、エージェントベースとエージェントレスの選択肢を提供することで、あらゆるデバイスに保護を拡大します。 また、クラウドアプリケーションの使用 (認可または無認可) を自動的に検出して、リスクを特定し、800,000 を超えるSaaSアプリケーションに適切な管理を実施します。
Zero Trust Network Access (ZTNA)
ZTNAでは、どこからでもプライベートアプリケーションへのアクセスを制御し、管理対象または非管理対象デバイス全体でデータを高度に制御することができます。Forcepoint ONE ZTNAは、最小権限の原則を採用しており、多要素認証 (MFA: Multi-Factor Authentication) やシングルサインオン (SSO: Single Sign-On) などの機能を提供することで、そのユーザーに特有のコンテキストに基づいてアクセスを提供します。
Firewall-as-a-Service (FWaaS) / クラウドファイアウォール
SWG、CASB、ZTNAが統合されてSSEを形成していますが、ファイアウォール技術はセキュリティとネットワークが交差する部分を表しています。 次世代ファイアウォール (NGFW) 技術は、物理アプライアンスと仮想アプライアンスの両方で利用できますが、SASEアーキテクチャ内でリモートワークを拡大しようとしている管理者は、主にFirewall-as-a-Service (FWaaS) として知られるクラウドベースのソリューションを採用する可能性が高いでしょう。 このソリューションは、クラウドを介して世界中のどこからでも展開することができ、一元管理と自動化を通じて可視性と管理を提供します。
Software-Defined Wide Area Networking (SD-WAN)
Secure SD-WANは、ハードウェアをインストールする手間を解消して、利用可能な任意の接続を使用できる柔軟性があることに加えて、多層検査、侵入防止、DNSシンクホールなどのセキュリティ機能も組み込まれています。 Forcepoint Secure SD-WANはまた、ミッションクリティカルなアプリケーションに必要となる帯域幅を確保し、トラフィックステアリングやアプリケーション健全性の監視などの機能を適用して遅延やジッタを低減することができます。
SASEでどこででもアクセスを保護
最近目覚ましい進歩を遂げているセキュリティフレームワークは、SASEだけではありません。 Zero Trust フレームワークも注目すべき価値があります。このフレームワークでは、ネットワーク内のITリソースにアクセスする前に、すべてのユーザーとデバイスに対して認証と検証を常に要求します。このアプローチは、保護されたネットワーク境界内のものはすべて信頼できるとみなしていた、従来のネットワークセキュリティ慣行とは対照的です。
しかしながら、SASEアーキテクチャとZero Trustアーキテクチャのどちらかを選択するということではありません。検討に値するすべてのSASEプラットフォームには、Zero Trustの原則が組み込まれています。 これら2つのコンセプトを融合することで、将来にわたって確実なデータセキュリティ慣行の基盤が得られます。
このデータセキュリティに対する統合されたアプローチが、Forcepointが先導するData-First SASE コンセプトの基盤となっています。
Data-First SASEは、単にアクセスを保護するだけではありません。 ビジネスデータの使用を継続的に保護することで、セキュリティを簡素化し、生産性を最大限に高めて、運用コストを削減します。 Data-First SASEの主な利点は次のとおりです。
Data Security Everywhere – 数回のクリックで、ウェブ、クラウド、電子メール、ネットワーク、エンドポイント全体に、データセキュリティポリシーをシームレスに拡張
分散された適用 – クラウド、エッジ、エンドポイント全体にポリシーを適用してパフォーマンスを向上
信頼性の高いスケーラビリティー – AWSハイパースケーラープラットフォームの柔軟性で拡張
Data-First SASEでデータセキュリティを向上
Data-First SASEは、Forcepoint ONEから始まります。オールインワンのクラウドネイティブセキュリティプラットフォームでは、パフォーマンスとセキュリティがすべて、1つのコンソールに組み合わされています。
Forcepoint ONEはモジュール構造であり、組織は必要に応じてサービスを追加して、構成やトレーニングに費やす時間を最小限に抑えることができます。 セキュリティチームは、これを使用してData-First SASEアーキテクチャを1段階ずつ構築し、SSEとSD-WANにZero Trust Data Securityの要素を追加することができます。
Forcepoint ONEは、Forcepoint ONEとForcepoint DLPの統合を通じて、Data Security Everywhereを提供します。 数回のクリックで、ポリシー構成をクラウド、ウェブ、電子メール、ネットワーク、エンドポイント全体に複製することができます。 SASEによってもたらされる統合を活用して、ユーザーがどこにいても、データへのより安全なアクセスを提供します。
どこにいても、データをいかに簡単に保護できるのかについてご覧ください。
Data-First SASEの主な機能とユースケース
2023 Gartner® Critical Capabilities for Single-Vendor SASE (2023年Gartner®シングルベンダーSASEにおける重要な機能) において、Gartnerは、ベーシックSASE、ネットワークドリブンSASE、高度なセキュリティを備えたSASEの3つを主要なユースケースとして特定しました。
Gartnerは次のように述べています「across all offerings, most vendors provide strong branch networking and branch security capabilities. However, the level of advanced security features across all offerings is only mediocre for most enterprises.」*
このレポートでは、Forcepointは、Advanced Security Use Caseにおいて最高ベンダーにランク付けされました。
高度なセキュリティを備えたSASEを探すなら、どの組織を検討すべきなのか?Gartnerの回答は明確です。「This is typically a highly regulated enterprise or one that deals with sensitive information, such as financial services, insurance and healthcare. It is an organization that requires advanced security capabilities, not simply “good-enough” security.」
Data-First SASEの利点と長所
SWG、RBI、Zero Trust CDRで、既知および未知のウェブベースの攻撃を防ぎます。
CASBを使用して、あらゆるクラウドアプリに強力なデータ管理を適用します。
ZTNAで、VPNなしでプライベートウェブアプリへのZero Trustアクセスを提供します。
Secure SD-WANを使用して、オフィス、支社およびリモートサイトを接続して保護します。
Data Loss Prevention (DLP) を使用して、データにアクセスするあらゆる場所に、一貫したデータセキュリティポリシーを適用します。
Forcepoint ONE Insightsを使用して、経済的価値とセキュリティ分析をリアルタイムで追跡します。
移行と実装におけるベストプラクティス
企業を新しいセキュリティモデルに移行することは大変なことですが、新しいシステムを導入するためのヒントとベストプラクティスを参考にしてください。Forcepointでは、プロセスを円滑にできるよう、2つのガイドをご用意しました。
Data-First SASEセキュリティモデルの実装は、個々の製品が同じベンダーから提供されており、連携するように設計されている場合に、劇的に簡単になります。 Forcepoint ONE独自のData-First SASEプラットフォームでは、シングルベンダーSASEのメリット、Forcepointが他のSASEベンダーと異なる点、およびForcepoint ONEによってData-first SASEの導入がいかに簡単になるのかについて説明しています。
コンプライアンスとData-First SASE
Data-First SASEは、世界中のデータ規制に準拠したいと考える企業にとって非常に有用です。Forcepoint DLPは、80か国以上のデータプライバシー要件に準拠した、1,700以上の事前に定義済みの分類子とポリシーテンプレートを提供します。 Forcepoint ONEを通して、これらのポリシーを組織のさまざまな部門へと拡張し、監査に向けて広範なカバレッジと可視性を提供することができます。
組織には、関連する規制を理解し、それらの規制への準拠を示すための措置を講じる義務があります。お客様の事業に関連する可能性のある主な規制をいくつかご紹介します。
データプライバシーコンプライアンス – 簡素化
セキュリティ機能を1つのベンダーSASEプラットフォームに統合することで、組織はより簡単に複数のチャネルにポリシーを適用できるようになります。 これにより、変更される、または新たに適用される規制要件にも柔軟に対応することが容易になります。
Data Security EverywhereはForcepointが提供する機能で、SWG、CASB、ZTNAだけでなく、エンドポイントや電子メール全体にもポリシーを設定することができ、変更を迅速化し、労力を削減できます。
Data-First SASEで変革を加速
世界中の組織がデジタルトランスフォーメーションに注力しており、ビジネスの生産性を高めて運用コストを削減する新たな機会を探しています。 組織はますます分散されている傾向にあり、ネットワークとセキュリティを再構築して、最も貴重なデータとアプリケーションをクラウドへと移動することで、ユーザーが企業リソースに迅速でコスト効率の良い方法でアクセスできるようにしています。
多くの組織がSASEを通じて、クラウドに求められる信頼性の高い安全な接続を実現しています。 SASEは、以下を含めた多くのメリットを組織全体に提供します。
業務を強化するSaaS/クラウドアプリケーションの採用を迅速化することで、生産性を強化
SD-WANを直接クラウドに展開するセキュリティを追加することで、侵入者を排除して、リスクを軽減
高額になるMPLS接続の必要性を回避することで、コストを削減
何千ものサイト全体の接続性とセキュリティを統合することで、業務を効率化
