SASE（Secure Access Service Edge）は、2019年にガートナー社によって提唱されたセキュリティに関する概念だ。複数のネットワーク機能とセキュリティ機能を一元的に提供し、企業・組織のIT環境を包括的に保護することを目的とする。

近年、企業・組織のIT環境が複雑化するに伴って、その管理コストの増大、ユーザーにとっての利便性の低下、さらにはセキュリティリスクの増大につながるという課題があった。そこで、包括的なネットワークセキュリティモデルであるSASEに注目が集まっている。

SASEが有する主な機能

SASEに含まれるセキュリティ機能として、以下のようなものが含まれる。

1) CASB（Cloud Access Security Broker）

社内外からクラウドサービスを使用する従業員の利用状況を監視・管理する機能だ。不審な通信の遮断や、機密情報の漏えいリスクを軽減する。

2) SWG（Secure Web Gateway）

従業員が外部のWebサイトへアクセスする際の通信を保護する。URLフィルタリングによって悪意のあるWebサイトへのアクセスを禁じたり、ダウンロードされるマルウェアを検知・遮断したりする機能を持つ。

3) FWaaS（Firewall as a Service）

クラウド上に仮想的なファイアウォールを設置し、社内外からのアクセスを問わず、通信を監視・保護する。

4) ZTNA（Zero Trust Network Access）

特定のアプリケーションやサービスへのアクセスに対し、事前に定義されたポリシーに従い、認証処理やセキュリティ状態の検証を行う。

次に、SASEに含まれるネットワーク機能は、基本的に以下のようなものが該当する。

1) SD-WAN（Software Defined Wide Area Network）

拠点間通信などのネットワーク構成をソフトウェアによって管理する。例えば、リスクの少ない通信に限定して直接外部サービスへのアクセスを許可する「インターネットブレイクアウト（ローカルブレイクアウト）」といった機能を実現する。

2) NaaS（Network as a Service）

クラウド事業者によってネットワーク機能が管理・提供される。企業のネットワークに関連するソフトウェアなどの保守・運用はクラウド事業者が行う。利用する企業側でネットワークの保守・運用に関する作業を削減することが可能となる。

SASEを実現するメリットと、その注意点

SASEの考え方を導入するメリットとして、複数のネットワークセキュリティ製品を一元化し、管理作業やセキュリティポリシーの徹底が効率的に行える点が挙げられる。ネットワーク構成の変更やアクセスの増減にも柔軟に対応し、業務効率の改善が見込める。

昨今広がるゼロトラストの概念を実現する手段としてもSASEは期待されている。ゼロトラストとは、社内・社外など通信上のやり取りを信頼せず、そうしたやり取りを監視・検証することで安全性を確保しようとするセキュリティの概念である。ドラスティックに変化する働き方に伴って普及した、自宅あるいは社外でのテレワーク・ハイブリッドワークによってクラウドサービスの利用も増加しており、ゼロトラストの実現が期待されている。

SASEの導入を検討する上では、すべての機能提供を網羅できるベンダーが多くないという点には注意が必要だろう。ガートナー社の調査によると、1社のベンダーのみで実装されるソリューションは、2022年の段階で10%に過ぎない。そこで、ガートナー社ではネットワークセキュリティモデルの再定義を行い、2022年にはCASB、SWG、ZTNAといったセキュリティ製品のみをまとめたSSE（Security Service Edge）という概念を提唱するに至っている。

近年のサイバー空間における脅威やIT環境の複雑化に従い、ネットワークセキュリティの考え方も年々、進化を遂げている。自社のIT資産やセキュリティ、パフォーマンス、柔軟性といった要件に従い、適切なソリューションを選択したいところだ。