サイバー攻撃の加速度的な巧妙化や内部不正による情報漏洩事件の増加、テレワークなどのワークスタイルの変化によるクラウドサービス利用の増加に伴い、企業を取り巻くセキュリティリスクは拡大し、従来のセキュリティの考え方では対応しきれなくなっています。その中で近年注目されているのがSASEというセキュリティフレームワークの考え方です。この記事ではSASEの意味やメリット、導入にあたっての考え方について紹介します。
SASEとは
SASEとはSecure Access Service Edgeの略で、「サシー」と読みます。2019年に米国ガートナー社が提唱したゼロトラストの考え方を実現するための具体的な方法で、ネットワーク機能とセキュリティ機能をまとめて実現しようとする考え方です。Gartner Japanの調査によると、国内においては2022年までに急速にSASEを導入する企業が増え、2023年も引き続き増加しています。
ゼロトラストとの関係性
ゼロトラストとは、従来の「社内と社外の接点でセキュリティ対策を講じる」境界型セキュリティとは異なり、「境界だけでなくネットワーク内のあらゆるものを遮断する必要がある」という前提で、守るべき情報資産やシステムにアクセスするものは全て信用せずに検証することで、脅威を防ごうとする考え方です。一方でSASEは、ゼロトラストの考え方を実現するための、ネットワーク機能とセキュリティ機能をまとめて実現する手段です。
SASEの考え方
CASBとSASEとの関係
SASEを説明する時に混同しやすいのがCASB(Cloud Access Security Broker)です。CASB(キャスビーまたはキャズビー)は、SASEを構成するネットワークセキュリティサービスを実現するための中核機能のひとつです。クラウドサービスを安心・安全に使うために必要なコンセプトで、クラウドに特化したセキュリティ対策として重要なソリューションです。
ユーザーとクラウドサービスの間にCASBツールを設置することで、組織内のクラウドサービスの利用を可視化し制御できるようになります。それによって従業員による認可されていないクラウドサービスの不正利用(シャドーIT)やサイバー攻撃などのリスクを防止できます。
SASEが注目される背景
事業停止を招くランサムウェア攻撃の被害が継続的に拡大
ランサムウェアにより、企業におけるサイバーセキュリティに関する被害は企業の事業活動停止にまで影響するようになっています。従来はVPNやプロキシを使ってセキュリティを確保していましたが、クラウドサービスの業務利用やテレワークなど多様な業務環境が広がることによって、守るべき情報が社内ネットワークの境界外にも存在する状態になっており、従来の境界防御型セキュリティでは、情報漏洩や不正アクセスの脅威に対応しきれなくなっています。
内部犯行による情報漏洩の脅威も拡大
多くの企業が情報管理に関する体制やルールを構築していますが、人材の流動化や、様々な契約形態に基づく人事やグローバル人材の登用、テレワークの導入・実施状況など、この数年で変化した環境の中で、直近の情報漏洩事件は、不正アクセスや人為的ミスによるものだけではなく、悪意を持った内部不正による情報の持ち出しによるものも発生しています。
ネットワークやセキュリティ環境の複雑化
従来はセキュリティ対策を複数のしくみをツギハギで用意して対応していたため、セキュリティポリシーの不統一による管理の煩雑さだけでなく、コストも肥大化する傾向にありました。多数のアウトソースベンダーを使うことでシステム統合が進まなかったり、トラブル発生時に原因や被害範囲をすぐに特定しづらい面もありました。また大量のトラフィックを処理しきれなければ接続遅延や通信品質の低下につながるため、利便性も低下していました。
SASEへ対応することのメリット
セキュリティの強化による情報漏洩リスクの減少
あらゆるトラフィックやデバイスなどをその都度認証し、クリアしたものだけがアクセスできる環境になるため、攻撃からの防御や情報漏洩リスクを回避できるようになります。万一インシデントが発生した時にも、原因特定や影響範囲の検出、対応にかかる時間を最小限に抑えることができます。
ガバナンス評価の向上
ESG(イーエスジー Environment, Society, Governance)投資の拡大に伴う、コーポレートガバナンス及びエンタープライズリスクマネジメントの改善に向けた取組みへの関心の高まりへ応えることができ、ガバナンス強化ができているとして、企業価値向上にもつながります。
デジタル環境の活用を前提とする多様な働き方の実現
デバイスやネットワーク、アプリケーションなど様々な対象に対策を講じられることから、社外や自宅などあらゆる場所や環境、端末から安全にアクセスできるようになります。テレワークなどの多様な働き方に対応することができます。また適切な通信品質の実現によって、生産性や業務品質の向上にもつながります。
管理運用コスト削減、複雑さの軽減
クラウド上で各セキュリティを一元管理できることから、管理の手間やコストを減らすことができます。また、一貫したセキュリティポリシーで管理できることから、システム統合や拡張の検討も容易になります。
SASEの考え方導入にあたって検討すべき事項
SASEは複数の製品を組み合わせることが前提になっているため、企業ごとに適切なアーキテクチャが異なります。自社に必要な機能を見極め、ニーズに合う適切なサービス選定が必要です。また既存のシステムすべてを一斉に切り替えることは現実的ではないため、自社にとっての理想的なシステム構成と、移行計画を検討することが重要になります。
SASEの仕組み・機能の考え方
SASEの代表的な機能を紹介します。SASEとは概念上、複数拠点にある危機のネットワーク設定を一元的に行うことができるSD-WAN(Software-defined Wide Area Network)などのネットワーク機能と、CASBなどのセキュリティ機能を1つのサービスモデルに統合する考え方になります。ガートナー社は「2021 Strategic Roadmap for SASE Convergence」で、CASB、SWG、ZTNAの3機能に絞って導入する企業が増えるだろうと予測し、これらSASEのセキュリティサービス部分の3機能を担うものを「SSE(Security Service Edge)」として打ち出しています。
CASB
クラウドアクセスセキュリティブローカー(Cloud Access Security Broker)。
ユーザーとクラウドサービスの間に単一のコントロールポイントを設け、ここでセキュリティポリシーを集中的に適用する機能。認証、シングルサインオン、認可、クレデンシャルマッピング、デバイスプロファイリング、暗号化、トークン化、ロギング、アラート、マルウェア検出・防止など。
SWG
セキュアWebゲートウェイ(Secure Web Gateway)。
Webサイトへのアクセスに伴うインターネットトラフィックから、不要なソフトウェアやマルウェアをフィルタリングする機能。
ZTNA
ゼロトラストネットワークアクセス(Zero Trust Network Access)。
自社管理の情報資産へのアクセスを行う際に、情報資産とユーザーとの間に置かれ、ユーザーのアイデンティティやアクセス権限、端末のセキュリティ状態などを検証した上で、事前に定義されたポリシーにもとづいてアクセスを許可する機能。
その他、SD-WAN(Software-Defined WAN)、次世代ファイアウォール(NGFW)や、クラウド型ファイアウォールFWaaS(Firewall-as-a-Service)があります。
段階的に推進する上で有効なメールセキュリティ
SASEのポリシーをすべてのアプリケーションに適用することが最終目標ですが、ミッションクリティカルなものから優先的に導入することが重要です。中でもメールは主要なランサムウェアの感染経路であり、なりすましメール、フィッシングメールなどの脅威が大きいことから、メールセキュリティソリューションを適切に適用することは、SASEへの大きな一歩となります。
Microsoft 365やGoogle Workspace対応のメールセキュリティ対策
Cloud Mail SECURITYSUITE(CMSS)は、Microsoft 365やGoogle Workspaceを月額200円からランサムウェアを含むマルウェアメールの受信防御、なりすましメールやフィッシングメールの受信防御、不正なURLの無効化、サンドボックスを導入できます。詳しくは 3分でわかる「Cloud Mail SECURITYSUITE」をご覧ください。
現在ご利用中のメールシステムにワームの侵入を防ぐメールセキュリティ
MAILGATE Σ(メールゲーツ シグマ)は、オンプレミス製品とMicrosoft365やGoogle WorkSpaceなどのクラウドサービスにも対応できるクラウドメールセキュリティサービスです。
アンチスパム、フィッシングメール対策、なりすましメール対策、ビジネスメール詐欺(BEC)対策に加え、マルウェアやEMOTET(エモテット)などのトロイの木馬の受信防御を月額100円で実現します。受信したメールに潜む未知の脅威を防御するサンドボックスを、月額200円で導入できます。
詳しくは、エモテット対策やパスワード管理等の総合メールセキュリティサービス MAIL GATES Σ をご覧ください。
関連記事
多層防御とは?巧妙化するサイバー攻撃手法を踏まえた3重の鉄壁、その技術的対策
被害額は約4,050億円、ビジネスメール詐欺(BEC)の脅威と対策