SASE（セキュア・アクセス・サービス・エッジ）とは

SASEと従来のネットワーク・セキュリティーの主な違いは、SASEでは、セキュリティー・ポリシーを適用するためにすべてのトラフィックをデータセンターにルーティングする代わりに、ネットワーク・エッジのユーザーとエンドポイントが接続する場所の近くでセキュリティー機能とその他のサービスを提供することです。

SASEモデルは、ネットワーク・セキュリティーの強化、ネットワーク・パフォーマンス管理の簡素化、全体的なユーザー・エクスペリエンスの向上に大きな可能性をもたらします。

より多くの組織がデジタル・トランスフォーメーションを追求し、クラウド環境、エッジコンピューティング、在宅勤務やハイブリッド勤務モデルを導入するにつれて、従来のネットワーク境界外に存在するユーザーとITリソースがますます増えることになります。組織はSASEを活用することで、ユーザーがどこにいるかに関わらず、ユーザーとこれらのリソースとの間に直接的で安全な、低遅延の接続を実現できます。

SASEは比較的新しいテクノロジーかもしれません（業界アナリストのGartner社が2019年にこの用語を定義しました）が、多くのセキュリティー専門家は、SASEがネットワーク・セキュリティーの未来を象徴していると信じています。

SASEは、Software-Defined Wide Area Networking（SD-WAN）とSecure Service Edge（SSE）という2つのコア・テクノロジーを組み合わせたもの、もしくは融合したものです。これらのテクノロジーについて理解しておくと、SASEの仕組みを理解しやすくなります。

SD-WANは、サーバーが仮想化されるのとほぼ同じ方法で仮想化された広域ネットワークです。基盤となるハードウェア（コネクション、スイッチ、ルーター、ゲートウェイ）からネットワーク機能を切り離し、ソフトウェアの制御下で分割・集約してトラフィックに適用できるネットワーク容量とネットワーク・セキュリティー機能のプールを構築します。

従来の高域通信網（WAN）は通常、専用のプライベートで高価な専用線接続を介して、支社のユーザーを企業の中央データセンターのアプリケーションに接続するように設計されていました。各支社に設置されたルーターは、最も重要なアプリケーションの最適なパフォーマンスを確保するために、トラフィックを制御して優先順位を付けました。また、パケット検査やデータ暗号化などのセキュリティー機能は、中央データセンターに適用されました。

SD-WANはもともと、組織が安価でスケーラブルなインターネット・インフラストラクチャー上にWAN機能を複製できるように開発されたものです。しかし、インターネット・セキュリティーを信頼する準備が整う前にクラウド・サービスを導入する企業が増えたため、SD-WANの需要が急増しました。WANのセキュリティー・モデルは課題に直面しました。増え続けるインターネットに向かうトラフィックを企業のデータセンター経由でルーティングすると、高額な費用がかかるボトルネックが生じ、ネットワーク・パフォーマンスとユーザー・エクスペリエンスの両方が低下するからです。

SD-WANは、トラフィックをセキュリティーにルーティングするのではなく、接続ポイントでトラフィックにセキュリティーを適用できるようにすることで、このボトルネックを解消します。これにより、組織はユーザーと、SaaS（Software-as-a-Service）アプリ、クラウド・リソース、パブリック・インターネット・サービスなど、ユーザーが必要とするあらゆるサービスとの間で、直接的かつ安全で最適化された接続を確立できます。

Gartnerが定義したもう1つの用語であるSSEは、「SASE のセキュリティー面の半分」です。Gartnerは、SSEを次の3つの主要なクラウドネイティブ・セキュリティー技術を統合したものとして定義しています。

セキュア・ウェブ・ゲートウェイ（SWG）：SWGは、双方向のインターネット・トラフィック警官です。トラフィック・フィルタリングやドメイン・ネーム・システム（DNS）クエリ・インスペクションなどの手法を用いて、マルウェアやランサムウェア、その他のサイバー脅威を特定してブロックすることで、悪意のあるトラフィックがネットワーク・リソースに到達するのを防ぎます。また、許可されたユーザーが不審なWebサイトに接続することを防ぎます。ユーザーとエンドポイントは、インターネットに直接接続するのではなく、SWGに接続します。これにより、許可されたリソースのみにアクセスできます（例：オンプレミス・データセンター、ビジネス・アプリケーション、クラウド・アプリケーションおよびとサービス）。

クラウド・アクセス・セキュリティー・ブローカー（CASB）CASBは、ユーザーとクラウド・アプリケーションおよびリソースの間に位置しています。CASBは、ユーザーがクラウドにアクセスする際に、ユーザーがどこでどのように接続するかにかかわらず、暗号化、アクセス制御、マルウェア検出などの企業のセキュリティー・ポリシーを適用し、エンドポイント・デバイスにソフトウェアをインストールすることなくそれを行うことができるため、BYOD（個人所有デバイスの業務使用）やその他のワークフォース・トランスフォーメーションのユースケースを保護するのに理想的です。また、他のCASBも、ユーザーが未知のクラウド資産に接続するときにセキュリティー・ポリシーを適用できます。

ゼロトラスト・ネットワーク・アクセス（ZTNA）：ネットワーク・アクセスに対するゼロトラスト・アプローチとは、ネットワークの外部か内部かにかかわらず、すべてのユーザーとエンティティーを信頼せず、継続的に検証するアプローチです。検証されたユーザーとエンティティーには、タスクを完了するために必要な最小特権アクセスを付与します。すべてのユーザーとエンティティーは、コンテキストが変更されるたびに強制的に再検証されます。そして、接続セッションが終了するまで、すべてのデータ・インタラクションをパケットごとに認証します。

ZTNAはそれ自体がセキュリティー製品ではなく、IDおよびアクセス管理（IAM）、多要素認証（MFA）、ユーザーおよびエンティティーの行動分析（UEBA）、さまざまな脅威検出および対応ソリューションなどのさまざまなテクノロジーを使用して実装されるネットワーク・セキュリティー・アプローチです。

各ベンダーのSASEプラットフォームには、サービスとしてのファイアウォール（FWaaS）、データ損失防止（DLP）、ネットワーク・アクセス・コントロール（NAC）、エンドポイント保護プラットフォーム（EPP）など、他の脅威防止およびセキュリティー機能が含まれています。

SASEソリューションは、SD-WANを使用して、ネットワーク・エッジのユーザー、デバイス、および接続場所またはその近くのエンドポイントにSSEセキュリティー・サービスを提供します。

具体的には、SASEアーキテクチャーは、検査と暗号化のためにすべてのトラフィックを中央データセンターに送り返すのではなく、エンドユーザーまたはエンドポイントの近くにある分散されたPoint of Presence（PoP）にトラフィックを送ります。（PoPは、SASEサービスプロバイダーが所有するか、サードパーティー・ベンダーのデータセンターに確立されます）。PoPはクラウド型SSEサービスを使用してトラフィックを保護し、その後、ユーザーまたはエンドポイントはパブリッククラウド、プライベートクラウド、SaaS（Software-as-a-Service）アプリケーション、パブリック・インターネット、またはその他のリソースに接続されます。

SASEは、セキュリティーチーム、IT担当者、エンドユーザー、および組織全体に重要なビジネス上のメリットをもたらします。

コストの削減（具体的には、資本的支出の削減）：SASEは、本質的にはSaaSセキュリティー・ソリューションです。顧客は、SASEのセットアップと制御のためのソフトウェアへのアクセス権を購入し、それが提供されるクラウド・サービス・プロバイダーのハードウェアの利点を最大限に活用できます。SASEを利用する顧客は、セキュリティーのために支社オフィスのルーターからオンプレミスのデータセンターのハードウェアにトラフィックをルーティングするのではなく、最も近いインターネット接続ポイントからクラウドにトラフィックをルーティングします。

企業は、パブリッククラウドと組織のオンプレミス・インフラストラクチャーの両方で提供されるハイブリッド・ソリューションとしてSASEを活用して、物理ネットワーク・ハードウェア、セキュリティー・アプライアンス、データセンターを仮想化されたクラウドネイティブの対応物と統合することもできます。

管理と運用の簡素化：SASEフレームワークは、ユーザーだけでなく、IoT（モノのインターネット）デバイス、API、コンテナ化されたマイクロサービス、サーバーレス・アプリケーション、さらには必要に応じてスピンアップできる仮想マシン（VM）など、ネットワークに接続する、または接続を試みるあらゆるものを保護するための、単一の一貫したソリューションを提供します。また、各接続ポイントでルーターやファイアウォールなどのセキュリティー・ポイント・ソリューションのスタックを管理する必要もなくなります。これにより、ITチームまたはセキュリティー・チームは、ネットワーク上のすべての接続とリソースを保護するための単一の中央ポリシーを作成して、単一の制御ポイントからすべてを管理できます。

サイバーセキュリティーの強化：SASEを適切に実装することで、さまざまなレベルでセキュリティーを向上させることができます。管理を簡素化することで、エラーや構成ミスの可能性を減らして、セキュリティーを強化できます。リモート・ユーザーからのトラフィックを保護するために、SASEは仮想プライベート・ネットワーク（VPN)の包括的なアクセス許可を、ZTNAのより細かいユーザーの身元や状況に基づくアクセス制御に置き換えます。これにより、アプリケーション、ディレクトリ、データ・セット、ワークロードに対するアクセスを安全に管理できます。

より良い、より一貫したユーザー・エクスペリエンス：SASEを活用することで、ユーザーはオンサイト、支社オフィス、自宅、外出先など、どこで作業していても、クラウドやオンプレミスでホストされているどのアプリケーションやリソースに接続していても、同じようにネットワークに接続できます。SD-WANサービスは、最も近いPoPにトラフィックを自動的にルーティングし、セキュリティー・ポリシーが適用されると、接続を最適化して最高のパフォーマンスを実現します。

SASEの導入は、アプリケーション配信の中央データセンター・モデルから脱却しつつある、あらゆる組織にとってメリットがあります。しかし、その導入を後押ししているのは、ほんの一握りの特定のユースケースです。

VPNをボトルネックにすることなく、ハイブリッド・ワークフォースを保護する：VPNは、20年近くにわたってリモート・ユーザーやモバイル・ユーザーを保護する主な手段として使用されてきました。しかし、VPNは簡単に、または安価に拡張できるわけではありません。新型コロナウイルス感染症の拡大によって、従業員がリモートに移行した際に、多くの組織が苦労して学びました。対照的に、SASEはダイナミックに拡張して、特にリモート・ワーカーや進化するワークフォース全体のセキュリティー要件をサポートできます。

ハイブリッドクラウドの導入とクラウドへの移行：ハイブリッドクラウドは、パブリッククラウド、プライベートクラウド、オンプレミスのインフラストラクチャーを1つの柔軟なコンピューティング環境に統合し、状況の変化に応じてワークロードをインフラストラクチャー間で自由に移動できるようにします。WANセキュリティー・ソリューションは、こういったワークロード・モビリティー向けに設計されていませんが、基盤となるインフラストラクチャーからセキュリティー機能を抽出するSASEは、トラフィックがどこに移動してもセキュリティーを確保します。また、組織は任意のペースでワークロードをクラウドに移行できる柔軟性が得られます。

エッジコンピューティングとIoT/OTデバイスの急増：エッジコンピューティングは、アプリケーションとコンピューティング・リソースを中央データセンターから、スマートフォン、IoT、運用技術（OT）デバイス、データ・サーバーなどのデータ・ソースの近くに配置した分散コンピューティング・モデルです。処理する施設が近くなったことにより、特に大量のストリーミング・データをリアルタイムに処理する人工知能（AI）および機械学習アプリケーションにおいて、アプリケーションの応答時間が改善され、インサイトを迅速に得ることができます。

これらのアプリケーションを活用するために、組織やソリューション・ベンダーは何千ものIoTセンサーやOTデバイスを導入していますが、その多くにはセキュリティーがほとんど、もしくはまったく適用されていません。したがって、これらのデバイスはハッカーの格好の標的となり、ハッカーはデバイスを乗っ取って機密データ・ソースにアクセスしたり、操作を妨害したり、分散型サービス妨害（DDoS）攻撃を仕掛けたりすることができます。SASEは、これらのデバイスがネットワークに接続するときにセキュリティー・ポリシーを適用し、接続されているすべてのデバイスを中央ダッシュボードから管理できるようにします。