中小企業向け「SASE」入門 ゼロトラストとの違いと「何ができるか」をカンタン解説

ガートナーが提唱したセキュリティフレームワーク「SASE」。ネットワークとセキュリティに必要な機能をひとまとめにして提供するアーキテクチャを指すが、最近では、大企業向けだけでなく中小企業向けのSASEソリューションも出始めている。

[土肥正弘，ドキュメント工房]

　SASE（Secure Access Service Edge）とは、ネットワークとセキュリティを同時に提供するフレームワークを指す。近ごろは大規模向けの大掛かりなソリューションだけではなく、中堅・中小企業に向けたSASEソリューションも出始めてきた。本特集では、中小企業向けSASE入門として、概略を解説する。

結局「SASE」とは何なのか？

　SASEとはガートナーが提唱するセキュリティモデルで、「CASB」（Cloud Access Security Broker）や「NGFW」（New Generation FireWall）、SD-WAN、ZTNA（Zero Trust Network Access）などのさまざまなネットワークセキュリティサービスを組み合わせたクラウドベースのアーキテクチャだ。

　社外で就労することも増えた現在、SASEに注目を持つ企業が増え始めた。その理由として、多くの企業が次のような問題点に気付き始めているからだ。

従業員目線の不満

• 会社が許可するクラウドサービスを使いたいが、インターネットへの直接接続が許されておらず、速度に不満
• 社外から社内ネットワークにVPNで接続しているが、ログインが多重化して面倒
• 業務で利用するサービスや社内システムが多く、ID／パスワードの管理が煩雑

IT管理者目線の不満

• UTM（統合脅威管理）などでゲートウェイのセキュリティ対策をしているが、トラフィックの増加でネットワークのふくそうや遅延が発生。性能拡張するには機器リプレースや追加が必要
• リモート端末や従業員のネットワーク環境を狙ったサイバー攻撃が増えた
• セキュリティ機器の運用管理の負担が年々増加し、専門技術者も不足している
• ID／パスワードの管理や権限付与・削除の負担が増加している

SASEが求められる背景とゼロトラストの違い

　こうした問題を根本から改善する手段として、SASEに関心が寄せられている。SASEを説明する文脈でしばしば「ゼロトラスト」が用いられる。両者の違いはどこにあるのか。

　そもそもゼロトラストとはSASEに内包される概念であり、大企業向けのクラウドプラットフォームに各種セキュリティ機能を組み込んだ大掛かりなソリューションを指して呼ばれることが多い。SASEは、従来のネットワークセキュリティを「境界型モデル」から「ゼロトラストモデル」へと移行するための手段と考えるといいだろう。

図1　境界型モデル（従来型）からゼロトラストモデルへの移行イメージ（資料：NTT PCコミュニケーションズ）

　境界型セキュリティは社内ネットワークを「内側」、インターネットや外部のネットワークを「外側」と考え、内と外との境に当たるゲートウェイでトラフィックを検査し、脅威と認められたら排除する仕組みだ。

　ゲートウェイ機器としてファイアウォールやWAF（Web Application Firewall）、IDS（Intrusion Detection System）／IPS（Intrusion Prevention System）、アンチウイルス、サンドボックスなどのセキュリティ装置や、それらを一体としたUTMが用いられてきた。

　こうした機器の導入コストや運用管理コストは、システム規模などによって異なるが年々増加している。また専門人材を確保するのは容易ではなく、人手不足により管理が行き届かなくなると脅威に対して脆弱（ぜいじゃく）な組織になってしまう。

　また、業務ネットワークと利用端末が全て社内にある場合は境界型セキュリティは有効だが、クラウドの普及とともにネットワークの内側と外側の区別があいまいになってきている。中小企業でも10種以上のSaaS（Software as a Service）を契約することは珍しくなく、ワークシフトに伴って従業員の自宅やコワーキングスペース、レンタルオフィスなどから社内システムに接続することも増えた。

　こうしてサイバー攻撃の対象となる侵入口が増加することで、従業員の使用端末はもとより、子会社やパートナー企業、取引先、海外拠点などを経由して知らない間に中枢システムに脅威が侵入する可能性が高まっている。最近ではVPN装置の脆弱性を突いたサイバー攻撃が多発し、境界型セキュリティでは脅威を防ぐことが難しいのが現状だ。

　そこで日本の行政ネットワークをはじめ、情報システムの多くをゼロトラストモデルに移行する動きが進み始めている。ゼロトラストネットワークは、クラウド事業者が備えるセキュリティ機能とSD-WANにより、ユーザー端末とアプリケーション（社内システムやSaaS、PaaS、IaaSなど）を直接接続するように構成されている。

　問題なのがコストだ。政府や大企業ならまだしも中小企業ではIT投資が限定的で、専門技術者も十分に確保できていないのが実情だ。いずれはゼロトラストへ移行するとしても、相応のイニシャルコストを要する。このような背景から、中堅・中小企業でも導入しやすいSASEソリューションが市場に出始めている。

SASEソリューションを構成する3つのサービス

　中堅・中小企業向けSASEソリューションでできることを見ていこう。今回はNTTPCコミュニケーションズが提供する「Secure Access Gateway」を例にして解説する。Secure Access Gatewayは、次に挙げる3つのサービスを組み合わせたものだ。

（1）セキュアWebゲートウェイ

　オンプレミスのUTMが実現するゲートウェイセキュリティを、社内でも社外でも等しく享受できるようにしたクラウド型のプロキシだ。従来型のUTMゲートウェイセキュリティでは、テレワークなど社外で働く従業員がSaaS（Software as a Service）やWebサイトに接続する際にはいったん社内のUTMを経由する必要があった。そのため、ゲートウェイからインターネットに抜ける通信が輻輳（ふくそう）し、つながりやすさや遅延の原因になっている。

　セキュアWebゲートウェイは、クラウド型のプロキシサーバである「Cisco Umbrella SIG Essentials」を用いて、従来のUTMが担ってきた以上のセキュリティ対策を社内、社外問わず、同一のセキュリティポリシーで実現可能にする。またSSL通信を複合しての検査や通信状況の詳細レポート、URLフィルタリングなどでリスクのある通信をリアルタイムで検知し、遮断するなどして自動的に対応する。

　この対応には高い性能が要求されるため、オンプレミスのUTMでは性能拡張が適時に行えず、また高コストになる可能性が高い。クラウドベースのセキュアWebゲートウェイは機器導入コストと拡張するたびに増える運用管理負荷を削減する効果が期待でき、必要に応じて性能がスケールされるため、運用管理負荷と従業員のストレスの軽減に効果的だ

　さらに大きなポイントは、CASB機能もパッケージ化されている点だ。最近は複数のクラウドサービスをテレワークで利用するケースが増えているが、利用状況の可視化やログの取得が可能になり、ポリシー違反などセキュリティリスクに関わる挙動を早期に発見できる。

図2　セキュアWebゲートウェイのイメージ（出典：NTT PCコミュニケーションズ提供の資料）

図3　CASB機能によるクラウドサービス利用状況の可視化例（出典：NTT PCコミュニケーションズ提供の資料）

（2）DNSセキュリティ

　代表的なマルウェアの感染経路は不適切なWebサイトへのアクセスだ。従来のURLフィルタリングなどによる対策は不正Webサイトへの接続が確立して通信開始後に検知、遮断するが、DNSでの名前解決時点で遮断する（名前解決を拒否する）のがDNSセキュリティだ。Cisco Umbrella DNSサーバを利用するこの仕組みでは、Webプロキシでは阻止しきれない脅威をネットワークやエンドポイントに届く前に排除できる。

図4　セキュアアクセスゲートウェイによる不正サイトアクセス制御のイメージ（出典：NTT PCコミュニケーションズ）

（3）シングルサインオン

　もう一つの重要な要素がシングルサインオン機能だ。これはユーザーの権限に応じてSaaSや社内システムへのアクセスを単一の認証手順で可能にするものだ。

　標的型攻撃や成りすましによる不正アクセスの多くが、流出あるいは推測されやすいIDやパスワードを利用している。IDやパスワード管理を従業員任せにすると、管理負担が増すだけでなくセキュリティポリシーに反するパスワード運用を助長する可能性がある。

　IDやパスワードに加え、ワンタイムパスワードや属性、クライアント証明書など安全な認証方式によるシングルサインオン認証をパスすれば、システムやサービスに都度ログイン操作をする必要がなくなる。

　また、社外から社内システムを利用する際はVPNログインが必要とされ、それが従業員の負担とストレスの元になっていたが、シングルサインオンによって多重ログイン操作を不要にできる。

図5　シングルサインオン利用時のユーザー操作のイメージ（出典：NTT PCコミュニケーションズ）

　以上がネットワークの出口対策と認証が可能な中堅・中小企業向けSASEとして提供されているSecure Access Gatewayの概要だ。本格的なSASEベースのセキュリティ対策には、これに加えて内部対策としてアンチマルウェアの強化やEDR（Endpoint Detection and Response）などの脅威検知機能、ログ管理機能などさらに進んだ仕組みが必要になるだろう。もちろん、既存のソリューションや今後登場するサービスなども視野に入れて十分な組み合わせの検討が必要になる。

　VPN接続時の多重ログインによるロスタイムや従業員へのセキュリティ教育などの目に見えないコストの削減効果や一元的なセキュリティポリシーの徹底などのメリットも勘案しながらROI（投資利益率）を算出することが肝要だ。