技術解説

SASEとは何か?その必要性とNetskopeを導入するメリット

クラウド移行やテレワーク、リモートワークのニーズが高まる中で、SASE(サッシー:Secure Access Service Edge)と呼ばれる新しいセキュリティフレームワークが重要になってきました。SASEとは何であり、なぜ必要とされているのでしょうか。また、昨今注目されているセキュリティ対策のゼロトラストの考え方とは何が違い、SASEを実現することでどんなことが可能になるのでしょうか。 ここでは、SASEの基本とそれを実現するソリューションとして「Netskope」を導入するメリットを解説します。

  • SASEとは何か?
  • SASEが必要とされる理由とは?
  • SASEの構成要素の多くを担うNetskope
  • Netskopeの概要とその機能・特徴
  • インターネット企業におけるNetskopeの選定ポイント
  • Netskopeと他社との違いや選定ポイント

SASEとは何か?

昨今、急ピッチで進められているセキュリティ対策の中でも、新しいアプローチとして話題になっているのがSASE(サッシー:Secure Access Service Edge)です。

SASEとは、ネットワーク機能とネットワークセキュリティ機能を統合して、包括的にクラウドから提供するセキュリティモデルであり、ユーザーが端末を用いて、いつでもどこでもクラウド上のアプリケーション、データ、サービスなどに安全にアクセスできるようにするセキュリティフレームワークのことを指します。

新しいセキュリティモデルの1つに、ゼロトラストネットワークアーキテクチャ(ZTNA)がありますが、SASEはZTNAの考え方も取り込んだフレームワークで構築されています。SASEはいくつかのネットワーク技術とセキュリティ技術から構成されており、その要素は、ZTNAのほかにも、SD-WAN(Software-defined Wide Area Network)、WAN最適化、CDN、CASB(Cloud Access Security Broker)、Cloud SWG(Cloud Secure Web Gateway)、FWaaS(Firewall-as-a-Service)、RBI(Remote Browser Isolation)などがあります。

既存・新規のセキュリティ機能を統合的に扱いクラウド上で提供することで、高度化・巧妙化するサイバー攻撃に組織的に対抗できるようにしています。

クラウドサービスが急激に普及し、その利用が当たり前となる現在において、SASEは企業が目指すべきセキュリティ対策の姿の1つと言えるでしょう。

SASEの概要とその構成要素

SASEが必要とされる理由とは?

このように、SASEが理想的だと言われる大きな理由は、これまでのセキュリティのアプローチが限界を迎えつつあるためです。従来のセキュリティのアプローチは、ファイアウォールなどによって組織内外に境界を設け、境界を超えて侵入してくる脅威に対して、検知、防御、隔離・駆除などを行うものでした。

こうした境界型防御のメリットは、境界を超えてくる脅威に対してセキュリティ対策を講じることで、対策コストと手間を最小限に抑えられることです。また、必要に応じて境界を広げたり、部分的に出入りを許可したりするように、運用面においても柔軟性を確保できるというメリットもあります。さらに、境界を通過するアプリケーションを可視化し、境界上でアクセス制御を行うことも容易です。

しかし、境界型防御にはデメリットもあります。境界外に対してはセキュリティ対策が有効ではないこと、部分的に許可するためのルールやポリシーの設定が煩雑になりやすいこと、拠点が増えると管理の手間も増えやすいことなどです。クラウドサービスの利用が広がり、コロナ禍でテレワークが推進されるようになると、こうしたデメリットが目立つようになってきたのです。

たとえば、会社支給のPCを自宅に持ち帰って利用する場合、PCは社内ネットワークの外で利用され、セキュリティ対策の管理外となります。また、SaaSなどのクラウドサービスも社内ネットワークの対象外として扱われます。セキュリティ対策を有効にするには、VPNなどを使って社内ネットワークを経由させる必要がありますが、その場合は、帯域幅に限りのあるVPN回線がボトルネックになり、業務のパフォーマンス低下につながりかねません。

これらの理由から、境界型防御に代わるSASEのような新しいセキュリティアプローチが求められるようになったのです。

SASEの構成要素の多くを担うNetskope

SASEでは、組織とクラウドを分ける境界を設けずに、アプリケーションやデータ、サービスなどを保護する必要があります。このため、従来の境界型防御アプローチが提供してきたさまざまな機能をクラウド上でどう実現していくかがポイントです。

SASEを構成する数ある要素の中でも重要なのは、CASB機能、SWG機能、ZTNA対応のリモートアクセス機能、CSPM(Cloud Security Posture Management:クラウドセキュリティポスチャー管理)機能です。以下で、各機能について簡単に説明しましょう。

  • CASB:クラウドアプリケーションのアクセスや利用状況を可視化し、機密情報の持ち出し確認などのデータ保護、セキュリティポリシーの充足を確認する機能を提供します。コンプライアンス確保や脅威分析などに役立ちます。
  • SWG:従来のプロキシ機能をクラウド上に展開するものです。アンチウイルスやWebフィルタリング、サンドボックスなど脅威の侵入を防ぐ各種機能を提供します。
  • ZTNA対応のリモートアクセス機能:ユーザーやデバイスの認証や認可、アクセス条件の判定、安全な通信経路の確保などを行うものです。
  • CSPM:IaaS、PaaSなどクラウドの設定ミスなどを防止し、セキュアな環境を維持するための機能です。

 

上記の機能を単一のソリューションに統合することで、SASEの実現に大きく貢献する代表的な製品の1つとして評価されているのが「Netskope」です。

Netskopeの概要とその機能・特徴

Netskopeは、クラウド・Web・オンプレミスのアプリケーションに対応したセキュリティプラットフォームです。クラウド利用状況の可視性と柔軟な制御というCASBの機能を強みとしていますが、それだけでなく、SASEを構成するための次世代SWG、ZTNA対応のリモートアクセス、CSPMなどに加え、UEBA(User and Entity Behavior Analytics)、DLP(Data Loss Prevention)、リスク評価(インサイト)といった機能を提供しています。

業界のリーディングカンパニーとして、常に最新のソリューションを提供することに力を入れており、必要な機能を他のセキュリティベンダーと連携して、ベスト・オブ・ブリードで提供することができる点も強みです。

Netskopeは、すでに国内企業に多くの採用実績があります。国内企業の多くが働き方改革やテレワークの導入を進めたことで、新しいシステムのあり方が求められるようになりました。その中で課題になったのがセキュリティ面です。

先述の通り、アプリケーションの利用はいまやクラウドサービスの活用が前提となりました。セキュリティモデルに関しては、ゼロトラストのようにユーザーからのインターネットアクセスを信頼せず、常に認証するようなアプローチが求められるようになっています。また、VPN装置の脆弱性や設定ミス、PC・デバイスの持ち帰りを発端として情報が流出する事態も頻発しました。

そもそも、クラウド移行によって、社内の重要なデータはインターネット上に移っています。従来のように社内ネットワークだけを保護していても、企業のデータは守れなくなっているのです。その中で、多くの企業がセキュリティ機能を段階的にアップデートし、SASEのように理想的とされる姿を実現しようと取り組みを進めました。

インターネット企業におけるNetskopeの選定ポイント

SASEを実現するソリューションの中でも、Netskopeが高く評価されているのは、主要な次世代セキュリティ機能をカバーしており、利用状況の可視化と柔軟な制御、ユーザー操作の証跡の把握という特徴を持つためです。

実際、Netskopeを導入したある企業 は、Webアプリケーションやクラウドアプリケーションなど、社内データセンターから提供される業務アプリケーションを利用する、すべてのトラフィックがNetskopeを経由するように構成し直したといいます。

VPN装置を経由していたときは、通信速度の性能は社内ネットワークのセキュリティ装置の性能に左右されており、インターネットアクセスの遅延が発生していました。それがNetskopeを利用することで、クラウド環境でのロードバランシング、クラウド環境へのプライベート接続、多様なセキュリティの提供によって、パフォーマンスとセキュリティ向上の両面を確保できるようになったといいます。

加えて、通信の暗号化への対応や、シャドーITなど多様化するセキュリティリスクへの対応も可能になりました。クライアントPCなどのデバイスからクラウドに直接アクセスすることで、ネットワークパフォーマンスの向上、新たな脅威への対応、ユーザーエクスペリエンスの向上が実現できたのです。

Netskopeと他社との違いや選定ポイント

先述した企業がNetskopeを採用した一番の理由は「CASBによる詳細な可視化と柔軟な制御」が可能なことにあります。他社に比べて詳細なログ出力が可能で、ユーザーの利用状況を細かく可視化・制御できることを高く評価しました。

また、クラウドのリスク評価はダッシュボード化されており、メソッドの確認も可能です。アプリに対して認可タグを設定し、ダッシュボードで未認可のアプリを抽出することができます。ユーザーがログなどのファイルを一括ダウンロードしたときに検知するといった設定も可能です。

このほかの選定要件としては「クラウドに強くSaaSを推進する際に柔軟な連携が可能なこと」「信頼性と実績があり、運用しやすく、独自の付加価値があること」「サポート、エコパートナーが充実しており、ビジネスパートナーとして信頼できること」「世界で戦えるインフラを持っていること」があったといいます。

クラウド上のセキュリティ面に強くSaaSとの連携が可能であることは、将来的な発展を踏まえると重要な観点となります。サイバー攻撃の高度化に伴って、企業側は今後、予想できない脅威に直面する可能性があります。また、今後新しいSaaSが登場することで、それらとの連携が必要になる場合もあるでしょう。Netskopeは、そうした環境の変化にも柔軟に対応できます。

「信頼性と実績があり、運用しやすく、独自の付加価値がある」と判断したのは、Netskopeのこれまでの実績を評価したものです。 

NetskopeはCASBをはじめ、多くの新しい機能をすばやく市場に投入し、世界各国の企業から高い評価を得てきました。

クラウドサービスの進展と働き方の多様化を受けて、SASEのようなセキュリティアプローチは、今後必須のものになっていくでしょう。その際に、機能や性能だけでなく、豊富な実績を持ち、将来的に柔軟に対応できるNetskopeは、有力な選択肢になるのではないでしょうか。

「CASB」に関連する製品・サービス