誰も説明できないNWセキュリティのSASEを解き明かすことを試みた

境界型セキュリティの神話が崩壊したのちも、NWセキュリティは進化を続けている。その完成形の一つらしいものがSASEである。CASBとかが少し流行った時代もあったが、最終形はSASEなのだ。しかし、このSASEは何を読んでもいまひとつ理解できない。僕がNWに明るくないせいもあるが（得意分野がサーバのため）、概念が大きすぎるのである。ゼロトラストがそれを構成する技術範囲が膨大で一言で説明できないのと似ていて、SASEも実現の道のりは遠く険しい。
あとどうしてセキュリティ用語の理解が難しいのか、それが伝われば本当に嬉しい。

SASEの読み方

サッシ―、もしくはサシーと読む。
前者の方が多数派かもしれないが、指原莉乃と混同するので僕は断固サシーと読んでいる。仕事中にアイドルを連想すると、5分は思考を持っていかれて進捗の遅延になる。僕なんかアプリと言われただけでアプリケーションではなく、フィフィヨナアプリアニちゃん（JKT48）を連想してしまうというのに。

SASEを定義したのは

アメリカのGartnerという会社。こいつらは次々と新しい略語を生み出す非常に困った人たち。投げっぱなしで節操がない。なんで節操がないのかは追々書いていく。
ちなみにSASEをフルで書くとSASE（Secure Access Service Edge）である。

SASEって何？

SASE (Secure Access Service Edge) | セキュリティ用語集 | サイバーセキュリティ | NECソリューションイノベータ

一般的にSASEは、SD-WANとクラウドアクセスセキュリティブローカー（CASB）、セキュアウェブゲートウェイ（SWG）、ウイルス・マルウェア対策、仮想プライベートネットワーキング（VPN）、ファイアウォール・アズ・ア・サービス（FWaaS）、データ損失防止（DLP）、ユーザー及びエンティティの行動分析（UEBA）などのセキュリティ機能を組み合わせ、連携して実現されることが多い。

NECソリューションイノベータより

リンク先から引用したのが上記説明文である。カタカナで略語を説明してるだけマシだが、説明の体を成していない。だが、だいたいどこで説明を読んでもこんな感じで謎の単語の羅列によって書かれることが一般的だ。
しかも、説明される内容は各社によって微妙に違う。こういう曖昧な言葉を次々と生み出すガートナーは罪深い。ガートナーはなかなかかっちりした定義をしてくれない。そしてSASEにVPNを含んでしまうと矛盾をはらんでしまう気もするが、いったんスルーしておく。（SASEはNWを信頼せずに全スキャンするのに、暗号化するVPNは相反する技術ではないか。セキュリティエンジニアの見解を求む）

多くの企業がSASEを実現できないという問題

SASEが複数の技術のセットで成り立っていることはふんわりとご理解いただけたと思う。その構成要素の定義はいろいろあるが、今のところSASEを一つの製品（あるいは一社のソリューション）で実現できることは不可能である。また近い将来それができる見込みもない。
僕はSASEを提供する仕事を特にやってないので忖度なしで言ってしまうが、SASEはただの理想であって実現性に乏しい。もしくは費用対効果の悪いもので、目指すべき形ではないと考える。
これを読んでるみなさんもSASEがどういうことかわからないままこう言われても困るだろうが、長文でSASEについて説明をされてから実現不可能・または現実的に不要なソリューションだと言われたらもっと困るだろう。

SASEを諦めたガートナー

ガートナーは2021年にSSEという新しい言葉を生み出した。
SASEからAを引いたもの、つまりSD-WAN等を引いたものをSSE（Security Service Edge）というらしい。調べるとSSEはCASB、SWG、ZTNAという3つの要素で構成されてるということは多くのベンダーで一致した解釈のようだ。構成要素が明らかであれば、この方面に明るくない僕のようなエンジニアにとっても俄然理解しやすくなる。

しかし、SASEという大きな用語を作っておいて、後からSSEという縮小した言葉を生み出すガートナーとはどうなんだろうか。必死でSASEに投資した企業は振り回されただけではないか。それはそれで自業自得なのかもしれないが、こうしていちいち調べる僕たちにとっては釈然としないものがある。

SSEとは何か

一言で言えば通信を監視する技術である。VPNは拠点間の通信を暗号化して安全を確保するものだが、SSEは通信のすべてを信用せずにマルウェアや攻撃や情報流出などを検知・遮断するソリューションである。NWセキュリティは古来から通信内容の監視が大好きなのである。ゼロディ攻撃などもここでブロックをする。CASBが入ってるので、利用を許可していないクラウドサービスを勝手に利用しないように制御もできる。
はっきり言って多くの企業ではここまで対策ができればNWセキュリティとしては事足りると思う。ガートナーもそう思ったからこそ、SASEがあるのに当面はSSEで十分としたのだろう。
ただし、すべての通信をスキャンするならばレスポンス速度の遅延は起きるはずだ。その点はベンダーに質問したことがあるが回答はもらえなかった。どの程度の影響があるかはわからないけど、レイテンシーの要件がきついシステムでは採用すべきではないかもしれない。

SASEを調べることに力尽きた俺

そもそもセキュリティ設計は「何から何を守りたいのか」という要件があってから必要な対策をすべきものであって、システムに必要な対策はそれぞれの担当者が決めるべきものである。ゼロトラストを目指したところで、理想的なゼロトラストを実現できてる会社は少ない。ほとんどすべての会社はどこかで妥協しているのが現実だと思ってる。（しょせん技術の寄せ集めなので主語が大きいとやることが膨大すぎてついていけない）

そもそも境界型セキュリティが崩壊した今ではNWセキュリティだけでセキュリティ投資は終わらない。エンドポイントセキュリティも真剣に考えるべきだし、僕が好きなクラウドセキュリティも投資が必要だ。
そのバランスを考えて設計するのは人智を超えた技術力も必要だと思う。SASEというビッグワードに惑わされずに必要なものが何かを説明するのはすんごく大変である。ベンダーは売りたいものだけを好き勝手に言うし。

本当に必要なものは何だったか

はっきり言って、セキュリティ設計のためにあるべき姿は発注者側の高いリテラシーである。大きな方針や予算の確保は発注者側が考えるべきである。だが、我々技術の専門家でもなかなかキャッチアップしきれない世界でそれを要求するのは無茶というものである。

であれば、せめてセキュリティのあるべき形を一緒に設計することが必要である。何をどこで守るのかをきちんと可視化して話し合いができれば、重複した投資をせずに済む。
たとえば、SSEでゼロディ攻撃を守れるのに、WAFでさらにゼロディ攻撃を防いで、端末では脆弱性スキャンを毎日やる・・・というのは過剰投資かもしれない。極端なことを言えばルータとゲートウェイで同じ機能のセキュリティスキャンがかぶることもあるかもしれない。しかし、世の中にはそれが多層防御だから必要なのだと思う困った人たちがいる。ちょっと意味をはき違えている。武器を装備するときに剣と弓を同時に装備するのが無茶なように、同じ目的の同じ機能を複数実装するのは立ち止まって見つめ直してほしい。仮に誤って正常な通信が遮断された時に、切り分けの工数が無駄に発生するかもしれない。それを上回るメリットがどこかにあるのか等。

それよりなら、別の観点の防御に投資を分散すべきだろう。攻撃者は防御が堅いところを強引に突破するよりも弱い場所を探す。

そういうことを考えながら過ごす僕は、今日もSASEがよくわからないままなのである。