ひとり情シス日記#4 SASE「Secure Access service Edge」
小さな組織でひとり情シスやる事になったので、自己リマインド&勉強アウトプット用の記事。解像度を上げて随時更新。
SASE(サッシー)とは
2019年に米国ガートナー社が提唱した、ネットワークの機能とセキュリティの機能を一体として提供するクラウドサービス、またはその考え方・概念を表す。
クラウドサービスの業務利用やテレワークの普及によって、データセンターを中心とした従来型の企業ネットワークセキュリティモデルから、ユーザーを中心としたネットワークセキュリティモデルとなり、従来型のセキュリティでは十分な対策が難しくなった。また、インターネットアクセス増による管理データセンターへの負担やVPN接続数の上限問題などに有効な解決策とされている。
SASEは社内外から安全にクラウドサービスにアクセスできるようゼロトラストの考え方を前提に「ネットワーク機能」と「ネットワークセキュリティ機能」を提供するフレームワーク。
SD-WAN(Software Defined-Wide Area Network)
物理的な機器で構築したWAN上にソフトウェアを用いて仮想的なWANを構築・管理する技術。
ネットワークをソフトウェア制御するSDN(SoftwareDefinedNetworking)を物理的なネットワーク機器で構築したWANに適用する技術。企業の拠点間接続やクラウド接続などにおいて柔軟なネットワーク構成、トラフィックコントロールなどを実現。SD-WAN導入で、さまざまな物理回線を見える化、可視化し、トラフィックを適切にコントロールできるため、オフィス、データセンターといった拠点間のクラウド接続における柔軟性を向上。
たとえば、拠点間のやりとりで信頼性、品質がそれほど求められない通信は、インターネットVPNに。遅延の影響が大きく、リアルタイム性が必要なビデオ会議などの通信はクローズドVPNなど。アプリケーション・トラフィックの種類に応じて利用する回線を使い分けて、通信速度の最適化が図れる。
通常のインターネット利用は、データセンターなどに構築されたインターネットゲートウェイを経由させ、Microsoft 365などの信頼できるクラウドサービスへの接続は、各拠点に設置したルーターなどの通信機器から直接行う、LBO(Local Break Out:ローカルブレイクアウト)もSD-WANで対応、実現できます。LBOによりクラウドサービスの快適な利用と、社内ネットワークの混雑緩和にも効果的。
CASB(キャスビー・Cloud Access Security Broker)
従業員のクラウドサービスの利用を監視、適切なセキュリティ対策を行うソリューション。一般的にCASBでは4つの機能を提供。
①クラウドストレージへの不審なアップロードやダウンロードの監視
②シャドーITの検知に有効な「可視化」。利用する各種クラウドサービスの使い方が、自社のセキュリティポリシーに適合しているかを把握できる「コンプライアンス」
③データの種類ごとにユーザーのアクセス権限を設定して、データの持ち出しを防ぐ「データセキュリティ」
④使用する各種クラウドサービス上での不審な行動や、マルウエアなどを検知する「脅威検知」
従来のセキュリティ製品ではこれらを一括導入することは困難だったが、CASBでは導入、運用管理が比較的簡単になる。昨今、メールや情報共有、あるいは業務アプリケーションなどをクラウドサービスとして提供するsaasの利用が増えたことで、企業のさまざまな機密情報がクラウド上に保存される状況。こうしたクラウド上の機密情報の保護、あるいは従業員の不適切なクラウド利用による情報漏えい、といったリスク対策を目的として活用されるCASBは、セキュリティ対策の1つとして広く浸透しつつある。
この記事が気に入ったらサポートをしてみませんか?