Zpedia 

/ SASEの導入における基本とは

SASEの導入における基本とは

今、セキュア アクセス サービス エッジ(SASE)によって、組織のネットワークとセキュリティのアプローチに変革が起こっています。SASEは、ネットワークとセキュリティの機能をクラウド型プラットフォームに統合することで、ハイブリッド環境や分散した従業員に対応するスケーラブルなソリューションを提供します。この記事では、組織におけるSASE導入の取り組みを自信を持って始められるよう、その基本について解説します。

SASEの詳細はこちら
ネットワーク セキュリティクラウド セキュリティデータ セキュリティ
  1. SASEとは
  2. SASEアーキテクチャーの主な構成要素
  3. SASEが保護を強化する仕組み
  4. SASE導入のベスト プラクティス
  5. SASE導入の課題
  6. 適切なSASEソリューションの選定
  7. Zscalerのソリューション
  8. 関連するトピック

SASEとは

SASEは、セキュリティとネットワークを統合し、クラウドベースの統一フレームワークを提供します。すべてのトラフィックを本社のデータ センターにバックホールする必要がある従来の「城と堀」の集中型アーキテクチャーに代わるものとして設計されています。ハイブリッド ワークとクラウド サービスによって現代の運用が大きく変わり続けるなか、SASEは、パブリック クラウド、プライベート データ センター、SaaSプラットフォームにわたって、柔軟かつ効率的で安全なアクセスを提供します。

SASEの重要な特長は、ユーザーやデバイスにより近いインターネットの「エッジ」に、分散された安全な接続ポイントを設けている点です。エッジ ロケーションでは、ゼロトラストの原則が適用され、すべての接続がセキュリティの観点から検証、監視されます。SASEは、中央のハブへの依存を減らすことで、リモート ワークやハイブリッド ワークのパフォーマンスを向上させると同時に、堅牢な脅威対策も維持します。

SASEアーキテクチャーの主な構成要素

効果的なSASEアーキテクチャーでは、以下に挙げるすべての中核要素が連携し、包括的なセキュリティと最適化された接続が提供されます。

  • ソフトウェア定義型広域ネットワーク(SD-WAN):トラフィックを最適な経路でインテリジェントに誘導し、分散環境において信頼性の高いアクセス、パフォーマンスの向上、レイテンシーの低減を実現します。
  • セキュアWebゲートウェイ(SWG):セキュリティ ポリシーを施行し、悪意のあるWebサイトへのアクセスをブロックしながら、Webトラフィックを監視してデータ漏洩を防ぎます。これにより、ユーザーをWebベースの脅威から保護します。
  • クラウド アクセス セキュリティ ブローカー(CASB): SaaSアプリケーションの可視性と制御を拡張し、不正アクセス、シャドーIT、安全でないデータ共有などのリスクを軽減します。
  • Firewall as a Service (FWaaS):クラウドを介してスケーラブルなファイアウォール対策を提供し、分散したユーザー、ワークロード、デバイスに対してセキュリティ ポリシーの施行を可能にします。
  • ゼロトラスト ネットワーク アクセス(ZTNA):検証済みのユーザー、デバイス、プライベート アプリケーションのみにアクセスを許可することで、VPNの代替となります。明示的に認証されない限り、すべての接続はデフォルトで拒否されます。
  • 一元管理と監視ツール:IT部門はすべてのネットワーク、デバイス、ユーザーに一貫したポリシーを施行しながら、アクティビティーの可視性を維持できます。

SASEが保護を強化する仕組み

SASEは、単なる統合や利便性だけを目的としたものではありません。その本質は、組織のセキュリティ態勢を強化しながら、一貫性のある高パフォーマンスのアクセスを拡張することにあります。SASEは、以下のような機能や特長を通じてそれを実現します。

  • リアルタイムの脅威検出:すべてのトラフィックをリアルタイムで分析し、ランサムウェアやフィッシングなどの悪意のあるパケットがネットワークに侵入する前に阻止します。
  • 統一されたポリシー管理:一元的なセキュリティ フレームワークにより、ユーザーやデバイス全体にわたる一貫したポリシー施行を可能にし、設定ミスやポリシーのドリフトのリスクを軽減します。
  • 一元的な可視性:包括的な可視性とログ管理により、ネットワーク トラフィック、エンドポイント アクティビティー、リモート ユーザーの行動に関する高度なインサイトを取得し、監査の簡素化やコンプライアンスの確保を可能にします。
  • シームレスな拡張性:柔軟なクラウド ネイティブ インフラ上に構築されており、物理的なインフラに比べわずかなコストで拡張し、どのような人数のユーザーに対しても高いパフォーマンスを提供できます。
  • ゼロトラストの実現:リアルタイムのコンテキストに基づいて信頼性を継続的に評価し、状況が変化してもセキュリティを確保します。
  • デジタル トランスフォーメーション:どこにあるリソースに対しても安全で高速なアクセスを提供します。そのため、ハイブリッド ワークや高度なクラウド導入を採用する組織にとって、SASEは不可欠な存在となっています。

SASE導入の計画:手順とベスト プラクティス

SASE導入を成功させるには、慎重な計画と先を見越した準備が必要です。戦略的な整合性を明確化してギャップを特定し、以下のような段階的なアプローチを取ることで、リスクを最小化するとともに投資の価値を最大化できます。

ステップ1: SASEの目標と要件の定義
導入の成功とはどのようなものかを明確にします。セキュリティの簡素化、リモート アクセスの強化、クラウド接続の改善など、何を目標にするのかを確認したうえで、パフォーマンス、セキュリティ、コンプライアンスのニーズを定義し、これらが組織全体の目標と合致するよう調整します。

ステップ2:インフラとセキュリティ ギャップの評価
既存のネットワークやセキュリティのアーキテクチャーを把握し、古いVPNソリューション、レイテンシーの問題、効果的でないポリシーなどの課題を特定します。使用中のツール(特に旧式のシステム)の詳細なインベントリーを作成し、SASEモデルと互換性があるかを評価します。

ステップ3: SASEベンダーとソリューションの選定
信頼性、拡張性、世界展開、統合などの要素からソリューション プロバイダーを評価します。自社の目標を達成するには単一ベンダーのプラットフォームが適しているのか、複数のベンダーを利用した柔軟なアプローチが必要なのかを検討したうえで、グローバルなポイント オブ プレゼンス(PoP)、堅牢なゼロトラスト機能、シンプルな従量制の価格モデルを提供するベンダーを探します。

ステップ4: SASEの設計と段階的な展開
段階的な展開を計画します。たとえば、従来のVPNをZTNAに置き換える、SD-WANを拠点に展開するなど、影響の大きい領域から始めます。重要な要素は制御された環境でテストし、展開を拡張する前に構成を改善します。

ステップ5:テスト、移行、最適化
パイロット段階では、接続、セキュリティの適用、拡張のプロセスを徹底的にテストします。担当部門が確信を持てたら、従来のシステムからSASEに完全に移行します。パフォーマンス指標を継続的に監視し、ニーズの変化に応じてポリシーを最適化し続けます。

SASE導入の一般的な課題とその解決策

従来のシステムの統合と複雑さ
課題:ファイアウォールやVPNなどの従来のシステムをSASEソリューションと統合することは難しいため、移行は複雑で手に負えないと感じられる場合があります。

解決策:ハイブリッド移行戦略から始め、移行期間中は従来のシステムをSASEと並行して稼働させます。たとえば、VPNをZTNAに置き換える、SD-WANを導入して拠点の接続を改善するなど、優先度の高いユース ケースから取り組みます。

VPNのリプレースに関する詳細はこちら

専門知識と可視性の欠如
課題:IT部門がSASEアーキテクチャーを構成および管理するために十分な専門的スキルを持っていない場合、完全な可視化を実現することは難しい場合があります。

解決策:SD-WAN、ZTNA、クラウド型セキュリティなどのSASEの要素に合わせたコースで、IT部門をトレーニングします。さらに、統合型の監視機能を備えたSASEソリューションを導入するようにし、エンドポイント、ワークロード、ユーザーの一元的な可視化と包括的な監視を実現します。

セキュリティとパフォーマンスの両立
課題:セキュリティを強化すると、特にビデオ会議やSaaSツールなどのリアルタイム アプリケーションの場合、ネットワークのパフォーマンスが低下したり、レイテンシーが増加したりする恐れがあります。

解決策:業務に不可欠なトラフィックを優先しながら堅牢な保護を維持できるよう、セキュリティ ポリシーを最適化します。グローバルに分散したPoPと簡単に構成できるQoSを備えたSASEフレームワークを選択することで、重要なアプリのレイテンシーを軽減できます。

変化への抵抗
課題:変化には困難が伴い、段階的に展開するか、大規模展開するかの判断が不確実性を生み出します。

解決策:SASEがどのように拡張性、リモート アクセス、セキュリティを強化するかについて明確に伝えることで、社内の賛同を得ます。段階的な展開でも、リモート ワークや拠点接続などにおいて速やかにメリットを得られ、摩擦やリスクを軽減できます。

コンプライアンスと規制の複雑さ
課題:特に複数の法域で事業運営している場合、GDPR、HIPAA、PCI DSSなどの規制を順守するには、複雑な対応が必要になる可能性があります。

解決策:コンプライアンス部門や法務部門と連携し、SASEフレームワークを必要に応じてカスタマイズします。地域内のデータ ストレージ、きめ細かなポリシー制御、統合された監査対応などの機能を備えたソリューションを優先することで、データ主権とプライバシーに関する法律を順守できます。

適切なSASEソリューションの選定

SASEソリューションを選定する際には、技術的なニーズと運用上の目標のバランスを取ることが重要です。展開を簡素化し、パフォーマンスを最適化しながら、セキュリティと接続の要件に対応するための機能を重視します。

評価にあたっては、以下を提供するベンダーを探すようにします。

  • クラウド ネイティブ アーキテクチャー:世界中のハイブリッド勤務の従業員のニーズに対応できる、高パフォーマンスかつシームレスな拡張性を提供します。
  • アイデンティティーに基づく統合型のセキュリティ:ゼロトラストとリアルタイムの脅威検出を組み合わせて、すべての接続に対して実用的な保護を提供します。
  • グローバルなポイント オブ プレゼンス:ユーザーの場所を問わず、可能な限り近い場所のPoPを通じて高速かつ一貫したアクセスを提供します。
  • 一元管理と可視化ツール:ポリシーを施行し、アクティビティーを監視しながら、環境全体にわたる実用的なインサイトを提供します。
  • きめ細かなポリシー制御:コンプライアンス要件を満たすように調整し、進化するビジネス ニーズに対応します。
  • 柔軟な従量制の価格モデル:組織の成長に合わせてコストを調整し、不要な負荷を排除します。

単一ベンダーと複数ベンダーのアプローチの比較

単一ベンダーと複数ベンダーどちらのソリューションにするかを検討する際には、シンプルさと拡張性を考慮することが重要です。複数ベンダーのソリューションには柔軟性がある一方で、統合、管理の断片化、ポリシー施行における一貫性の欠如などが問題となる傾向があります。これらの問題は、SASEの目標に反するだけでなく、展開の遅れ、長期的なコストの増加、運用効率の低下につながる可能性があります。

対照的に、単一のベンダーによるアプローチは、フレームワーク全体でシームレスな統合を実現します。一貫性、信頼性、拡張性を提供することで、展開の簡素化、統合管理、より優れたセキュリティとパフォーマンスの両立を可能にし、運用の効率化と将来に備えたインフラの整備に役立ちます。

Zscalerのソリューション

Zscaler Zero Trust SASEは、AIを活用したセキュリティとゼロトラストSD-WANを統合するソリューションとして、世界160か所以上のポイント オブ プレゼンスから提供されています。これを利用することで、あらゆる場所のユーザー、拠点、クラウド サービスに超高速の安全な接続を拡張できます。

  • ユーザーだけでなく、IoT/OT、サーバー、拠点にゼロトラストを拡張
  • プロキシベースの単一のアーキテクチャーにセキュリティとアクセスを統合
  • レイテンシーと帯域幅の使用を最適化し、ユーザー エクスペリエンスを改善
  • 複数のポイント製品を統合することで、コストと複雑さを削減します。

SASEの導入は、セキュリティの強化と成長の両立を可能にする、戦略的転換を意味します。導入の初期段階にある場合でも、進行中のプロジェクトの改善に取り組んでいる場合でも、Zscalerはツールや専門知識の提供を通じて、SASEの導入を支援します。