/ SASE導入の基本的な手順とは
SASE導入の基本的な手順とは
セキュア アクセス サービス エッジ(SASE)ソリューションによって、組織のセキュリティと接続のアプローチに変革が起こっています。SASEは、ネットワークとセキュリティを統合することで、増大するサイバー脅威の管理やハイブリッド ワークのサポートといった現代の課題を簡素化します。この記事では、SASEアーキテクチャーを導入するための段階的なアプローチについて解説します。
要旨
• このガイドでは、SASE導入を成功させる方法について解説します。ニーズの評価やロードマップの作成から、適切なベンダーの選定、展開の拡張までを網羅しています。
• 重要な要素には、統一されたポリシー、スマートなセキュリティ制御、そして保護、スピード、ユーザー エクスペリエンスを強化するクラウド ネイティブのゼロトラスト アーキテクチャーがあります。
• これらの手順に従うことで、IT部門はハイブリッド環境全体でセキュリティを強化し、接続を高速化するとともに、管理を合理化できます。
• Zscalerは、AIツール、グローバル ルーティング、ゼロトラスト アーキテクチャー、シンプルでシームレスな運用により、組織がSASEの価値を引き出せるよう支援します。
SASEとは
SASEは、重要なセキュリティ機能とソフトウェア定義型広域ネットワーク(SD-WAN)を統合し、すべてをクラウド型プラットフォームで提供するフレームワークです。
SASEの詳細:SASEとは
SASEのメリット
従来のセキュリティとネットワーク アーキテクチャーは、旧来のIT環境向けに構築されており、複雑で柔軟性に欠けるため、現代のクラウドファーストの分散型システムには適していません。
SASEは異なるアプローチを採用し、以下のようなメリットを提供します。
- セキュリティの強化:SASEはクラウド アクセス セキュリティ ブローカー(CASB)、セキュアWebゲートウェイ(SWG)、Firewall-as-a-Service (FWaaS)などを組み合わせて、ハイブリッド環境全体にわたるリアルタイムの保護を提供します。ゼロトラスト ネットワーク アクセス(ZTNA)は、リモート ユーザーやデバイスに対してアイデンティティーベースの最小特権アクセスを適用します。
- 接続とパフォーマンスの向上:クラウド プラットフォームや拠点間のトラフィック ルーティングを最適化します。SD-WAN接続により、レイテンシーを短縮し、アプリケーションの応答性を向上させて、ユーザーがいつでもどこでも安全にリソースにアクセスできるようにします。
- コスト削減と拡張性:組織が事業を拡大したり新しいクラウド サービスを導入したりする際に、オーバーヘッド コストを削減しながら、拡張性を向上させます。
SASE導入を成功させるための6つの手順
段階的なアプローチにより、よくある落とし穴を回避するとともに、SASE導入を迅速化および合理化できます。
手順1:組織のニーズの評価
インフラの評価
SASEで解決できる環境のギャップを特定しましょう。VPNやMPLSなどの従来のシステムによってレイテンシーやリスクが増大していないか、リモート ワーカー、拠点、SaaS全体の可視性は十分か、クラウドの拡張性やエンドポイント セキュリティに障害が出ていないかなどを検証します。発見された課題は後で直接目標にマッピングできます。
運用上の問題点の特定
IT、コンプライアンス、エンド ユーザーのワークフローにおいて関係者が直面する課題を文書化しましょう。ツールのサイロ化によってセキュリティ部門に過剰な負担がかかっていないか、クラウド ユーザーからレイテンシーやアクセスの問題が繰り返し報告されていないかなどを検証します。問題点を明確にすることで、SASEのロードマップの範囲と優先順位が決まります。
主な関係者全員からの賛同の獲得
意思決定プロセスの早い段階から、IT部門、コンプライアンス担当、経営陣に関与してもらいましょう。統合、規制、予算といった重要事項について合意を得ることで、スムーズで迅速な移行が可能となります。
手順2:展開ロードマップの作成
測定可能な成功目標の定義
導入にあたっては、明確かつ達成可能な目標を設定しましょう。たとえば、SaaSアプリのレイテンシーを30%削減する、不正アクセスの試みを40%削減する、コンプライアンスに関するアクティビティー ログを6か月以内に完全に可視化するなどの目標を設定します。これらの目標達成に向けた進捗を追跡することで、進捗状況を評価し、必要に応じて戦略を調整できます。
影響の大きいユース ケースの優先
最も影響の大きいシナリオから順に展開段階を計画しましょう。たとえば、まずはエンド ユーザーのセキュリティを確保し、次にクラウドやデータ センター、その後IoT/OTデバイスやB2Bに展開します。これにより、IT運用部門の負担を軽減しながら、目に見える成果を速やかに上げられます。
共通の課題に予防的に対応する計画の策定
ワークフローの中断や統合のハードルといった潜在的な障害に事前に対処することで、後々の遅延を回避できます。たとえば、管理者やユーザーがSASE導入による日常業務への影響を理解しておくことで、変更に対する抵抗を軽減できます。また、APIの互換性を事前に理解しておくことで、従来のシステムへの対応方法に関する疑問も解消できます。
手順3:適切なベンダーの選定
管理を簡素化する統合プラットフォームの検討
SASEソリューションは、ポリシーの施行と分析を1つの画面で行える直感的な管理システムを提供し、運用を簡素化できる必要があります。DLP、マルウェア対策、ユーザー モニタリングなどの機能は、個別のコンソールを必要とすることなくシームレスに連携しなければなりません。統合されたエクスペリエンス モニタリングにより、エンドツーエンドのトラブルシューティングが容易になり、ユーザーの生産性と満足度を維持できます。
真のゼロトラスト ソリューションの選択
SASEソリューションはどれも同じではありません。ラテラル ムーブメントやリスクの増大につながる従来のファイアウォールベースのアプローチは避けましょう。代わりに、真のゼロトラストSASEプラットフォームを探します。ゼロトラストは、ネットワークを公開することなく検証されたユーザーのみが承認済みアプリにアクセスできるようにし、脅威の進化に合わせて組織を保護します。
シンプルで効果的なセグメンテーションの優先
ユーザー、アプリ、デバイスのセグメンテーションを簡素化するSASEソリューションを探しましょう。従来のアーキテクチャーでは、セグメンテーションが終わりのない複雑なプロジェクトになりがちです。ゼロトラスト アーキテクチャーはセグメンテーションを自動化し、手動での継続的な調整を必要とすることなく一貫したポリシーを施行します。この合理化されたアプローチにより、複雑さを軽減し、全体的なセキュリティを強化します。
包括的なセキュリティとデータ保護の要求
高度なサイバー対策とデータ セキュリティをリアルタイムで提供し、データの所在やフローを可視化するSASEプラットフォームを選択しましょう。リスク スコアに基づく適応型アクセス制御、継続的な検証、AIによる異常検出は、あらゆるチャネルで脅威を阻止し、データ漏洩を防ぐ鍵となります。
インテリジェントなインフラ配信による拡張性の確保
ユーザーにできるだけ近い場所でポリシーを施行できるよう、世界中に分散したポイント オブ プレゼンス(PoP)を備えたプラットフォームを選択しましょう。複数の拠点や高負荷のワークロードに対応できる高度で安全な接続機能があり、サービス品質を一貫して維持できることを確認します。
手順4:試験導入
制御された環境でのロードマップのテストと検証
ロードマップに沿って、選択したSASEソリューションをパイロット環境で展開しましょう。展開を制御することで、リスクを最小限に抑え、導入中に発生する可能性のある課題の規模を抑制できます。
結果とフィードバックに基づいた構成の調整
パイロットの結果をロードマップの指標と比較し、調整が必要な領域を特定しましょう。IT部門やユーザーからのフィードバックを収集し、より多くの環境のオンライン化にあたり、構成やワークフローを改善してスムーズに展開します。
手順5:システムの統合
基本要素の移行
安全なアクセス ポリシーを確立するために、ユーザー認証などの重要システムをSASEプラットフォームのフレームワークに統合することを優先しましょう。管理者がエンドポイント、拠点、クラウド ワークロードを含むネットワーク全体のアクティビティーを一元的に把握できるよう、モニタリング ツールを導入します。
従来のツールの段階的な廃止
SASEプラットフォームをテストする際には、VPNやスタンドアロン ファイアウォールなどのシステムを段階的に廃止していく計画を立てましょう。導入初期段階では従来のシステムと新しいシステムを並行運用し、担当部門がSASEプラットフォームの機能に慣れてきた段階で古いツールを廃止します。
手順6:拡張と最適化
重要な環境全体へのSASEの拡張
試験導入が成功したら、SASEを組織全体に拡張しましょう。SD-WANによって拠点やハブ間のトラフィック ルーティングを改善し、ZTNAによって世界中の従業員のリモート アクセスを保護します。あらゆる地域にわたり一貫したセキュリティを適用し、接続のパフォーマンスを確保することを優先します。
SASEシステムを効果的に管理、使用するための担当部門のトレーニング
展開規模の拡大に合わせ、担当部門を対象としたダッシュボードの管理、ポリシーの設定、プラットフォーム全体のトラブルシューティング方法を学ぶトレーニングを実施しましょう。ユーザーには多要素認証や新しいSaaSアクセスの手順などの変更点に関する簡潔なオンボーディングを提供します。
パフォーマンス データに基づく監視と最適化
SASEプラットフォームの分析ツールを活用し、コンプライアンス レポートの精度、レイテンシーの削減、検出率といったKPIを測定します。設定した目標と結果を比較することで、改善点を特定できます。継続的な改善により、SASEプラットフォームは組織の進化するニーズに常に対応した状態を維持できます。
Zscalerのソリューション
SASEはセキュリティと接続を強化し、運用を簡素化します。ただし、これらのメリットは、高いパフォーマンスと拡張性があって初めて提供できます。そのため、当社はAIを活用したZscaler Zero Trust Exchangeを構築しました。これにより、あらゆるユーザー、ワークロード、場所に対して需要を問わず、高速で信頼性の高い最適化されたパフォーマンスを提供します。
- クラウドファーストのアーキテクチャー:ITサービスを統合、簡素化し、スムーズで一貫性のある透明性の高いユーザー エクスペリエンスを提供します。
- 大規模かつ完全なインラインTLS/SSLインスペクション:プロキシベースのアーキテクチャーを活用し、脅威やデータ流出に対する高度な保護を提供します。
- グローバル ピアリングと最適化:主なアプリケーション プロバイダーとサービス プロバイダーを通じて、優れたユーザー エクスペリエンスとトラフィック ルーティングを提供します。
- ゼロトラスト ネットワーキング:オーバーレイ ルーティングなしであらゆる場所に安全に接続し、無制限のラテラル ムーブメントを防ぎながら、アプリへの最小特権アクセスを可能にします。
- 攻撃対象領域の排除:IPアドレスや送信元のアイデンティティーはSASEプラットフォームの背後に隠され、インターネットから不可視化されます。
