クラウド時代のセキュリティー「SASE」実現に不可欠な5つのポイント
企業が業務でクラウドサービスを当たり前に使う時代のセキュリティは、これまでの境界線型防御ではなく、次世代型の「SASE(Secure Access Service Edge ・サシー)」の概念をベースにした対策が効果的だ。今回は、アクセスする端末や場所に制限されず、ネットワークを常に安全に利用するためのSASEを構成する仕組みや技術について、SASEの実現に不可欠な5つのポイントを説明する。
SASEの実現に不可欠な5つのポイント
1.クラウドベース
2.ポリシー決定の基本
3.センター側での可視性とログ取得
4.モバイル向けネットワークセキュリティ
5.遅延に敏感なセキュリティコンピュータ
少し専門的な用語や概念が含まれるので、一つ一つの要素を解きほぐしていこう。
1.クラウドベース
まず、SASEの原則は、クラウドを中心とした企業情報システムに安全にアクセスできる環境の構築を目指すことだ。これまで企業内のみで利用されていたアプリケーションやデータなども、将来的にはクラウドに接続するデータセンターや、アマゾンやグーグルなどの提供するパブリッククラウドサービスに移管して、あらゆるサービスがクラウドベースになるだろう。SASEはそうしたクラウド中心の企業情報システムに即した最適なセキュリティ対策になる。
2.ポリシー決定の基本
ポリシーとは、セキュリティ対策における各種の技術的な設定や保護方法の総称だ。SASEでは、社員それぞれのパソコンにウイルス対策ソフトを導入して固定的に検査するような従来型の方法ではなく、ネットワークを介して常に脅威に備えられる構造が不可欠だ。そのために、外的な要因をすべて脅威と捉える「ゼロトラスト」という考え方を基本にする必要がある。
3.センター側での可視性とログ取得
センター側とは、セキュリティや監視の管理者または組織を意味する。企業であれば、情報セキュリティ担当者や監視チームなどがそれにあたる。このセンター側が、クラウドサービスを利用している社員や端末の利用者を常時モニタリングして、適切かつ適正にアクセスしているか、不正なアクセスや端末のハッキングなどがないかを検知する。さらに、発見した異常を迅速に把握できるようにセキュリティ状態を可視化するソリューションや、利用状況の監査証跡ログの記録を行う取り組みも求められる。
4.モバイル向けネットワークセキュリティ
クラウドサービスの利用はインターネット回線へのアクセスが基本となり、接続する端末もパソコンだけではなく、タブレットやスマートフォン、各種のIoTデバイスにも広がる。そのため、保護する対象はパソコンだけではなく、インターネットに接続するあらゆるモバイル端末を対象とすべきだ。
5.遅延に敏感なセキュリティコンピュータ
遅延とはネットワークの通信速度の遅れを意味するが、SASEにおいても、利用者の生産性が犠牲にされないことを重視すべきだ。ネットワークのパフォーマンスと遅延を改善する検討が求められる。
5つのポイントを押さえたセキュリティ対策は、下図のようなイメージになる。初回で説明したように、「サシ―」がOffice 365やSalesforce、Boxなどのクラウドベースのサービスと利用者を仲介し、ネットワークのセキュリティを確保する。
次回はSASEによる具体的なメリットを紹介する。
(文=NetMotion Software, Inc. 日本カントリーマネジャー 高松篤史)
高松篤史:米国Citrix Systemsの統括部長として、黎明期より16年間にわたり日本市場での新規パートナーの開拓および製造流通業界のハイタッチセールスの統括を担当。長年にわたりネットワークセキュリティおよびVDI(仮想デスクトップ)製品の普及拡大に貢献。その後、カナダBlueCat Networksの日本地区担当のディレクターとして日本法人の立ち上げに従事し、2017年2月より現職。
連載・次世代型セキュリティー「SASE」のすべて(毎週木曜日更新)
#01 テレワーク時代のセキュリティー「SASE」が求められる理由