テレワークやクラウドの普及に伴い、セキュリティのあり方を見直す企業も多いのではないでしょうか。とはいえ、従来のセキュリティからどのような変更を施したらいいのか、わからない方も多いと思います。セキュリティに関連して注目されている言葉として「ゼロトラスト」と「SASE」というものがあります。ここでは、両者の概要と違いを解説し、SASEを導入するための要素、おすすめのサービスについて紹介します。
ゼロトラストの内容と重要性
まず、そもそもゼロトラストとは何なのでしょうか?ゼロトラストとは簡単にいえば、「デバイスやネットワーク等を信頼しない」という考え方に基づいたセキュリティモデルを指します。「信頼しない」ことから「ゼロトラスト」と呼ばれています。
ゼロトラストが注目されている理由として、「境界型」と呼ばれる従来のセキュリティモデルとの相違があります。「境界型」のモデルは、ネットワークの内外を分け、その境界をファイアウォール等のセキュリティ機器を用いて監視する、という仕組みをとっています。そのため、境界の内部にあるものは信頼できるものとして扱う、という特徴がありました。
しかし、クラウドやモバイル端末の普及に伴い、内外の境界が曖昧になったり、守るべき情報資産が境界の外部に存在したりと、「境界型」のセキュリティモデルの限界が指摘されつつあります。
そこで、ゼロトラストのセキュリティモデルは、境界の内部を信頼するのではなく、あらゆる通信やデバイスを「信頼できない」ものとみなし、厳格な認証や監視を行います。つまり、「デバイスが正規のデバイスか否か」「許可されていない相手からの通信ではないか」「マルウェアへの感染や脆弱性などは存在しないか」など、監視と認証によって安全な通信、デバイスだけを許可するのです。
ゼロトラストモデルの利点の一つが、安全性の向上です。アクセスの度に厳格な認証と監視を通ることになるため、セキュリティのレベルを大幅に引き上げることができます。通信だけではなく、デバイスの安全性も向上させることができるため、従来のセキュリティモデルよりも高いレベルでの安全性が確保されます。
ゼロトラストモデルのもう一つの利点が、社内外から安全にアクセス可能になる、ということです。ネットワークを内部と外部とに分け、内部のみを安全なものとみなす境界型のモデルでは、外部からのアクセスが制限されます。リモートワークの普及に伴い、社外から社内のネットワークに接続する必要性が生じてきたこともあり、境界の外部からの安全なアクセスを確保することは、重大な課題となっています。
現在、一般的に利用されているVPNを用いたアクセスの安全性が疑問視されている中で、利便性と安全性を兼ね備えたゼロトラストモデルが注目されているのです。
SASEの内容とは?ゼロトラストとの違い
それでは、SASEとは何なのでしょうか?SASEとは、「Secure Access Service Edge」の略称です。「サシー」「サッシー」等と読まれます。2019年に提唱された、新しいセキュリティのモデルです。SASEは、セキュリティとネットワークを一括してクラウドで提供、管理しようという考え方です。
従来のセキュリティやネットワークは、一つの課題を解決するために一つのシステムを用意する必要がありました。例えば、社内からインターネットを通じた通信と、社外からVPNを用いた通信とでは、別々のアーキテクチャを用意し、個々にセキュリティ対策を施す必要があったのです。こうした仕組みのままでは、セキュリティやネットワークの全体が複雑になり、利便性や管理コスト、通信不可に不満が残ります。
セキュリティやネットワークを一元的に管理する仕組みがあれば、それらの課題を解決することができます。こうした考え方を元に生まれたのが、SASEというモデルです。クラウド上でネットワークとセキュリティを一元的に提供することで、安全かつ利便性の高い接続を確立します。
それでは、SASEとゼロトラストの違いとは何なのでしょうか。わかりやすく言えば、ゼロトラストを基にし、その実現策として提唱されたのがSASEです。つまり、「ゼロトラストの考え方を実現するための具体的な仕組みとして、クラウドを用いてネットワークとセキュリティを一元的に管理する」というモデルがSASEです。
SASEに必要となる要素
それでは、SASEを実現するためにはどのような要素が必要となるのでしょうか。ここでは、SASEの実現に必要な各要素を紹介します。
インターネットゲートウェイのクラウド化
インターネットゲートウェイとは、「内部のネットワークから外部のインターネットへと接続するための玄関口」のようなものです。この玄関口が組織の内部に存在したままでは、完全なクラウド化を実現することはできません。そのほかのネットワーク機器と同様にクラウド上でインターネットゲートウェイを実現する必要があります。
セキュリティのクラウド化
クラウド上でセキュリティとネットワークと一元的に管理するSASEでは、もちろん、セキュリティ機能をクラウド上で実装する必要があります。デバイスやネットワーク機器へのセキュリティ対策だけでなく、クラウド上でのセキュリティポリシーの適用が求められます。
セキュアなリモートアクセス
そもそもSASEの目的の一つは、リモートワーク時などでの、社内アクセスの利便性・安全性を高めることにありました。そのため、リモートアクセスの安全性の確保は重大な課題となります。また、クラウド宛ての通信を高負荷にしないように配慮する必要もあります。
WAN導入と柔軟な制御
WANとは広域通信網のことで、離れた地点のネットワークをつないだ通信網のことを指します。例えば、東京本社のネットワークと大阪支社のネットワークのように、物理的に離れた拠点間をつないだ通信網がWANと呼ばれます。
WANを導入する際、従来はネットワークの大規模な設定変更が必要でした。物理的なネットワーク機器を導入し、設定するのは手間もかかり、導入後の制御にもコストがかかります。クラウド上でネットワークを管理するには、柔軟かつ低コストで制御できなければなりません。
Azureセキュリティでデータにセキュリティを実現
クラウドサービス上のセキュリティも、さまざまなものが出現しています。特にMicrosoftが提供しているクラウドサービス、Azureは高いセキュリティ性能・信頼性を備えています。国際的なセキュリティ基準を満たしており、パスワードや証明書の管理、サーバーの監視・保護機能などを備え、「Azureの導入だけで一通りのセキュリティ機能を有する」とまで言われることは少なくありません。
また、よりセキュリティレベルを高めるプランを用意されているため、組織のネットワークの利用状況や情報資産のリスク等に合わせた対策も可能となっています。
まとめ
ここまで、ゼロトラストとSASE概要、両者の違いについて解説してきました。ゼロトラストは従来のセキュリティモデルの問題点を解決する新しいモデルであり、リモートワークの普及に伴って注目されています。SASEはそんなゼロトラストモデルのセキュリティを実現する仕組みで、クラウド上でネットワークとセキュリティを一元的に管理します。SASEを実現するためにはいくつかの手順・コストが必要ですが、導入後のメリットも大きいため、導入を検討してみる価値は十分にあると言えるでしょう。その際には、高いセキュリティ機能を備えたAzureがおすすめです。