SSE（Security Service Edge）入門：SASEとの違いをひも解く

リモートワークへの移行で変化したセキュリティ

新型コロナウイルスのパンデミックへの対応により、ほとんどの企業がリモートワークへ移行し、その多くが3年目を迎える今も継続している。リモートワークへの移行は突然だったが、特に中～大企業ではある程度の準備はできていた。

政府が東京オリンピック開催時の混雑緩和を目的に、早期から「テレワーク・デイズ」を設定して企業に参加を求めていたし、「働き方改革」の推進においてもリモートワークは柔軟な働き方の一つとして推奨されていたためだ。

全社的なリモートワーク移行を想定していた企業は少なかったため、VPN機器や帯域の不足や、リモートワーク用のPCが足りなくなるといった事態は発生したものの、比較的スムーズに移行できた印象がある。その一方で、セキュリティ面では大きなリスクを抱えることになってしまった。

オフィスワークでは基本的にPCは企業ネットワーク内にあり、多層防御により守られていた。社外からのアクセスも限定的だったため、VPNを介して社内システムにアクセスし、そこからインターネットに接続することでセキュリティが確保されていた。インターネットとの境界はゲートウェイにあった。

しかし、全社規模でのリモートワークではPCが企業の多層防御の外に出てしまい、PCを守るものはセキュリティ対策ソフトが中心になってしまった。サイバー攻撃者はこの状況に敏感に反応し、フィッシングメールやマルウェアメール、あるいはVPNの脆弱性を狙った攻撃を仕掛けるようになった。企業はリモートワークにおけるセキュリティを見直す必要に迫られた。

ゼロトラストを実現する「SASE」とは

そこで注目されたのがゼロトラストという考え方だ。ゼロトラストは、2010年にForrester Research社のジョン・キンダーバーグ（John Kindervag）氏によって提唱されたもので、文字通りに「何も信頼できない」ことを前提とした考え方である。

ゼロトラストについてはさまざまな解釈やアーキテクチャが存在しているが、前述した脆弱性などの攻撃表面を作らずにユーザーとアプリケーションを安全に接続させるアーキテクチャがSDP（またはZTNA）であり、ゼロトラストを実現するアーキテクチャとしてNISTのホワイトペーパー内にも引用されている。

具体的には、以下の3つが満たされているアーキテクチャが本来のゼロトラストモデルであり、単一の製品を購入して実現するものではなく、従来型のセキュリティモデルから一足飛びで実現できるものでもないことに注意が必要だ。

• アクセスしてきたユーザーが正規のユーザーであり、利用しているデバイスが信頼に足るレベルである確認をセッション単位で行うこと
• ユーザーに対して最小権限に基づくアクセス制御が設定されていること
• アプリケーションを外部からアクセスができないよう、ネットワークから隔離すること（マイクロセグメンテーション）

脅威が多様化、巧妙化しているため、これだけのことを確認しないと社内ネットワークに入り込まれてしまう。そのため、社内ネットワークに依存しない形での新しいレベルのアクセス制御（ゼロトラスト）が欠かせない一方で、あらゆる場所からの境界線セキュリティもインターネットやSaaSへのデータ活用の観点で引き続きキャパシティが求められる。

こうしたニーズに基づいた新しいセキュリティの考え方が「SASE（Secure Access Service Edgeの略）」である。

これまでのセキュリティ対策は、企業ネットワークを中心に境界型の防御を行っていた。SASEではクラウド型のエッジを境界とし、かつ全体を俯瞰できるセキュリティ対策を行う。また、オンプレミス環境との「つなぎ」として、SD-WANやデータセンターの地理的な網羅性（クラウドとのPeeringなど）といったネットワーク要件も含まれている。ただし、SASEという製品やソリューションがあるわけではなく、複数の製品やソリューションを組み合わせて実現することになる。

SASEの定義としては、すべての機能はサービスとしてクラウドから提供されるべきであり、すべての機能を単一のダッシュボードから一元管理できることとしている。しかし、SASEの機能をすべて提供しているベンダーは現時点で存在していないため、実際には複数ベンダーのサービスを連携させて利用することとなる。

• SASEはネットワーク機能とセキュリティ機能により構成される

SASEの前段として提供された「SSE」

SASEのセキュリティ機能の詳細は次回に譲るが、ネットワーク機能には、先述の通り通信の最適化や効率化を実現するものとなっている。例えば、企業のネットワーク回線は専用線と複数のプロバイダー回線を使用しているケースが多いと思われるが、SASEにより回線を仮想化することができる。

これにより、セキュアな通信が必要な重要なデータの送受信には専用線を使用し、一般的な通信にはコストの低いプロバイダーの回線を使用するといったことが可能になる。また、現在は拠点の通信を一度本社のデータセンターに集約することが多いが、この方式では本社のネットワークに障害が発生すると、すべての拠点で通信ができなくなってしまうおそれがある。

SASEを利用することで、本社と拠点間の通信をスター型のようにつなぐことができ、障害に強くなる。さらに、クラウドサービスの利用などはネットワークを介さず、直接インターネットに接続することが可能になる。これはローカルブレイクアウトと呼ばれる方式だ。しかし、ネットワークの更改には時間も手間もコストもかかってしまう。

そこで最近注目されているのが「SSE」である。SSEはSecurity Service Edgeの略で、言わばSASEのセキュリティ機能のみを指すものであり、ガートナーの「クラウドセキュリティ・ハイプサイクル」に掲載されている。下図を見ると、SSEはSASEの手前に位置していることがわかる。

• 「クラウドセキュリティ・ハイプサイクル」　出典：Gartner「 Hype Cycle for Cloud Security, 2021」、 Tom Croll, Jay Heiser、2021年7月27日

SSEはSASEのセキュリティ機能のみを指すものであるため、、SSEを構成する要素はSASEのセキュリティ機能とほぼ変わらない。Web、クラウドサービス、およびプライベートアプリケーションへのアクセスを保護するもので、アクセス制御、脅威保護、データセキュリティ、セキュリティモニタリング、および使用制御の機能が含まれる。SASEと同様に、すべてクラウドサービスで提供され、複数のベンダーのサービスをAPIにより統合される。

SSEを導入することで、従業員であるユーザーはどこにいても必要なセキュリティを通じてインターネットやクラウドが利用でき、かつ業務アプリケーションがIaaSまたは自社データセンターにあったとしてもインターネットを通じて必要なアプリケーションにアクセスが可能となる。

従業員に対して新しい働き方を提供できる一方で、IT・経営者視点では、自社管理のリソース削減（固定回線、多層防御アプライアンス、サーバのハードウェアなど）できるだけでなく、安全にクラウドへアプリケーションを移行できることでクラウドのメリットを最大限ビジネスに享受できる。次回は、SSEのコンポーネントについて詳しく紹介する。