ゼロトラストとSASEの違いとは？ 主な機能や導入のメリット・注意点を解説

多くのクラウドサービスが普及し、業務でクラウドサービスを利用することが多くなってきました。それに伴い、自社の重要な機密データもクラウドに保存されるようになり、リモートワークの普及によって社外からクラウドに直接アクセスすることも増えています。このような働き方の変化を受けて、企業のネットワークセキュリティの在り方も変革が必要です。

そこで本記事では、クラウド時代にマッチしたネットワークセキュリティとして注目されているSASEの概要や導入のメリット、注意点を解説します。

1.　ゼロトラストとSASEはどう違うの？

次世代のネットワークセキュリティとして注目を集めている概念に「ゼロトラスト」と「SASE」があります。まずは、それぞれの概要と違いを解説します。

ゼロトラストとは

ゼロトラストは、正式には「Zero Trust Network Access」といいます。その言葉のとおり、「ネットワークにおいて信用できるアクセスは1つもない」という前提に立ったセキュリティ対策の考え方がゼロトラストです。

従来のセキュリティ対策は、「社内ネットワークは安全、社外ネットワーク(インターネット)は危険」という前提で、ネットワークの境界にファイアウォールを設けるといった境界防御モデルのセキュリティが基本でした。

しかし近年では、企業の重要なデータをクラウド上（社外）に置くことが増え、テレワークで社外からクラウドに直接アクセスするといった、社内ネットワークを経由しない通信が増えています。また、BYODの普及によって信頼性が低い端末での社内アクセスも増えています。

このような変化から、企業のネットワークセキュリティは従来の境界防御モデルでは対応しきれなくなってきました。そこで、どこからアクセスされたかに関わらず、認証を受けた端末とユーザーだけが許可されたデータやアプリケーションにアクセスできるという、ゼロトラストの考え方をベースとしたセキュリティ対策が注目されています。

SASEとは

SASEは、「Secure Access Service Edge」の略で、サッシーやサシーと読みます。

SASEとは、さまざまな拠点にいるユーザーがクラウド上のアプリやデータに安全にアクセスすることを目的に、デバイス・人・ネットワーク・クラウドそれぞれのセキュリティ対策を統合し、オールインワンのセキュリティを実現するクラウドサービスです。複数のセキュリティ機能を1つのクラウドサービスにまとめることで、包括的なセキュリティシステムを構築しようというのがSASEの考え方です。

ゼロトラストとSASEの違い

SASEは複数のセキュリティ機能を組み合わせたサービスであり、ゼロトラストはその機能の中の一つです。ゼロトラストを簡単にまとめると、すべてのアクセスを認証の対象にすることで、アクセス元の人やデバイスの信頼性を保証するという考え方です。

SASEは、ゼロトラストによる人やデバイスの信頼性保証も含めつつ、さらにクラウドやネットワークのセキュリティ対策の機能も包括したサービスになります。

2.　SASEが包含する主な機能

次のようなセキュリティ機能が、SASEの柱となります。

CASB

CASBは「Cloud Access Security Broker」の略で、キャスビーと読みます。CASBは大きく2つの機能を持ちます。

• クラウドサービスのアクセスログ記録により、クラウドの利用状況を可視化する機能
• 危険なクラウドサービスやユーザーの不審な振る舞い（シャドーITの利用など）を検出し、ブロックする制御機能

ZTNA

ZTNAは「Zero Trust Network Access」の略であり、ゼロトラストのことです。ネットワークにアクセスするすべての人やデバイスの信頼性を検証します。

SD-WAN

SD-WANは「Software-defined Wide Area Network」の略で、ネットワーク構成やトラフィックをソフトウェアで制御できる仮想ネットワーク技術です。同じ仮想ネットワークであるVPNとの違いは、仮想ネットワークを通してクラウドにもアクセスできる点です。

FWaaS

FWaaSは「Firewall as a Service」の略で、仮想的なファイアウォールを提供するクラウドサービスです。

SWG

SWGは「Secure Web Gateway」の略で、クラウドで提供されるプロキシサービスです。SWGを使うことで、URLフィルタやアンチウィルスなどの機能で全インターネット通信を保護し、ユーザー属性に応じた接続制御も可能になります。

3.　SASEを導入する4つのメリット

SASEを導入するメリットを4つ紹介します。

セキュリティ強化につながる

前述したとおり、SASEはデバイス・ネットワーク・クラウドのセキュリティ対策を包括したサービスです。クラウドサービスの利用やテレワークが普及している現代にマッチしたセキュリティ対策が行え、セキュリティ強化につながります。

生産性が向上する

セキュリティの観点からクラウドアクセスの利用に制限を設けている企業も少なくありません。SASEを導入してネットワークセキュリティ対策を施すことでクラウド利用の制限を取り払い、さまざまなクラウドサービスを活用できるようになれば、生産性の向上を期待できます。

また、SASEを構成する一つであるSD-WANは、柔軟な接続制御やトラフィック制御が可能で、プロキシサーバーの負荷を軽減させて通信速度の低下を防ぐことが可能です。これによりクラウドサービス利用時の応答速度が速くなり、作業の効率化にもつながります。

リモートワーク環境が整備できる

セキュリティが心配でリモートワークの推進に踏み切れていない企業は、SASEを導入することでリモートワークのネットワークセキュリティを確保でき、安心してリモートワークの推進に取り組めるようになります。

またSASEで端末のトラフィックを可視化することで、社員がリモートでどう働いているかを可視化できるため、上長は部下の業務状況を管理しやすくなります。

コスト削減につながる可能性がある

SASEを導入することで従来使っていたセキュリティ機器が不要になる場合、コストを削減できかもしれません。

あらゆるセキュリティ対策をSASEで一括して行うことで、クラウド接続とオンプレミスのセキュリティポリシーを1本化できます。複雑なセキュリティ管理が不要になり、管理コストを削減できる可能性もあります。

4.　SASEを導入する際の2つの注意点

SASEの導入には注意点もあります。

導入までに時間がかかる可能性がある

SASEの導入で重要なことは、導入前に現状のセキュリティ課題を分析し、将来どういったセキュリティを構成していくかをしっかり検討することです。このような課題分析や検討には時間がかかる可能性が高いです。

また、全社のセキュリティシステムをSASEに置き換える移行計画を立てたり、導入後の運用体制を準備したりといったことも、事前に行う必要があります。そのため、SASEを実際に導入するまでには、時間がかかる可能性が高いでしょう。

ネットワーク障害により業務が止まってしまう可能性がある

SASEはクラウドサービスです。そのため、ネットワークに障害が発生するとクラウドにアクセスできなくなり、セキュリティサービスが利用できず、業務が止まってしまう可能性があります。

5.　まとめ

今回は、包括的なネットワークセキュリティを構築できるSASEを解説してきました。前述したとおり、SASEの導入においては、自社の現在のセキュリティ課題を分析し、どのようなセキュリティシステムを構築していくのかをしっかり検討することが重要です。自社のニーズにマッチしたSASE製品を見定めて、導入していくとよいでしょう。

自社にセキュリティのスキルがない場合は、課題の分析をITコンサルタントに相談するのがおすすめです。ビジネスマッチングサイト『リカイゼン』なら、経験豊富なITコンサルタントを無料で探せますので、ぜひ活用してみてください。