連載
» 2021年06月25日 05時00分 公開

「内から外へ」を背景に広がるSASE、次の一手とは?特集:ゼロトラスト/SASEが問うIT部門の役割(1)

企業システムを守る境界防御には限界がある。拠点オフィスやリモートユーザー、パートナーがさまざまな場所からクラウドにアクセスする使い方が一般化したからだ。そこで脚光を浴びているのがSASEやゼロトラストセキュリティだ。自社の従業員、さらには顧客がセキュアにアクセスできる仕組みを実現できるという。IT部門が現在のセキュリティを改善する際、まずはどこから着手して、何を目指せばよいのだろうか。ガートナーのアナリストに聞いた。

[高橋睦美,@IT]

この記事は会員限定です。会員登録(無料)すると全てご覧いただけます。

 新型コロナウイルス感染症(COVID-19)の対策として一気に広がったテレワークをはじめ、この数年で企業のITシステムの姿は激変した。クラウドサービスやモバイルデバイスの活用も相まって、オンプレミスのサーバを中心としたシステムから、新しいアーキテクチャへの模索が始まっている。

 これとともに「企業システムとインターネットの間でネットワークを多層で見張り、不正アクセスやウイルスの侵入を阻止する」という境界防御に限界が感じられるようになった。新たに「SASE」(Secure Access Service Edge)や「ゼロトラストセキュリティ」といった考え方が採用されるようになった理由だ。

 ニューノーマル、そしてその先を見据えてどのように向き合うべきなのかを、ガートナー ジャパンの礒田優一氏(リサーチ&アドバイザリ部門 インフラ&オペレーションズ セキュリティ担当バイス プレジデント兼アナリスト)に尋ねた。

インサイドアウトを背景に加速するSASEへの注目

 礒田氏によると、新しいセキュリティの在り方の模索が始まった背景には「インサイドアウト(内から外へ)」というキーワードがあるという。

ガートナー ジャパンの礒田優一氏

 「ワークプレース、つまり人の働く場所やサーバのワークロード、そして結果的にネットワークのトラフィックも、内から外へ向かうインサイドアウトという動きがこの数年で進行しています。COVID-19の流行がその傾向に拍車を掛けました。こうした動きの中で、従来の境界型のセキュリティモデルが適していないと分かったのです」(礒田氏)

 こうした背景から生まれてきた考え方がSASEだ。「必要なときに必要な場所で作成されるクラウドベースの統合セキュリティ機能として、Gartnerが提唱しているのがSASEです」(礒田氏)

 それも概念的な話ではなく、今すぐにでも部分的に導入可能な実用的なモデルとして提唱していることが特徴だ。具体的には、クラウドベースの「セキュアWebゲートウェイ」(SWG)や「ゼロトラストネットワークアクセス」(ZTNA)、「Cloud Access Security Broker」(CASB)といったコンポーネントがSASEに含まれている。

SASEの概念モデル セキュリティ境界がデータセンターのエッジに組み込まれるのではなく、あらゆる場所に動的に作成されることが特徴だ。図中央のSASEはポリシーベースの「セキュアアクセスサービスエッジ」として機能する(出典:ガートナー ジャパン)

ゼロトラストかSASEかではなく、「継続的な可視化と検証」を目指せ

 ただ、SASEは特にこの1〜2年、ゼロトラストセキュリティとともに一種のはやり言葉、バズワードのようになっており、ベンダーの宣伝文句として使われることも少なくない。これに対し礒田氏は「本来Gartnerが提唱しているアーキテクチャとしてのSASEは、もっと広い範囲に適用できるものです」と指摘した。

 よくSASEと並んで語られるゼロトラストセキュリティについては、「この2つは決して対立するコンセプトとは考えていません。背景も共通しています」(礒田氏)という。

 そもそも「安易に信頼(トラスト)してはいけない」というゼロトラストの考え方自体は、ゼロトラストという言葉が生まれる前から、セキュリティの世界では重視されてきたものであって、決して目新しいことではないと指摘した。

 「真のイシューはインサイドアウトが進行している世の中の実情を踏まえた上で、『安易にトラストしてはいけない』ということ、より具体的には、継続的な可視化と検証を実施することにあります」(礒田氏)

 可視化と検証の対象となる要素は2つある。「アイデンティティー」と「コンテキスト」だ。

 アイデンティティーとは「誰が」や「どんなものが」を指し、コンテキストは前後の状況を指す。礒田氏は「誰があるいは何が、いつ、どのようにアクセスしているか、あるいはアクセスすべきなのかを動的にコントロールし、しかもそれを継続的に可視化し、検証していくことがSASEであり、ゼロトラストです」と説明した。

 具体的な実装例をイメージしてみると、例えば請負業者のAさんの場合はアクセス先を制限する一方、営業のBさんならば営業システムをはじめ、広範なアプリケーションへのアクセスを許可する。工場に設置された機器であれば、IoT向けサービスを構築している「Amazon Web Services」(AWS)や「Microsoft Azure」といったクラウドへのアクセスのみを許可するといった具合に、アイデンティティーに基づいて制御する。同時に、間に挟まるSASEで常に必要なネットワーク機能やセキュリティ機能を提供していく、という形だ。

 「このようにアイデンティティーとコンテキストに基づいた動的なアクセスコントロールを、一貫した形で一元的なセキュリティポリシーの下で適用するのがSASEのアーキテクチャとなります」(礒田氏)

 最初のアクセス時に1回だけ確認して十分とするのではなく、「継続的」に実行することもポイントだ。

 Gartnerが提案する「CARTA」(Continuous Adaptive Risk and Trust Assessment)というセキュリティ手法には「Continuous」(継続的)という単語が含まれている。「GartnerはゼロトラストをCARTAの第一歩、と捉えています」と礒田氏は説明した。

顧客とのつながりを意識した「デジタルビジネス」におけるSASEを視野に

 このようにSASEやゼロトラストといっても、いまだかつて存在しなかった全く新しいアプローチではなく、過去のセキュリティの知見を下敷きにした、古くて新しいコンセプトと捉える方がよさそうだ。ただ、礒田氏によるとSASEは、もっと先を見据えた議論を含んでいるという。

Copyright © ITmedia, Inc. All Rights Reserved.

RSSについて

アイティメディアIDについて

メールマガジン登録

@ITのメールマガジンは、 もちろん、すべて無料です。ぜひメールマガジンをご購読ください。