Security Service Edge （SSE）とは？

SASEとSSEはどう違うの？

ガートナーが2019年に発表した「Secure Access Service Edge（SASE）」は、ネットワーク技術とセキュリティ技術を単一のクラウド提供型プラットフォームに統合し、安全かつ迅速なクラウドトランスフォーメーションを実現するものです。このSASEの次の進化として、ガートナーは、高度に収束したワイドエリアネットワーク（WAN）エッジインフラストラクチャのプラットフォームと、高度に収束したセキュリティプラットフォーム（セキュリティサービスエッジ（SSE）として知られる）を一緒にする2つのベンダーのアプローチを導入しています。

SSE（Security Service Edge）は、SSEのセキュリティコンポーネントで、SWG（Secure Web Gateway）、CASB（Cloud Access Security Broker）、ZTNA（Zero Trust Network Access）など、すべてのセキュリティサービスを統合し、Web、クラウドサービス、プライベートアプリケーションへのアクセスを安全にする。SASEフレームワークのネットワークコンポーネントであるWAN Edge Infrastructureは、ネットワークアーキテクチャを変革することでネットワーク接続要素に焦点を当て、より効率的なダイレクト・トゥ・クラウド接続を可能にします。

SASEのフレームワークでは、ネットワークとセキュリティの両方が統一された方法で消費され、クラウドサービスとして提供されます。SSEは、WANエッジインフラと融合し、完全なSASEプラットフォームを実現します。SSEのセキュリティサービスには以下のものがあります：

1. クラウドアクセスセキュリティブローカー(CASB)
   CASBは、企業が機密資産をクラウドに移行する際に、ユーザーとクラウドサービスプロバイダーの仲介役として、データの可視化、セキュリティ、コンプライアンスのギャップに対処し、既存のオンプレミスインフラからセキュリティポリシーを拡張し、クラウド固有のコンテンツに対して新しいポリシーを作成することを支援します。SSEモデルに統合されたCASBは、Software-as-a-Service（SaaS）のリスクを自動的に発見・制御し、SaaSアプリケーションのデータ、マルウェア、ポリシー違反をスキャンするAPIベースのセキュリティプロセスとして機能する一方、ユーザーとエンティティの行動分析（UEBA）と人工知能（AI）機能を活用してリアルタイムに脅威を防止します。
2. セキュアWebゲートウェイ（SWG）
   SWGは、企業のネットワークに不正なトラフィックが侵入するのを防ぐチェックポイントとして機能するサイバーバリアです。SWGは、URLフィルタリング、ウェブの可視化、悪意のあるコンテンツの検査、ウェブアクセス制御などの保護機能を実行しながら、ユーザーとウェブサイトを接続することにより、ユーザーが承認された安全なウェブサイトにアクセスできるようにし、ウェブベースの脅威からユーザーを保護します。
3. ゼロトラストネットワークアクセス (ZTNA)
   ZTNAは、クラウドや企業のデータセンターでホストされているプライベートアプリケーションに、遠隔地やデバイスから安全にアクセスするための、きめ細かく、適応的で、状況を考慮したポリシーを適用します。ZTNAは、SASEの主要な実現要素として機能し、セキュリティ境界を動的でポリシーベースのクラウド配信エッジに変換し、デジタル変革のアクセス要件をサポートします。
4. データ損失防止 (DLP)
   DLPは、ファイルなどのオブジェクトに含まれる情報コンテンツを、保管中、使用中、またはネットワーク上で移動中に、ポリシーに基づいて分類することができます。DLPツールは、これらのポリシーをリアルタイムで適用し、機密性の高いデータ要素に必要な保護を拡大し、組織のポリシーに従って、特に組織外からのこの情報へのアクセスやフローを制限するために使用されます。
5. リモートブラウザアイソレーション（RBI）
   RBIは、Web脅威対策の強力な形態で、Webブラウジング活動を隔離されたクラウド環境内に閉じ込めるものです。RBIは、ウェブサイト上に隠されたマルウェアや悪意のあるコードからユーザーを保護し、悪意のあるコードがエンドユーザーのデバイスに触れる機会をなくします。
6. ファイアウォール アズ ア サービス(FWaaS)
   FWaaSは、インターネット上のデータとアプリケーションを保護するクラウドベースのファイアウォール・ソリューションです。SSEは、FWaaSを利用して、オンサイトのデータセンター、クラウドインフラ、支店、モバイルユーザーなど、さまざまなソースからのトラフィックを集約しています。また、FWaaSは、ネットワークの完全な可視化と制御を実現しながら、すべての拠点とユーザーに対して一貫したアプリケーションとセキュリティポリシーの実施を実現します。

SASEをどのように導入し、どのように管理するのか？

効果的なSASEソリューションを構築するために、企業が取るべき方向は2つあります：

1. ワンベンダーアプローチ。WANエッジインフラストラクチャとSSEソリューションを組み合わせた単一ベンダーの製品を評価し、採用する。このアプローチは、運用を簡素化することで組織のSASE要件を満たすことができますが、SSEベンダーだけが提供できる高度なセキュリティ機能をあきらめることになるかもしれません。長期的には、高度なセキュリティ機能の不足を補うために追加のセキュリティベンダーソリューションを取得する必要があるため、結果的にコストが高くなる可能性があります。
2. 2つのベンダーのアプローチCASB、SWG、ZTNA、RBI、FWaaSの各コンポーネントを統合した、ベストオブブリードのWANエッジインフラソリューションとSSEセキュリティソリューションを提供する2ベンダーのソリューションを評価し、採用します。この2ベンダーのアプローチにより、システムの導入、管理、保守を長期的に簡素化、効率化することができます。

SSEのメリットは何ですか？

リモートワークや顧客基盤の需要が高まる中、企業はセキュリティとユーザーエクスペリエンスを向上させながら、セキュリティ戦略の複雑さを軽減するという課題に取り組んできました。セキュリティ・サービス・エッジ（SSE）統合技術は、企業全体のクラウドサービスのセキュリティを向上させながら、エンドポイント保護の複雑さを軽減する効果があることが証明されています。

完全なSSE戦略は、従業員や関係者（オンサイトとリモート）に利益をもたらす包括的なセキュリティ技術のセットを企業に提供します：

• 世界中のどこからでもアプリケーション、ツール、データ、リソースに直接、安全にインターネットアクセスできる。同時に、不正アクセス、データ、リスク、脅威に対する処理トラフィックを改善し、データセンターを経由してトラフィックを戻す必要がない。
• あらゆるユーザー、あらゆるデバイス、あらゆる場所からアプリケーションリソースにアクセスする際に、Web、クラウド、プライベートアプリケーションへの接続をより速く、安全に、効率的に行うことができます。
• ネットワークにアクセスするユーザーの行動を監視・追跡する。
• クラウド内やあらゆるウェブデスティネーションからの脅威防御、クラウドネイティブな攻撃と高度なマルウェアの両方を検出します。
• インターネットを介したデータ保護、クラウド内のデータ保護、クラウドからクラウドへの移行
• ユーザーID、コンテキスト、最小限の特権アクセスに基づく、データおよびアプリケーションへの安全なゼロトラストアクセスを可能にします。

SSEはどのような課題に取り組んでいるのでしょうか？

SSEは、リモートワーク、デジタルビジネスの実現、クラウドトランスフォーメーションにおける基本的なセキュリティ課題に対応しています。SaaS、PaaS、IaaSの採用が進むにつれ、データセンターの外にあるデータが増え、ユーザーはますますリモートで仕事をするようになり、VPNは遅く、しばしば容易に悪用されるようになりました。これらすべてをレガシーネットワークアーキテクチャを使ってセキュアにするのは困難です。

SSEは、企業が主要なユースケースに対応できるよう支援します：

1. セキュリティ制御の管理・運用を簡素化する。
   組織は、クラウドプロバイダーとオンプレミスのインフラ間で異なる、異なるセキュリティ制御のパッチワークでクラウドとオンプレミスを管理する必要があります。SSEは、コストと複雑さを軽減し、オンプレミス、クラウド、リモートワーク環境でのポリシーの導入と展開を簡素化することができます。
2. プライベートアプリにアクセスするリモートワーカーを安全に保護するためにVPNを置き換える。
   企業は、非常に脆弱な環境でプライベートアプリケーションにアクセスするリモートワーカーの急増から保護するため、より安全なソリューションを導入する必要があります。VPNは、一度認証されると企業ネットワーク全体への無制限の信頼ベースのアクセスを暗黙のうちに許可するため、固有のセキュリティリスクを抱えています。SSEのZTNA機能は、きめ細かなリソースアクセスを提供し、どのユーザーに対しても、どこでも適切なレベルのアクセスを許可するのに役立ちます。
3. 高度なマルウェアやランサムウェアを防いで、Webユーザーを守る。
   企業には、高度なマルウェアやその他の脅威の検出と軽減が必要です。最近の攻撃の多くは、ソーシャルエンジニアリングのような手法を用いて、クラウドプロバイダーの機能を悪用し、正規の認証情報を使ってユーザーの行動を模倣します。SSEのSWG機能は、ウェブトラフィックを監視し、不正なトラフィックを防止する役割を担うインラインサイバーバリアを提供することで支援します。
4. SaaSアプリケーションの可視化と制御を提供します。
   企業は、クラウドにアクセスし保存されたデータの可視性と制御を必要とし、同時に、クラウドを保護し、単一のクラウドネイティブな実施ポイントからクラウド内の脅威を阻止する必要があります。SSEのCASB機能は、きめ細かいポリシーを適用して、認可されたクラウドサービスおよび認可されていないクラウドサービスへのアクセスを監視および規制することにより、マルチモードをサポートします。
5. あらゆる場所にある機密データを保護する
   組織は、安全な方法で使用、共有、アクセスするために、境界のセキュリティの範囲外に存在する、または完全に移動するデータの保護を必要としています。SSEのDLP機能は、データ分類を一度設定すれば、ウェブ、クラウド、エンドポイントにわたってポリシーに適用することで、データ保護のための集中的かつ統一的なアプローチを提供します。