(この記事は約2000文字、6〜8分程度で読めます)
ここ数年で、私たちの働き方は根本的に変わりました。
オフィスのデスクに縛られず、自宅、カフェ、コワーキングスペースなど、あらゆる場所が「職場」となりました。
(現に、こちらの記事もカフェで作成しています)
同時に、私たちが利用するアプリケーションも、社内のデータセンターに置かれたサーバーから、Salesforce、Microsoft 365、SlackといったSaaS(クラウドサービス)へと急速に移行しています。
この変化は、ネットワークインフラとセキュリティの担当者にとって、「伝統的な防御モデルの限界」を突きつけることになりました。
従来のセキュリティは「境界型防御(Castle-and-Moat:城と堀)」モデルと呼ばれます。
これは、オフィスのネットワーク(城)をファイアウォール(UTMなど)という強固な城壁と堀で囲み、外部からの脅威を防ぐという考え方です。
社外のユーザーは、「VPN」という名の跳ね橋を使って、一度「城の中(社内ネットワーク)」に戻ってから、外部のインターネットやクラウドサービス(城の外)へアクセスしていました。
しかし、働くユーザーも、使うアプリも「城の外」が当たり前になった今、このモデルは非効率で危険です。
伝統的なネットワークが抱える「ヘアピン問題」
境界型防御モデルが現代において引き起こす最大の問題が「トラフィックのヘアピン問題(VPNバックホール)」です。
例えば、在宅勤務中のAさんが、Microsoft 365(クラウド上)にあるExcelファイルを開くとします。
従来のモデルでは、通信は以下のような非効率な経路をたどります。
- Aさんの自宅PCから、社内のデータセンターにあるVPNゲートウェイへ接続(①インバウンド通信)。
- 社内のファイアウォールでセキュリティチェックを受ける。
- 再びインターネットに出ていき、Microsoft 365のサーバーへアクセス(②アウトバウンド通信)。
この「わざわざ社内を経由する」通信経路は、まるでUターンするヘアピンカーブのようです。
これにより、企業のネットワーク帯域は圧迫され、ユーザーはWeb会議の遅延やSaaSの応答速度低下に悩まされます。
さらに、VPNに接続さえすれば社内ネットワークに広範なアクセス権を与えてしまう従来の方式は、セキュリティリスクも抱えていました。
解決策としてのSASE(サシー)とは?
この根本的な課題を解決するために、2019年に米ガートナー社が提唱したのが「SASE(Secure Access Service Edge)」という新しいアーキテクチャです。
SASE(サシー)は、単一の製品名ではありません。
これは、「ネットワーク機能」と「セキュリティ機能」を、単一のクラウドネイティブなサービスとして統合・提供するという設計思想(アーキテクチャ)です。
SASEの世界では、ユーザーやデバイスは、場所(オフィス、自宅、外出先)に関わらず、世界中に分散配置されたSASEのPoP(Point of Presence:接続拠点)に接続します。
PoPは「最寄りのセキュリティチェックポイント」のようなものです。
ユーザーは物理的に一番近いPoPに接続するだけで、そこで最適化されたネットワーク通信と高度なセキュリティチェックが同時に適用され、安全かつ最短距離で目的のクラウドサービスや社内リソースにアクセスできます。
SASEを構成する「2つの柱」:SD-WANとSSE
SASEは、大きく分けて2つの技術コンポーネントが融合して成り立っています。
1. ネットワーク機能の柱:「SD-WAN」
SD-WAN (Software-Defined WAN) は、SASEのネットワーク基盤、つまり「賢い道路網」の役割を担います。
従来の高価で硬直的なMPLS(専用線)に代わり、安価なインターネット回線、5G/LTEなどを仮想的に束ね、アプリケーションの種類(例:Web会議、ファイル転送など)に応じて最適な通信経路をソフトウェア(Software-Defined)で動的に選択します。
これにより、SaaSへのアクセスを本社経由(ヘアピン)させず、最寄りのPoPから直接インターネットに振り分ける(インターネットブレイクアウト)ことが可能になり、通信パフォーマンスが劇的に向上します。
2. セキュリティ機能の柱:「SSE (Secure Service Edge)」
SASEのもう一つの柱が、SSE (Secure Service Edge) です。
これは、SASEの「セキュリティ機能群」をパッケージ化したもので、「クラウド上で提供される総合セキュリティゲート」の役割を担います。
SSEは、主に以下の4つの機能で構成されます。
- ZTNA (Zero Trust Network Access)
- 「ゼロトラスト(決して信頼せず、常に検証する)」の原則に基づき、従来のVPNに取って代わるアクセス制御技術です。
VPNが「ネットワーク全体」へのアクセスを許可しがちだったのに対し、ZTNAはユーザーのIDやデバイスの健全性を厳密に検証し、「許可された特定のアプリケーション」へのアクセスのみを許可します。
- 「ゼロトラスト(決して信頼せず、常に検証する)」の原則に基づき、従来のVPNに取って代わるアクセス制御技術です。
- SWG (Secure Web Gateway)
- クラウドベースのプロキシとして機能します。
ユーザーが危険なWebサイトにアクセスするのをブロックしたり、マルウェアのダウンロードを防いだりします。
これは、Webフィルター機能をクラウドで提供するイメージです。
- クラウドベースのプロキシとして機能します。
- CASB (Cloud Access Security Broker)
- 企業が利用するSaaSアプリケーションを監視・制御します。
「どのSaaSに」「誰が」「どんなデータを」アップロード/ダウンロードしているかを可視化し、機密情報の漏洩を防ぎます。
- 企業が利用するSaaSアプリケーションを監視・制御します。
- FWaaS (Firewall as a Service)
- 従来のUTMやファイアウォールが持っていた機能をクラウドサービスとして提供します。
まとめ:SASEがもたらす「新しい当たり前」
SASEは、ネットワーク(SD-WAN)とセキュリティ(SSE)をクラウドで一元化することにより、企業インフラに革命をもたらします。
- ユーザーにとっては: どこにいても、遅延のない快適な通信と、強力なセキュリティが自動的に提供されます。
- 管理者にとっては: これまでベンダーごと、機器ごとにバラバラだったポリシー管理を、単一のコンソールで一元化でき、運用負荷が劇的に下がります。
SASEの導入は、単なる機器のリプレースではありません。
それは、「社内=安全、社外=危険」という古い「境界型」の概念を捨て去り、「ユーザーとデータを中心に守る」という「ゼロトラスト」の思想へ移行することを意味します。
ネットワークエンジニアも、物理的な機器の設定から、クラウド上のポリシーを設計・自動化するスキルへと、思考と技術のアップデートが求められています。
コメント