SASEについて調べてみた

この記事はAll About Group（株式会社オールアバウト） Advent Calendar 2022 12日目の記事です。

概要

社内でNetskopeって使われているけど、社内のネットワークつなぐ時ってVPNだけじゃないの？
そもそも、Netskopeって何？って、知らないことばかりなので調べました。
どうやらSASEと言うものが関わっているみたいです。

まずVPNについて

VPNとは

• Virtual Private Networkの略
• 仮想的な専用のネットワーク回線を構築し、ネットワークのトンネルを作ります
• トンネルの入口で暗号化し、出口で復号化することで、データの盗聴や改竄を防ぎます
• これで、リモート環境から社内リソースへ安全にアクセスできます

VPNはなぜ使うのか

• 不正アクセスを防ぐために、社内リソースは閉鎖的になっています。基本的に、社外からはアクセス禁止です
• でも、リモートから社内リソースへアクセスしないと仕事ができないので、アクセスしたい
• そんな時に、社内リソースへアクセスさせるために必要です

社内の情報セキュリティを守るには

社内の情報セキュリティを守るには、外側から閉鎖的にするだけではなく、
内側から外側へ出るときや、利用しているSaaSのセキュリティ対策も必要

例えば、

• 閲覧できるサイトの制限
• 利用できるアプリケーションの制限
• アンチウィルス
• Saas(Google Drive)の制限・監視
• など

レガシー環境の情報セキュリティについて

レガシーな働き方

• サーバーは、オンプレミスが中心
• 仕事は、オフィスワークが中心

レガシーなセキュリティ対策

• VPN
  • アクセス元のネットワークを限定させる
• プロキシ経由
  • 閲覧できるサイトの制限
  • ウイルスチェック
  • など
• PC持ち込み禁止
  • PCは会社にあるものを利用する

レガシーのままで起こる課題

1. クラウドサービスの加速
   • オンプレミスではなく主役はクラウドになっている
   • 例えば、全社レベルでのGoogle Driveのファイルの制御ってどうやるの？
2. リモートワークの加速
   • ネットワークリソースを多く消費するようになった
   • 例えば、VPNは同じネットワークを経由させるので、過剰に利用するとパンクする課題がある
3. 個人端末の増加
   • 個人PCだけでなく、個人携帯からもアクセスも求められる
   • 例えば、利用できるアプリケーションの制限が難しい課題がある

→ そこで、これらの課題を解決するために、NetskopeとSASEがでてくる

Netskopeについて

Netskopeとは

• SASE(サッシー)ソリューションを提供しているサービスで、セキュリティプラットフォーム

SASEとは

• Secure Access Service Edgeの略で、サッシーと呼ぶ
• ガードナーさんが提唱した、ネットワークセキュリティモデル。複数の技術で構成されています
  • ZTNA: Zero Trust Network Access の略で、「ゼロトラスト」なセキュリティ思想で実装されている
  • CASB: Cloud Access Security Broker の略で、キャスビーと呼ぶ
  • SWG: Secure Web Gateway の略で、クラウド型のプロキシ
  • など

VPNとの関連性

• SASEの技術うち、 ZTNAがVPNの代替とされている

ゼロトラストとは

• ゼロ + トラストで、日本語で信頼ゼロで、何も信頼しないという「思想」のこと

信頼しない思想とは

• 元々VPNが、トンネルの外側は信頼しなくて、内側は信用するという考えで
• そうではなく、内側も疑うべきだし、アクセスの度に疑うべきで
• 本来セキュリティのあるべき姿である、全てを疑う「ゼロトラスト」にするべき。という思想
• 主に、ZTNAがそれを担当していて、端末ごとに、かつ、アクセスするたびに認証するとう実装がされている

SASEが提供するもの

• ネットワークサービスと、セキュリティサービスを、一つのクラウドサービスで提供します
• でも、セキュリティサービスだけをSASEではなく、SSE(Secure Service Edge)と呼ばれたりする
• 弊社の場合は、ネットワーク機能は不要で、SSEの導入と考えられる

→ 以下、SASEではなく、SSEと呼びます

SSEの技術

SSEの主要技術の３つだけ紹介

ZTNA

• 思想が中心なので、ベンダーによって使われている技術は異なる
• 役割は
  • VPNの代替
  • ネットワークを使う前に、ユーザーとデバイスが信頼できるか検証する
  • VPNと同じ様に、入口で暗号化、出口で復号化をして、通信を保護する
• 技術的に
  • VPNと比較して、クラウドサービスである
  • VPNと比較して、ゼロトラスト思想のもと、通信するたびに認証をする
  • ZTNAはソフトウェア使って認証するのでアプリケーション層、VPNはIPを指定して接続するところを見るとネットワーク層

CASB

• 役割は
  • SASEではクラウドサービスのセキュリティ担当で、SaaSの監視などをする
  • 例えば、Google Driveのデータ露出や、ファイルの過剰共有の監査などのために使う
• 技術的にどう監視するか
  • クラウドサービスのAPIを利用
  • プロキシも利用したりする

SWG

• 役割は
  • プロキシの代替となりうるもの
  • Webサイトをフィルタ
  • アプリケーションの制御
  • アンチウイルス
• 技術的に
  • SWGは、プロキシサーバーと比較して、クラウド型のプロキシである

SSEを導入する理由

メリット

• 上記で述べた、レガシーのままで起こる課題が解決できる
  • CASB: クラウドサービスに対応
  • ZTNA: VPNのネットワークのパンクしなくなる
  • 全て1つのクラウドサービス: 管理が容易に
  • など

期待する未来図

• Slackやビデオチャットが安定する
• スマホからでもWebサイトやクラウドサービスへのアクセスに対応する
• 管理が用意で、運用コストが下がる

→ 快適で、セキュアで、運用が容易なネットワーク環境になる

まとめ

• セキュリティにはすべてを疑うという、ゼロトラストの思想がある
• SaaSの利用が増えている中、情報セキュリティの事を考えると、SASEにしたほうが良い
• SASEには３つの主要な技術がある
  • ZTNA (ゼロトラストネットワークアクセス): VPNの代替
  • CASB (キャスビー): SaaSのセキュリティに対応
  • SWG (エスダブルジー): プロキシの代替
  • ＋ 全て１つのクラウドで提供: 内側は複雑だが、外側(使う側)はわかりやすい

以上、読んでいただき、ありがとうございます。