/ セキュリティ サービス エッジ(SSE)とは
セキュリティ サービス エッジ(SSE)とは
Gartnerはセキュリティ サービス エッジ(SSE)を専用のクラウド プラットフォームから提供されるネットワーク セキュリティ サービスの集合体と定義しています。SSEは、セキュリティ サービスに特化したアーキテクチャーを備えたセキュア アクセス サービス エッジ(SASE)フレームワークのサブセットと捉えることができます。SSEのコア サービスには、セキュアWebゲートウェイ(SWG)、ゼロトラスト ネットワーク アクセス(ZTNA)、クラウド アクセス セキュリティ ブローカー(CASB)、Firewall as a Service (FWaaS)などがあります。
SSEが重要な理由
業界のトレンドとなりつつあるSSEは、リモート ワーク、クラウド、セキュア エッジ コンピューティング、デジタル トランスフォーメーションの根本的な課題を解決します。多くの組織がソフトウェアやインフラをサービスとして提供するソリューション(SaaS、IaaS)やその他のクラウド アプリを採用するに従い、データはオンプレミスのデータ センターの外側に分散し始めています。そして、あらゆる場所からあらゆる方法でクラウド アプリやデータに接続するモバイル ユーザーやリモート ユーザーが増加しています。
こうしたクラウド アプリやモバイル ユーザーは従来のネットワーク セキュリティ アプローチでは簡単には保護できません。その理由は次のとおりです。
- データ センターに備えられた従来の技術ではユーザーとクラウド アプリ間の接続を追跡できない
- 検査目的でユーザーのトラフィックを従来のVPN経由でデータ センターに中継(「ヘアピン」)すると、すべての通信の速度が低下する
- 管理とハードウェアのメンテナンスにより、従来のデータ センターのアプローチのコストが増大する
- VPNはセキュリティ パッチが十分適用されないため、簡単に悪用されてしまう
これに加えて、現代のデータ センターのセキュリティ スタックが複雑で、統合が困難なポイント製品の集合体になってしまったことが問題をより深刻化させています。この複雑性が本質的に異なる種類のセキュリティ ソリューション間にギャップを残し、高度な脅威とランサムウェア攻撃のリスクをさらに増大させています。
SSEのメリット
- より強力で一貫性のあるクラウドベースのセキュリティ。本社、支社、リモート ユーザー、モバイル ユーザー全体に保護を拡張できます。
- ネットワークおよびセキュリティのパフォーマンス最適化およびレイテンシーの抑制。ポリシーの適用のために中央のデータ センターにトラフィックをヘアピンすることはありません。
- 組織のニーズの変化に適応できるスケーラビリティー。新しいクラウド サービスの導入、従業員の増加や移動などに合わせて拡張できます。
- セキュリティおよびネットワーク管理の合理化。複数の重要なセキュリティ サービスをクラウド型の一元的なプラットフォームから利用できます。
- コストの予測可能性の向上と運用オーバーヘッドの抑制。オンプレミス ハードウェアの導入の必要性を最小限に抑えられます。
SASEとSSEの違い
SASEは、ネットワーク サービスとセキュリティ サービスを一体化させたクラウド提供型のアプローチです。SASEソリューションが提供するネットワーク機能とセキュリティ機能は、コストと複雑性を軽減しながら、ユーザーとクラウド アプリ間のエクスペリエンスを向上させることに焦点を当てています。
SASEプラットフォームは2つの部分から見ることができます。SSEの要素はSWG、ZTNA、CASB、FWaaSなどのセキュリティ サービスの統一を重視するのに対し、WANエッジの要素はソフトウェア定義型広域ネットワーク(SD-WAN)、WAN最適化、サービス品質(QoS)、クラウド アプリへのルーティングを改善するその他の方法などを含むネットワーク サービスの統一を重視します。
SSEのコア機能
SSEには、以下の4つのコア サービスが不可欠です。
- セキュアWebゲートウェイ(SWG):安全でないインターネット トラフィックが組織の内部ネットワークに侵入するのを防ぐセキュリティ ソリューション
- ゼロトラスト ネットワーク アクセス(ZTNA):暗黙の信頼の排除し、リモート ユーザーに内部アプリへの安全なアクセスを提供する適応型の信頼モデル
- クラウド アクセス セキュリティ ブローカー(CASB):クラウド アプリケーションのユーザーとクラウド サービスの間に置かれたデータ保護と脅威対策の適用ポイント
- Firewall as a Service (FWaaS):クラウドから高度なレイヤー7/次世代ファイアウォール機能を提供するネットワーク セキュリティ テクノロジー
出典:CXO REvolutionaries、「Security Service Edge (SSE) reflects a changing market: what you need to know」
SSEが従来のネットワーク セキュリティより優れている理由
クラウド中心の統合プラットフォームから提供されるSSEは、従来のネットワーク セキュリティのさまざまな課題を解決します。SSEには以下の4つのメリットがあります。
1. より効果的なリスク低減
SSEは、ネットワークに縛られることなくサイバーセキュリティを提供します。セキュリティはクラウド プラットフォームから提供され、場所の制限なくユーザーとアプリ間の接続を追跡します。また、すべてのセキュリティ サービスが一元的なアプローチで提供されるため、リスクが軽減され、ポイント機能の製品に多く見られるギャップは存在しません。
SSEはアクセスするチャネルや場所に関係なく、ユーザーとデータの可視性を改善させるほか、手動によるIT管理に見られるタイムラグを発生させることなく、クラウド全体にセキュリティ更新プログラムを自動適用します。
2. ゼロトラスト アクセス
SSEプラットフォームはSASEとともに、ユーザーからクラウドまたはプライベート アプリへの最小権限アクセスを可能にします。アクセスはアイデンティティーとポリシーに基づいて付与され、ユーザー、デバイス、アプリケーション、コンテンツの4つの要素で強力なゼロトラスト ポリシーが構成されます。いかなるユーザーも、本質的に信頼されることはありません。
ビジネス ポリシーを使用してインターネット経由でユーザーとアプリを安全に接続することで、ユーザーがネットワークに配置されないため、より安全なリモート エクスペリエンスが保証されます。同時に、脅威のラテラル ムーブメントは防止され、アプリケーションはSSEプラットフォームの背後で常に保護されます。インターネットからアプリを不可視化することで、発見されるリスクがなくなり、結果として攻撃対象領域が少なくなるため、セキュリティの強化やビジネス リスクの軽減につながります。
3. ユーザー エクスペリエンス
Gartnerの定義によれば、SSEは世界中のデータ センターに分散されている必要があります。最良のSSEアーキテクチャーは、ベンダーがSSEプラットフォームをIaaSインフラでホストするのではなく、すべてのデータ センターで検査することを前提に構築されています。
分散型アーキテクチャーはエンド ユーザーがSSEクラウドに接続する場所でコンテンツを検査(TLS/SSLの復号と検査を含む)するため、パフォーマンスの向上とレイテンシーの削減が可能になります。SSEプラットフォーム全体においてピアリングと組み合わせることで、モバイル ユーザーに最高のエクスペリエンスを提供します。スピードの遅いVPNを使用する必要がなくなり、パブリック クラウドやプライベート クラウド内のアプリに高速かつシームレスに接続できるようになります。
4. セキュリティ サービスの統合
すべての主要なセキュリティ サービスが一元化されるため、コスト削減と複雑さを軽減できます。SSEは、SWG、CASB、ZTNA、クラウド ファイアウォール(FWaaS)、クラウド サンドボックス、クラウド情報漏洩防止(DLP)、クラウド セキュリティ ポスチャ―管理(CSPM)、クラウド ブラウザー分離(CBI)など、多くの主要なセキュリティ サービスを1つのプラットフォームで提供します。すぐに必要ではないサービスがある場合は、組織の成長に合わせてサービスを簡単に追加することも可能です。
すべての保護が1つのポリシーに一元化されるため、ユーザーとデータが通過するすべてのチャネルで同一レベルの一貫した保護が提供されます。
SSEの主なユース ケース
1. クラウド サービスへのアクセスとWeb利用の保護
インターネット、Web、クラウド アプリケーションへのユーザー アクセスに対するポリシー制御の適用(これまではSWGで実行)は、セキュリティ サービス エッジの主なユース ケースの1つです。SSEのポリシー制御は、オン/オフネットワークのエンド ユーザーがコンテンツにアクセスする際に発生するリスクの軽減に役立ちます。コンプライアンスを目的にインターネットやアクセス制御の企業ポリシーを適用できる点も、IaaS、PaaS、SaaSでのこのユース ケースの大きな動機となります。
もう1つの重要な機能であるクラウド セキュリティ ポスチャー管理(CSPM)は、侵害につながる可能性のある危険な設定ミスから組織を保護します。
2. 脅威の検知と軽減
インターネット、Web、クラウド サービスの脅威を検知し、攻撃を阻止できる点は、SSE、さらにはSASEを採用する大きな動機となります。エンド ユーザーがあらゆる接続方法やデバイスでコンテンツにアクセスするいま、マルウェアやフィッシングなどの脅威に対する強固な防御のアプローチが求められています。
SSEプラットフォームには、クラウド ファイアウォール(FWaaS)、クラウド サンドボックス、マルウェア検出、クラウド ブラウザー分離などの高度な脅威対策が不可欠です。CASBはSaaSアプリ内のデータを検査し、すでに侵入しているマルウェアがダメージを加える前に識別して隔離します。また、エンド ユーザーのデバイス態勢を決定して、それに応じてアクセスを調整する適応型アクセス制御も重要な要素になります。
3. リモートの従業員を安全に接続
現代のリモート ワークには、クラウド サービスやプライベート アプリケーションにVPN特有のリスクを伴わずに、リモートでアクセスできる手段が必要です。ネットワークへのアクセスを許可せずに、アプリケーション、データ、コンテンツにアクセスできることがゼロトラスト アクセスには不可欠です。この方法であれば、ユーザーをフラットなネットワークに配置することで発生するセキュリティの問題を排除できます。
ファイアウォールACLを開いたり、アプリをインターネットに公開したりすることなく、プライベート アプリやクラウド アプリに安全にアクセスできるようにすることが、ここでの重要なポイントになります。SSEプラットフォームは内側から外側へのネイティブなアプリ接続を有効にして、アプリをインターネット上から「見えない」状態に保つ必要があります。ZTNAアプローチは、アクセス ポイントのグローバル ネットワーク全体にスケーラビリティーを提供し、接続要求に関係なく、すべてのユーザーに最速のエクスペリエンスを実現します。
4. 機密データを特定して保護
SSEでは、あらゆる場所の機密データの特定と制御が可能になります。主要なデータ保護技術を一元化することで、SSEプラットフォームはすべてのデータ チャネルで優れた可視性とシンプルな運用を提供します。クラウドDLPは機密データ(個人情報[PII]など)を簡単に特定、分類、保護し、PCI (Payment Card Industry)標準をはじめとするコンプライアンス ポリシーをサポートします。一度DLPポリシーを作成すれば、CASBを介してクラウド アプリのインライン トラフィックと保存データに適用できるため、SSEではデータ保護も簡素化されます。
最も効果的なSSEプラットフォームは、暗号化されたトラフィック(つまり、転送中のほとんどのデータ)に対処する高性能なTLS/SSLインスペクションも提供します。このユース ケースでは、シャドーITの検知も重要な要素であり、これにより組織はすべてのエンドポイントにわたってリスクの高い、もしくは企業が許可していないアプリケーションをブロックできます。
適切なSSEプラットフォームを選ぶためのポイント
SSEプラットフォームは、ゼロトラストに基づき、高速かつスケーラブルなセキュリティと快適なユーザー エクスペリエンスを提供するものでなければなりません。
以下のようなプラットフォームを選ぶことが大切です。
高速のユーザー エクスペリエンスやクラウド アプリ エクスペリエンスのために構築されている
高速で安全なアクセスには、大規模なデータ センターのフットプリント全体にわたってグローバルに分散されたクラウド ネイティブのアーキテクチャーが必要です。リアルタイムでのコンテンツ検査を主な目的として構築されていないIaaSクラウドでホストされるSSEプラットフォームに比べて、検査用に構築されたSSEプラットフォームの方が優れています。すべてのデータ センターがインスペクション ノードである場合、ユーザーがどこにいてもセキュリティは常に高速でローカルに行われます。また、クラウド アプリのエクスペリエンスが最適な状態で維持されるように、SSEベンダーからの高速かつ強力なピアリングを確保することが重要です。
ゼロトラスト アーキテクチャーでゼロから構築されている
アクセス制御はアイデンティティーで管理されるべきであり、ユーザーをネットワークに配置すべきではありません。ゼロトラスト アクセスをすべてのユーザー、デバイス、IoT、クラウド アプリ、ワークロードで広範にサポートするクラウドネイティブのベンダーを採用することが重要です。グローバルかつスケーラブルなデータ センターを運用しているベンダーであれば、VPNに悩まされることなく、常に高速のユーザー エクスペリエンスが実現します。リモート ユーザーの生産性にはスケーラビリティーが不可欠であるため、SSEに対するZTNAのアプローチにおいてグローバルかつ大規模な導入の実績があるベンダーを採用する必要があります。
スケーラブルなインラインのプロキシ検査ができる
プロキシ インスペクションは、デバイスとクラウド アプリの両方からの接続を終了させます。両者の間でフルSSLインスペクションを実行することで、接続の「パススルー」を防止します。これにより、従来のパススルー型ファイアウォールより優れたセキュリティと検査が可能になります。そこで重要になるのが、コンテンツ配信やTLS/SSLインスペクションをグローバルに可能にするSSEプラットフォームを採用することです。インライン検査は通常、業務上不可欠なトラフィックに対して実行されるため、スケーラビリティーの問題による中断が深刻な影響を及ぼす可能性があります。SSEベンダーを選択する際は、強力なサービス レベル アグリーメント(SLA)があり、大規模なグローバル企業のインライン トラフィックの検査の実績があることを確認してください。
SSEの成長におけるさらなるイノベーションを推進する
SSEを一元的なプラットフォームとして採用することでセキュリティ機能やサービスが追加され、SSEプラットフォームを継続的に活用できるようになります。SSEへの移行が始まったサービスの1つであるデジタル エクスペリエンス モニタリングにより、IT部門はユーザーとクラウド アプリ間の接続の問題を迅速に特定できます。
SASEアーキテクチャーの定義にあるように、SSEプラットフォームに併せてネットワーク サービスの統合を進めることも重要であり、これにはSD-WANサービスの強力な接続のサポート、ローカル拠点の接続、マルチクラウド接続が含まれます。SSEのイノベーションを推進するSASEサービス プロバイダーに注目することで、クラウド エコシステムが成熟しても、複雑化することなく、環境の成長に合わせて対応できます。
ZscalerとSSE
Zscalerは、SSEとその先の時代に対応する革新的なプラットフォームで、クラウドとモビリティーの課題を解決します。ゼロトラストでコストと複雑さを軽減し、攻撃対象領域を排除することで、優れたユーザー エクスペリエンスを提供します。