SSE (セキュリティサービスエッジ) SSE (セキュリティサービスエッジ) とは
セキュリティサービスエッジ (SSE) はSASE (セキュアアクセスサービスエッジ) のセキュリティコンポーネントであり、Web、SaaSアプリケーション、プライベートアプリケーションへのアクセスを保護します。SSEには、ゼロトラストネットワークアクセス (ZTNA)、セキュアWebゲートウェイ (SWG)、Cloud Access Security Broker (CASB)、Firewall as a Service (FWaaS) などの高度なセキュリティ機能が含まれています。
- セキュリティサービスエッジ (SSE) の説明
- SSEの仕組み
- SSEのコンポーネント
- SSEとSASEの違い
- SSEを検討すべき理由
- SSEのメリット
セキュリティサービスエッジ (SSE) の説明
ハイブリッドワーク環境の登場により、ユーザーが場所やデバイスを問わず接続し、クラウド上のビジネスアプリケーションや機密データに直接アクセスするようになりました。従来のセキュリティの境界が薄れていくなかで、セキュリティ機能もクラウドに移行する必要があります。SSEを導入することで、組織はクラウドから一貫したセキュリティを適用し、複数のクラウド、データセンター、SaaSアプリケーションに広がるアプリケーションへのアクセスを保護できます。SSEソリューションに高度なSD-WANを組み合わせることで、SASEアーキテクチャーを構築し、クラウドホスト型アプリケーションにおけるエンドユーザーのエクスペリエンス品質 (QoE) を大幅に向上させることができます。
SSEの仕組み
SSEソリューションは、Web、クラウドサービス、プライベート アプリケーションへの安全なリモートアクセスを確保します。
従来、企業はアプリケーションをデータセンターに一元的に配置し、ファイアウォールやIDS/IPSなどのさまざまなセキュリティ検査をサポートしていました。アプリケーションがクラウドやリモートワークのイニシアチブに移行されるなか、企業は、従来のセキュリティの境界の外にある分散型環境で運用しながら、アプリケーションを外部の脅威から保護しようとしています。従来のネットワークインフラストラクチャでは、IT部門がユーザーとSaaSアプリケーションの間のすべての接続を監視することはできません。また、クラウドへのトラフィックをセキュリティ検査のためにデータセンターに転送すれば、アプリケーションパフォーマンスやユーザーエクスペリエンスに大きな悪影響を及ぼします。
SSEソリューションはクラウド配信型サービスであり、組織はエンドポイント (ユーザーやデバイスなど) に近い場所で高度なセキュリティ検査を実行できます。ユーザーが接続する場所にかかわらず、脅威からの保護、データセキュリティ、セキュリティ監視、アクセス制御を行う、動的なセキュリティの境界が構築されます。
SSEのコンポーネント
SSEには、4つの主要なセキュリティコンポーネントが含まれています。
- ZTNAは、信頼できるユーザーであることが証明されるまでは、デフォルトですべてのユーザーアクセスを信頼できないものとみなします。企業ネットワークへの広範なアクセスを接続ユーザーに許可するVPNとは異なり、ZTNAでは、ユーザーに承認された特定のアプリケーションまたはマイクロセグメントへの、信頼できるブローカー経由のユーザーアクセスのみに制限されます。
- CASBがクラウドアプリケーション (クラウド間アクセスを含む) における機密データを識別、検出し、認証やシングルサインオン (SSO) などのセキュリティポリシーを適用します。ユーザーは、組織のITポリシーやセキュリティポリシーで許可されていないクラウドアプリケーションに登録して利用することができません。それによって組織は、セキュリティやコンプライアンスの問題を引き起こす、シャドーITを削減できます。
- SWGは、複数の防御方法を使用して組織をWebベースの脅威から保護します。ユーザーがSWGソリューションに接続できるようにユーザーとWebサイトの間に配置され、URLフィルタリング、悪意のあるコードの検出、Webアクセス制御などの複数のセキュリティ検査を実行したうえでトラフィックをWebサイトにリダイレクトします。
- FWaaSは、さまざまなソースから送信されるトラフィックを分析する、クラウドベースのファイアウォールです。FWaaSは、本社、リモートブランチオフィス、モバイルユーザーなど、組織が運用する複数の拠点から送信されるトラフィックを一元化します。FWaaSの多くは、IDS/IPS、高度な脅威保護、URLフィルタリングやDNSセキュリティなどの重要なアクセス制御をサポートしています。
- 上記の主要機能に加えて、データ漏洩防止 (DLP)、リモートブラウザー分離 (RBI)、サンドボックスなどのセキュリティサービスの提供も可能です。
SSEとSASEの違い
SSEのフォーカスはクラウド配信型セキュリティサービスのみに当てられ、アプリケーション、インターネット、データへのユーザーアクセスを保護します。一方でSASEは、ネットワーク機能とセキュリティ機能の両方を兼ね備えます。SSEとトラフィックを管理するSD-WANを一貫したアーキテクチャーに統合することで、ユーザーやデバイスの場所を問わない接続性とセキュリティの両方を提供し、エッジにおけるセキュアなアクセスとネットワークパフォーマンスを実現します。
ネットワーキングとセキュリティは密接に関連しているとはいえ、これらはそれぞれ異なる、非常に複雑な専門領域です。セキュリティは変化を続けるサイバーセキュリティリスクから防御するために急速に進化していますが、一方のワイドエリアネットワーク (WAN) は高速で安定した柔軟性の高い接続を提供することが重要になります。一貫したセキュリティ、最適化されたパフォーマンス、拡張性、柔軟性を提供するSASEは、こうした従来の分割したドメインを簡素化および統合するのに貢献できます。SASEは、これら2つの複雑な分野を1つの統合サービスにして、セキュリティとパフォーマンスを向上させながら、両分野における高度な専門知識の必要性を低減します。
SSEを検討すべき理由
- SSEは、セキュアなリモートアクセスを提供します。ハイブリッドワークが新たな規範となったことで、企業は、場所を問わず接続できるようにリモートワーカーを保護する必要があります。SSEは、デフォルトではすべてのユーザーを信頼できないものとみなす、ゼロトラスト機能を備えています。ユーザーは、IDに応じてネットワークの特定領域にアクセスできるほか、組織内の役割に関連するクラウドアプリケーションのみを確認でき、企業の機密データにアクセスして利用することはできません。
- SSEは、クラウドファーストの組織を外部の脅威から保護します。デジタル化が加速するなか、サイバー犯罪も同じペースで増加しています。大半のアプリケーションがクラウドに移行された今、組織はデジタル資産を効果的に保護する手法を探す必要があります。SSEはファイアウォール機能を提供し、URLフィルタリングや悪意のあるコード検出などの複数の手法を使用してWebベースの脅威から組織を保護します。CASB機能により、セキュリティポリシーを適用することで、クラウド上の機密データを保護します。その他のセキュリティ機能 (リモートブラウザー分離 (RBI) など) では、悪意のあるコードが含まれないWebページを再構築することで、Webユーザーをインターネットから隔離します。
- SSEとSD-WANは、妥協のないSASEの構築をサポートします。組織は、セキュリティに妥協してはならず、セキュリティ要件に関するこれら2つの選択肢のいずれかを自由に選択できなければなりません。最初の選択肢は、単一ベンターによって提供されるUnified SASEプラットフォームです。これは、高度なSD-WAN機能にSSEの機能を組み合わせたソリューションです。統合型アプローチにより、迅速な展開とシンプルな管理を実現します。次の選択肢であるマルチベンダーソリューションでは、企業が高度なSD-WANプラットフォームを選択できます。このプラットフォームは複数のクラウドセキュリティベンダーと緊密に統合されており、SD-WANプラットフォームからの接続を簡素化するため、特定のニーズに合わせてクラウドセキュリティベンダーを柔軟に選択できます。
SSEのメリット
- セキュリティの強化:セキュリティ機能をユーザーの近くに移すことで、オフプレミスでの接続に対してより柔軟なアプローチをとることが可能になります。クラウドでホストされるSSEは、簡単に更新して最新のセキュリティ脅威に対応できるほか、ポリシー変更を即座にかつ自動的にリモートユーザーに適用し、セキュリティアプローチの一貫性を確保できます。
- 運用の簡素化: SSEは、複数のセキュリティサービスを単一プラットフォームに統合し、セキュリティポリシーの重複排除と調整により、重複をなくして単一プラットフォームのメリットを実現します。中央の拠点からセキュリティインシデントを適切に把握できるようになり、運用の効率化とコスト削減につながります。
- セキュアなアクセス: SSEは、最小権限の原則に基づいて、場所やデバイスを問わずアプリケーションへのセキュアなアクセスを実現することで、ハイブリッドワークをサポートします。また、SSEが悪意のあるWebトラフィックから従業員を保護し、企業の機密データを確実に保護します。SD-WANと併用すれば、ブランチオフィスの従業員がエンタープライズネットワークやクラウドにシームレスかつ安全に接続できます。
