セキュリティ・サービス・エッジ(SSE)は、企業ネットワークの外部にある資産へのアクセスを保護するセキュリティ技術です。SSEは、従来のファイアウォール保護の外側でWebサイト、クラウド資産、多くの従業員が稼働する分散した脅威環境をカバーするようにセキュリティを拡張することで機能します。SSEを十分に説明するために、主要機能、利点、課題、ユースケース、ベンダー、トレンドを取り上げ、代替ソリューションとの比較も行います。
SSEはどのように機能するのか?
セキュリティ・サービス・エッジは、リモートユーザーと資産が相互に接続する前に、それらへ接続する制御を導入します。多くのユーザーや資産が保護された企業ネットワークの外部に存在する現代のIT環境で、組織が直面する問題を解決します。
一部の組織は、仮想プライベートネットワーク(VPN)を使用してリモートユーザーのアクセスをネットワーク内に引き込みますが、これらのソリューションは大きなボトルネックを引き起こし、また一部のユーザーはVPNを回避してソフトウェア・アズ・ア・サービス(SaaS)やサードパーティのWebサイトにアクセスしてしまいます。すべてのSSEツールは、ネットワークセキュリティの概念を取り入れて保護の「封筒」の中に通信を隔離し、多くはゼロトラストのきめ細かなセキュリティ制御も導入します。
SSEの5つの主要コンポーネントと機能
統合型のSSEツールには、アクセス制御、許容利用、データセキュリティ、セキュリティ監視、脅威防御の機能が含まれている必要があります。さらにSSEは、データセンター、クラウドリソース、ローカルネットワーク、Webサイト、社内アプリおよびサードパーティアプリへの接続を可能にするため、他の運用・セキュリティ制御とも連携すべきです。
アクセス制御
アクセス制御は、ユーザー資格情報を検証し、特定の資産へのアクセスを許可し、未承認のデバイス、ユーザー、アクセス要求をブロックします。また、このソリューションは外部SaaSアプリやサードパーティWebサイトへのアクセスも制御しなければなりません。一般的なアイデンティティおよびアクセス管理(IAM)ツールでは、クラウドリソースに対して十分な保護を提供できません。
クラウドアクセスセキュリティブローカー(CASB)、エンタープライズVPN、ゼロトラスト・ネットワークアクセス(ZTNA)など、より堅牢なソリューションを用いて、リモートユーザーがツールを介してリモート資産へアクセスすることを確実にする必要があります。SSEの中には、追加のネットワークアクセス制御(NAC)機能の一部として、デバイスの状態(ポスチャ)を確認し、未適用パッチの有無をチェックするものもあります。
許容利用
ローカルネットワーク内では、ユーザーが不適切なWebサイトを閲覧したりデータを不正利用したりしないよう、ITセキュリティポリシーの許容利用を強制する必要があります。アクセス制御と同様に、従来のソリューションでは一般に、リモートユーザーに対するSaaSアプリのデータ、クラウドリソース、Webサイトへの直接アクセスを十分に保護できません。
SSEは、CASB、セキュアWebゲートウェイ(SWG)、ユーザーおよびエンティティ行動分析(UEBA)の機能を組み合わせます。これらの制御を組み合わせることで、すべての資産、アプリケーション、Webサイトに対する不適切なアクセスや利用を監視し、ブロックします。
データセキュリティと脅威防御
データセキュリティは、内部ネットワークのファイアウォールおよびネットワーク監視と同等の保護で、流入・流出するデータフローを漏えいや攻撃から守らなければなりません。SSEツールは、多くの場合、トラフィックフローを復号して検査し脅威をブロックする基本ツールとして、クラウドホスト型のファイアウォール・アズ・ア・サービス(FWaaS)を展開します。SWG機能は、IPアドレスやWebサイトをスクリーニングして既知の悪性サイトから保護することもできます。
一部のSSEは、リモートブラウザ分離(RBI)によってエンドポイントにさらなる保護を追加します。これは、すべての作業をブラウザアプリケーション内に維持し、データ流出を防ぎ、マルウェアがエンドポイントへ到達する可能性を最小化します。さらに、機密データや秘密データの利用を追跡するデータ損失防止(DLP)機能により、より高度な情報セキュリティを適用することも可能です。
セキュリティ監視
内部ネットワークの侵入検知・防止システム(IDPS)はファイアウォールの外側には及びませんが、リモート資産への攻撃兆候を捉えるためにトラフィックの監視は依然として必要です。セキュア・サービス・エッジツールはFWaaSのスキャンを用いて多くの攻撃兆候を捕捉し、CASB機能を用いてSaaSデータをスキャンし、ファイアウォールのスキャンを補完できます。ツールによっては、クラウドインフラを監視するためにクラウドセキュリティ態勢管理(CSPM)機能を使用するものもあります。
セキュリティスタックの統合
SSEツールは強力なセキュリティを提供しますが、組織全体としてより包括的なネットワークセキュリティと保護を提供するには、他のシステムと統合する必要があります。一般に必要となる統合には次が含まれます:
- アイデンティティおよびアクセス管理(IAM):SSEツールにアイデンティティと権限を連携し、適切なアクセスレベルの付与とグループ認可を行います。
- マネージド検知・対応(MDR):ローカルネットワークとSSE環境を含め、組織全体のセキュリティ監視を提供します。
- ソフトウェア定義広域ネットワーク(SD-WAN):相互接続とマイクロセグメンテーションを作成し、資産を分離したり内部資産をSSEに接続したりします。
- セキュリティ情報・イベント管理(SIEM):セキュリティレビューおよび潜在的なイベント調査のために活動ログを収集します。
- セキュリティ・オーケストレーション/自動化/対応(SOAR):一部のインシデント対応を自動化し、セキュリティアナリスト向けにアラートと脅威インテリジェンスの優先順位付けを行います。
- 脅威インテリジェンス・プラットフォーム:脆弱性ニュース、マルウェアの変化、攻撃トレンドを集約し、セキュリティチームとセキュリティツールに情報を提供して対応を改善します。
コネクタは一般的なソリューション向けに明示的かつ最適化されている場合もありますが、標準化されたアプリケーション・プログラミング・インターフェース(API)の使用が必要なものもあります。
SSEの主な利点
セキュア・サービス・エッジツールは、リモートユーザーと資産を保護しようとすることで生じるセキュリティおよび運用上の問題に直接対処します。SSEを採用することで、複雑性が低減し、リモート資産が保護され、リモートセキュリティ、ネットワークトラフィック、ユーザー行動の可視性が向上します。
リモートセキュリティの向上
リモートユーザーは、Office 365やSalesforceなどのクラウドアプリに直接アクセスしたり、Webを閲覧したりするために、VPNセキュリティを回避することがよくあります。こうした直接接続には、ウイルスに十分対抗しエンドポイント感染を防ぐためのセキュリティ制御が欠けています。SSEは、クラウドベースでスケーラブルな追加のセキュリティ制御を導入し、最小限の中断でリモートユーザーのセキュリティを向上させます。
ネットワークトラフィック性能の向上
従来のソリューションはVPNを使用してトラフィックを企業ネットワーク内にルーティングし、その後多くの接続を再びインターネットへ送り返します。さらに、そのトラフィックは通過のたびにネットワークファイアウォールやその他のセキュリティ検査の対象となります。SSEは、こうした帯域を浪費する慣行を排除し、性能とユーザー体験を改善します。
セキュリティツールの複雑性低減
複雑な統合と導入を実行できる専門性と能力を持つチームであれば、複数のツールでSSEの機能を再現できます。しかし多くの場合、単一の管理画面の下に機能を統合し、統合・導入要件を大幅に簡素化できる統合型SSEの恩恵を選ぶことになるでしょう。
すべての資産への安全なアクセス
従来のネットワークセキュリティは、VPNでローカルネットワークにリルートされたトラフィックしか保護できないため、多くのユーザーが十分な保護なしにSaaSアプリやWebサイトへ直接接続しています。SSEは、内部ネットワークの外部に存在するすべてのユーザー、モノのインターネット(IoT)、運用技術(OT)、クラウド資産、アプリケーションへセキュリティを拡張します。
ユーザー活動の可視化と制御
従来のセキュリティでは、VPN制御を回避するリモートユーザーを追跡・監視できず、悪意ある内部者や盗まれた資格情報を持つユーザーが、リモート資産(SaaSアプリケーション、クラウドデータベースなど)から機密データにアクセスしたり、流出させたりすることを許してしまいます。SSEはユーザー行動の完全な可視性を導入し、不正な行動を検知して制御します。
SSEの一般的な課題
SSEはリモートユーザーを保護する明確な利点を提供します。しかし、この技術は導入や成功裏の実装に影響する課題ももたらします。
- 統合の難しさ:既存の通信・セキュリティツールの中には、特定のSSEツールからのサポートが不足しているものがあり、追加の統合作業や回避策が必要になる場合があります。
- レガシーアーキテクチャの問題:SSEは効率向上のために大きく異なる方式でセキュリティを実行しますが、SSEのプロセスをレガシーなネットワークアーキテクチャやセキュリティプロセスに無理に当てはめると、遅延や性能問題が発生します。
- SSEへの適応の難しさ:新技術では、従来のセキュリティツール向けに作られたポリシーや手順を見直し、大幅に修正してSSEの機能をカバーする必要があります。場合によっては、まったく新しいインシデント対応計画とプロセスが必要になる可能性もあります。
- サードパーティによるパケット検査:クラウドベースのSSEプロバイダーは、マルウェアや悪意ある内部者によるデータ不正利用から保護するためにデータ検査を行いますが、技術的には秘密情報が第三者に露出し得ます。これは受け入れられず、変更が必要になる場合があります。
- ユーザーの抵抗:SSEは、これまで存在しなかった新しいセキュリティ制御を導入するため、実装やトレーニングの過程でユーザーの不満やその他の問題を引き起こす可能性があります。
SSEの5つのユースケースと適用例
SSEの主なユースケースは、ネットワーク外部のリモートユーザーと資産を保護することです。ただし、その具体的な意味は組織によって大きく異なります。この概念をより具体的にするため、動画編集、国際輸送、医療、人事、営業担当者を取り入れた次の5つの具体的ユースケースを考えてみましょう。
VPNの渋滞を解消する
ある動画編集会社では、多数のリモートユーザーが、クラウドへ移行した動画編集スイートにアクセスするために依然としてVPN接続を使用しています。高帯域を要する動画ストリーミングの要件により、トラフィックはセキュリティ検査と同社のVPN構成を複数回通過し、帯域と性能を圧迫しています。SSEの採用によりVPNの渋滞が解消され、検査が少なくて済む直接接続が可能になり、性能が大幅に向上します。
グローバルなOT監視
輸送船団は、エンジンやその他のシステムを監視するために多数のセンサーを展開しますが、ローカルネットワークを維持するIT人材が不足しています。SSEを展開することで、世界各地のOT展開、クラウドベースの監視アプリケーション、センサーデータ保存のためのデータレイク間で、安全な接続を実現できます。
医療従事者の体験向上
医療センターでは医師や看護師が患者のニーズに対応するために急いで行動するため、ログイン資格情報を忘れたりフィッシング攻撃に遭ったりしやすくなります。SSEを実装すると、ログイン要件を排除するシングルサインオン体験を実現し、追加のマルウェア露出をブロックするセキュリティ保護を追加できます。これにより、Office 365のメール確認や、医用画像、請求、メッセージのためのリモートリソースへのアクセス時の体験とセキュリティが向上します。
より安全な履歴書スクリーニング
マルウェアを避けるために添付ファイルをクリックしないよう従業員に指示しても、業務の一環として履歴書の添付ファイルを開いて評価しなければならない人事担当者には通用しません。リモートブラウザ分離を備えたSSEの展開により、リモートワークの人事担当者はブラウザ内のサンドボックス環境でPDFファイルやその他の添付ファイルを安全かつ確実に開いて評価できます。
リモートSaaSユーザーを保護する
営業担当者は、リード管理や販売資料の安全な配布のためにSalesforce、Box、その他のSaaSツールへのアクセスが必要です。盗まれた資格情報を用いた不正アクセスや、退職する営業担当者によるリードの不正ダウンロードを防ぐために、SSEを実装して担当者を保護し、SaaSリソースを保護し、不正利用をブロックできます。
主要なSSEソリューションの選択肢
SSEツールを検討している場合は、Gartnerの「Security Service Edge」マジック・クアドラントで上位にランクされたベンダーから始めましょう:
- Fortinet:チャレンジャー・クアドラントに位置する唯一のベンダーで、FortiSASEはSD-WANも含み、強力なパケットフィルタリングのために同社の次世代ファイアウォールを基盤としています。
- Lookout:ビジョナリー・クアドラントのこのクラウドセキュリティプロバイダーはデータ保護に注力し、60分以内の導入をうたっています。
- Netskope:70以上の地域にまたがるプライベートクラウドネットワークを使用し、NetskopeはZTNAの強力な運用機能によりリーダー・クアドラントの地位を主張しています。
- Palo Alto Networks:ZTNAとファイアウォール機能における強力なセキュリティ性能により、Prisma SASE(SD-WANを含む)はSSEのリーダー・クアドラントに位置付けられています。
- Skyhigh Security:リモートブラウザ分離とデータ損失防止を含む同社のSSEはデータを効果的に保護し、SkyhighはSSEのビジョナリー・クアドラントに位置しています。
- Zscaler:クラウドファーストのアーキテクチャと、幅広い資産に対応する組み込みのゼロトラスト機能により、ZScalerはSSEのリーダー・クアドラントに位置付けられています。
セキュア・アクセス・サービス・エッジ(SASE)とSSEツールには一定の重なりがありますが、多くの高品質なSSEツールはSD-WANの完全統合がないためSASEには該当しません。
SSE、SASE、VPNの違い
SSE、SASE、VPNはいずれも、異なる手法とネットワークセキュリティアーキテクチャを用いてリモートアクセスを管理します。SASEは本質的に、SD-WAN機能をSSEに統合して、追加のネットワークセグメンテーションや、サービス品質(QoS)などの運用機能を加えたものです。SASEベンダーはより多くの機能を提供しますが、ネットワーク接続を再現するために、より多くのセットアップ、ネットワーク機器、場合によっては移行時間も必要になります。
従来のVPNは、すべてのトラフィックをローカルネットワーク経由にルーティングして、従来のネットワークセキュリティ制御でリモートユーザーと資産を保護しますが、スケーラビリティの問題や、ネットワークおよびインターネット接続帯域の問題に悩まされることがよくあります。エンタープライズVPNは、クラウドベースのゲートウェイとアクセスポイントによりスケーラビリティと帯域の問題に対処しますが、リモートアプリケーションやクラウドインフラを保護するための完全なSSEまたはSASE機能は備えていません。
SSEの主要な将来トレンド
購入者は、セキュリティ標準、業界規制、そしてSSEツール自体の進化に伴い、セキュア・サービス・エッジに対する自社のニーズが変化していくことを想定できます。市場の変化は、ツールの採用、要件の拡大、サポートの改善、そしてSSE機能の増強を中心に進むでしょう。
セキュリティと運用上の優位性が採用を後押し
SSEは、リモートユーザーと資産を保護する必要性が増大し、セキュリティおよび運用チームへの圧力が高まる中でも、組織に追加の俊敏性、スケーラビリティ、運用改善をもたらします。これらの優位性とトレンドが、あらゆる規模の組織で導入拡大を促進します。
製品定義の曖昧化
SSEとVPNはかつて非常に明確で異なるソリューションでした。しかし、エンタープライズVPNやファイアウォールのプロバイダーが製品にSWG、CASB、UEBAの機能を追加し続けるにつれ、機能が類似して区別は曖昧になります。将来的には、購入者は実装、統合、価格モデルを主要な差別化要素として重視するようになるでしょう。
サービスプロバイダーのサポート拡大
マネージドサービスプロバイダー(MSP)は顧客ニーズを反映し、SSE統合と継続的な管理のサポートを拡大し続けるでしょう。現在のクラウドベースのプロバイダーはすでにマルチテナント機能を提供しており、サービスプロバイダーは、顧客がSSEの保護の傘の下にユーザーと資産を次々に追加していく中で、支援の機会を見いだすはずです。
接続性要件の増大
より多くのIoTとOTが従来型およびモバイル(5Gなど)ネットワークを通じて接続されるにつれ、SSEツールは、ますます多様化するエンドポイント群に対する保護を統合するために機能を拡張する必要があります。将来のエンドポイントには、センサー、監視カメラ、無線周波数識別(RFID)センサーなど、さらに多くが含まれるでしょう。
高度なゼロトラスト機能
現在、ゼロトラスト・ネットワークアクセス(ZTNA)を持つベンダーは、それをSSEの基本コンポーネントとして推進しています。ゼロトラストが規制によってより明確に定義され、ゼロトラストの採用が進むにつれ、ベンダーはアイデンティティやWebサイトアクセスなど、SSEツールの他の側面にもゼロトラスト原則を適用し、セキュリティをさらに強化していくでしょう。
結論:SSEは現代のネットワークを堅牢に保護する
セキュア・サービス・エッジは、リモートユーザー向けの従来のVPNセキュリティを単に置き換える以上のものです。SSEは、現代のITインフラにおいて通常のVPN保護の範囲外で稼働するリモートIoTデバイス、クラウドインフラ、SaaSアプリを包含します。リモート資産を保護する時期が来たなら、上位のSSE候補をいくつか選んでデモを予約し、このソリューションがどのようにアーキテクチャを保護できるかを確認してください。
リモートユーザーの保護だけが必要な場合は、より基本的なアプローチを検討し、VDI vs VPN vs RDPについてもお読みください。
翻訳元: https://www.esecurityplanet.com/networks/what-is-security-service-edge-sse/
