目次

「ゼロトラストとSASEって何がどう違うのか詳しく知りたい!」

「ゼロトラストやSASEは自社に導入するべきものかどうか判断したい」


と感じていませんか?


ゼロトラストとSASE(サシー)の違いは、「セキュリティ対策における考え方」なのか、「セキュリティ対策を実施するための具体的な方法」なのかといった点に違いがあります。

【ゼロトラストとSASEの違い】

ゼロトラスト 【上位概念】セキュリティ対策の考え方
SASE 【下位概念】セキュリティ対策を実施するための具体的な方法

両者は全く異なるものではなく、SASEを包括した上位概念がゼロトラスト、その下位概念としてSASEがあるのです。


※ゼロトラストとSASEの概念や関係についての見解は、情報源によって異なる表現が使われることがあります。本コラムではゼロトラストがセキュリティの上位概念であり、SASEがその考え方を具体的に実施するための方法として説明しています。


具体的には、それぞれ以下のような意味を持っています。

【ゼロトラストとSASEの用語解説】

ゼロトラスト
  • 従来の「社内ネットワークは安全」という考え方をしない
  • 社内外を問わずすべてのアクセスを信頼せず、常に検証を行うというセキュリティ対策の考え方
SASE

ネットワーク機能(※1)とセキュリティ機能(※2)を一体化して提供するクラウドサービスのこと

※1 ネットワーク機能:複数のコンピューターやサーバー、デバイス同士を接続し、データの送受信や共有を可能にする仕組みのこと

※2 セキュリティ機能:マルウェアやデータ漏えい、不適切コンテンツのブロックができる機能

近年では、クラウドサービスの利用やリモートワークの増加に伴い、

◆企業の重要なデータやアプリが社外のサーバー(クラウド)に置かれるようになった

→従来の「社内」と「社外」の境界が曖昧になり、単純に社内ネットワークを信頼するだけでは不十分に

→安全だと思っていたアクセスが、実は「脅威」の可能性がある


◆リモートワークの普及により、従業員が社外から企業のシステムにアクセスする機会が増えた

→社内ネットワークへのアクセスが必ずしも安全とは限らなくなった

→どのアクセスが安全で、どのアクセスが危険なのか見分けがつかない

といった状況になっています。


そのため、すべてのアクセスを疑うゼロトラストの実施を目指し、SASEを導入する企業は増加傾向にあります。


ただし、すべての企業がゼロトラストの実現に向けてSASEを導入するべきだとは言い切れません。


SASEの導入には、

SASEを導入するデメリット
  • ネットワーク障害に弱い傾向がある
  • 導入までにコスト・時間がかかる

といったデメリットもあり、企業によって向き不向きがあるのです。


導入に向いていないのに取り入れてしまうと、

  • 思ったような効果を得られない
  • 無駄な手間や時間、コストがかかってしまう


といった事態になりかねません。


そこでこの記事では、以下の内容をお伝えします。

この記事でわかること
  • ゼロトラストとSASEの違い
  • SASEによるゼロトラストセキュリティを取り入れるメリット
  • SASEによるゼロトラストセキュリティを取り入れるデメリット
  • SASEによるゼロトラストセキュリティの導入事例
  • SASEによるゼロトラストセキュリティの導入に向いている企業
  • SASEの導入によってゼロトラストセキュリティを成功させるためのポイント

この記事を読むことで、ゼロトラストとSASEの違いを深く理解し、導入するべきものか判断できるようになります。


そして導入すると判断をした場合は、SASEの導入によってゼロトラストを成功させるためのポイントを知って、実現への第一歩を踏み出せるようになるでしょう。


ぜひ、最後までお読みください。

1.ゼロトラストとSASEの違い

ゼロトラストとSASEの違い

まずはゼロトラストとSASEの違いを深く理解するために、以下3点を解説します。

  • ゼロトラストとSASEの違いは「考え方」か「方法」かにある
  • ゼロトラストとは
  • SASEとは


それぞれ詳しく見ていきましょう。

1-1.ゼロトラストとSASEの違いは「考え方」か「方法」かにある

ゼロトラストとSASEの違いは、以下のように、セキュリティ対策における「考え方・方針」か、「具体的な方法」かといった点に違いがあります。
※SASE:Secure Access Service Edge

【ゼロトラストとSASEの違い】

ゼロトラスト 【上位概念】セキュリティ対策の考え方
SASE 【下位概念】セキュリティ対策を実施するための具体的な方法


つまり、ゼロトラストという考え方を実現するための一つの方法として、「SASE」が存在しているのです。

ゼロトラストという考え方を実現するための一つの方法として、「SASE」が存在しているの説明図

※本記事では割愛しますが、ゼロトラストの考え方を実現するためには、SASE以外にも複数の方法があります。


それでは、具体的にはゼロトラストの「どういった考え方」を、SASEが「どのように実現」できるのでしょうか。


ゼロトラストとSASEをそれぞれ理解することで、両者の関係性をしっかり整理しましょう。

1-2.ゼロトラストとは

ゼロトラストとは、


社内外問わず、すべてのアクセスを信頼しないで、常に検証を行う


というセキュリティ対策の考え方です。


従来のセキュリティモデルでは、以下のように社内のネットワークを信頼し、社外からのアクセスは「信用できない」として境界(セキュリティの壁)を設けていました。

従来のセキュリティの考え方とゼロトラストの考え方の図

参考コラム:「サイバーセキュリティをより強固にする最新アプローチ“サイバーセキュリティ・メッシュ”とは」


企業の内部ネットワークには、ファイアウォール(※1)やVPN(※2)などの対策が施されており、外部からのアクセスを制限することで、内部ネットワークの安全性を確保していたのです。

※1 ファイアウォール:事前に決められたルールのもとで、アクセスさせていい通信かどうかを判断し、不正アクセスやサイバー攻撃などの脅威を防ぐ仕組み
※2 VPN:企業の拠点間を仮想の専用の線で結んで、セキュリティ的に安全に情報をやり取りできるようにする仕組み


しかし現代のビジネス環境では、クラウドサービスの利用やリモートワークの増加により、

◆企業の重要なデータやアプリが社外のサーバー(クラウド)に置かれるようになった

→従来の「社内」と「社外」の境界が曖昧になり、単純に社内ネットワークを信頼し、外部アクセスを疑うだけではセキュリティ上、不十分になった

→安全だと思っていたアクセスが、実は「脅威」の可能性がある


◆リモートワークの普及により、従業員が社外から企業のシステムにアクセスする機会が増えた

→社内は安全、社外は危険といった明確な分け方ができなくなった

→どのアクセスが安全で、どのアクセスが危険なのか見分けがつかない

といった状況になり、従来のセキュリティでは対応が難しくなってきています。


そこでゼロトラストの考え方が効果を発揮します。


ゼロトラストはすべてのアクセスを「脅威の可能性がある」と疑い、検証するという考え方。

従来のセキュリティの考え方とゼロトラストの考え方の図

そのため、クラウドサービスの利用やリモートワーク環境下において、より強固なセキュリティ態勢を整えることができるのです


このように、ゼロトラストは現代のビジネス環境に適したセキュリティ対策の考え方といえるでしょう。

クエストはお客様のゼロトラストセキュリティの実現を支援するために、エンドポイント(端末)やクラウド環境、ネットワークのセキュリティ対策をはじめ、運用監視、多要素認証の導入支援など、包括的なセキュリティサービスを提供します。セキュリティでお困りのお客様は是非当社にご相談ください。


zero-trust-network-access_security.webp

1-3.SASEとは

SASEとは、ゼロトラストの考え方をもとにして開発された、具体的なセキュリティ対策の方法です。


以下のように、クラウド上でネットワーク機能(※1)とセキュリティ機能(※2)を一体化して提供する方法です。

※1 ネットワーク機能:複数のコンピューターやサーバー、デバイス同士を接続し、データの送受信や共有を可能にする仕組みのこと
※2 セキュリティ機能:マルウェアやデータ漏えい、不適切コンテンツのブロックができる機能

SASEの説明図

参考コラム:「サイバーセキュリティをより強固にする最新アプローチ“サイバーセキュリティ・メッシュ”とは」


先にもお伝えしたとおり、「クラウドサービス」「リモートワーク」の普及によって、社内へのアクセスをすべて疑うゼロトラストの考え方が必要になってきています。


そうした中、SASEは以下を実施できるため、ゼロトラストを実現するための有効な手段となるのです。

SASEができること

◆ネットワーク機能

  • 複数の回線を効率的に利用し、ネットワークパフォーマンスを向上させる
  • ネットワーク上で同時に動作する複数のアプリケーションのうち、企業にとって重要なアプリケーション(例: 音声通話、ビデオ会議、ビジネスクリティカルな業務アプリケーションなど)に優先的にデータ転送量を割り当てることで、スムーズに通信できるようにする


◆セキュリティ機能

◎「すべてを信頼しない」を実現するために必要なセキュリティ機能を提供する

【具体的な機能】

Webを監視し、マルウェアや不適切コンテンツをブロックする

すべてのアクセスを常に検証する

異常検知と自動対応


◎クラウド上のサービスのため、場所やデバイスを問わずセキュリティを適用できる

【具体的な機能】

クラウドベースのファイアウォール機能を提供

機密データの暗号化


◎ユーザー、デバイス、アプリケーションのIDにもとづいてアクセス制御を行う

【具体的な機能】

クラウドサービス(メール機能、チャット、ドキュメントなど)の利用状況を可視化し制御する


ユーザーの場所、デバイスの状態、データの機密性などにもとづいてセキュリティポリシーを適用できる

【具体的な機能】

ユーザー、デバイス、アプリケーションの認証を都度実施


◎ユーザーのアクセスと行動を可視化できる

【具体的な機能】

シャドーIT(※)の検出と管理

※シャドーIT:情報システム部門が関与せず、各部門や従業員が独自に導入したIT機器やシステム、クラウドサービスのこと

このように、SASEは「すべてのアクセスを疑う」ゼロトラストの考え方を、実際のセキュリティ対策に落とし込んだものなのです。

2.SASEによるゼロトラストセキュリティを取り入れる4つのメリット

SASEによるゼロトラストセキュリティを取り入れる4つのメリット

ゼロトラストとSASEの関係性について理解したところで、実際にゼロトラスト実現のためにSASEを実行すると、どのようなメリットが自社にあるのかを知っておきましょう。


両者の違いだけでなく、良い面を理解しておくことで、自社への導入可否を判断しやすくなります。


SASEによるゼロトラストセキュリティを取り入れるメリットは以下4つです。

SASEによるゼロトラストセキュリティを取り入れるメリット
  • 運用担当者の負荷を削減できる
  • 運用コストを削減できる
  • 生産性、業務効率を向上できる
  • リモートワーク時のセキュリティを強化できる

それぞれ見ていきましょう。

2-1.運用担当者の負荷を削減できる

1つめは「運用担当者の負荷を削減できる」ことです。


SASEは、従来のセキュリティ対策から以下のように運用担当者の負荷を削減できます。

SASEができる運用担当者の負荷削減

【従来】

複数のセキュリティ製品やサービスを個別に管理し、設定を行う

【SASE】

ネットワーク機能とセキュリティ機能が統合された1つのプラットフォームで管理・設定できる

【従来】

各セキュリティ製品やサービスごとに個別のポリシー設定が必要

【SASE】

一度の設定で全機能に適用ができる

【従来】

各機器やソフトウェアの個別更新が必要

【SASE】

クラウドベースのサービスのため、自動的に更新

【従来】

各製品やサービスごとにログ取得や分析が必要

【SASE】

1つのダッシュボードで全体の状況を把握可能

このように、従来のセキュリティ対策でかかっていた手間や時間を大幅に削減でき、運用担当者の負担が軽くなり、その分、他の業務に集中できるようになるという点は、大きなメリットといえるでしょう。

2-2.運用コストを削減できる

2つめは「運用コストを削減できる」ことです。


SASEの導入によって、以下のように従来のセキュリティ対策から運用コストを削減できます。

SASEができる運用コストの削減

【従来】

複数のセキュリティ機器やネットワーク機器の購入・更新費用が必要

【SASE】

クラウドベースのサービスのため、ハードウェア購入が不要になり、その分のコストを削減

【従来】

複数のセキュリティソフトウェアライセンスや各機器の保守契約の費用が必要

【SASE】

1つのサブスクリプションに対してのみ月額費用もしくは年間費用を支払うのみ

【従来】

ネットワーク用の専用線を引く費用が必要

【SASE】

既存のインターネット回線を活用でき、専用線の費用が不要になる

どのくらいの費用が削減できるのかについては、企業の規模やインフラによって大きく異なるため名言はできませんが、上記のような運用コストが削減できるのは企業にとって魅力的なメリットといえるでしょう。


ちなみに、SASEの導入によってどの程度コスト削減ができるかを概算するためには、以下の費用項目を確認すると良いでしょう。

【SASE導入によるコスト削減費用を概算するために確認すると良い費用項目】

◆ネットワークインフラのコスト

◎ネットワーク専用線の費用

→従来の専用線(たとえばMPLS)からインターネットベースのSD-WANに移行することで、通信費用が大幅に削減される可能性がある

◎ルーター、ファイアウォール、VPN装置などのハードウェア費用


◆セキュリティインフラのコスト

◎ファイアウォール、インターネットゲートウェイ、CASBなど、セキュリティ機器の購入や保守にかかるコスト

→SASEはこれらの機能を統合して提供してくれるため、重複する機器のコストを削減できる


◎各セキュリティソフトウェアやツールのライセンス費用(アンチウイルス、DLP、MFAなど)

→SASEによって、これらの一部もしくは全てを統合して管理できるため、ライセンス費用が削減される可能性がある


◆運用コスト

◎オンプレミスのセキュリティ機器やネットワーク機器の運用にかかる費用

→SASEはクラウドベースのサービスを利用するため、これらのコストを削減できる可能性がある


◎サポート契約やメンテナンス費用(アップデート、パッチ適用など)


◆通信コスト

◎各拠点が使用しているインターネット帯域幅やVPNの接続コスト

→SASE導入により、帯域幅の効率的な利用が可能となり、通信コストを削減できる可能性がある


◆サブスクリプション費用

◎各クラウドサービスに対するセキュリティとネットワーク接続の費用

→SASEがこれらを統合管理することで、重複するコストを削減できる可能性がある

2-3.快適・スムーズにインターネットやクラウドサービスを利用できる

3つめは「快適・スムーズにクラウドサービスを利用できる」ことです。


SASEを導入することで、以下のように従来のセキュリティ対策よりも快適、スムーズにネットワークを利用できるのです。

SASEができるパフォーマンスの向上

【従来】

  • 自社のクラウドサービスに外部からアクセスする場合、すべてのアクセスは企業のデータセンター(※)を経由する構成となっていることが多い
  • リモートワークの導入によって、社外からのアクセスが集中すると、データセンターにアクセスが集中してしまい、ネットワークへの負荷が増えて通信の遅延が発生してしまう


【SASE】

  • SASEは地理的に分散したクラウド上に展開されているため、ユーザーは最寄りのSASEに接続できるようになる
  • 最寄りのSASEを経由で直接インターネットやクラウドサービスにアクセスできるようになり、データセンターを経由する必要がなくなる
  • 通信遅延が大幅に削減され、快適・スムーズに利用できるようになる


※データセンター:インターネット用のサーバーやデータ通信、固定電話・携帯電話などの装置を設置・運用することに特化した建物の総称。データセンターにセキュリティ対策が施されているケースが多い。

このように、SASEによって従来よりも快適・スムーズにインターネットやクラウドサービスを利用できるようになるのです。

2-4.リモートワーク時のセキュリティを強化できる

4つめは「リモートワーク時のセキュリティを強化できる」ことです。


先にもお伝えしたように、クラウドサービスやリモートワークが普及する前までは、社内ネットワークだけのセキュリティを確保していれば十分でした。


しかし、自宅や外出先で業務を行ったり、クラウド上に機密データを保管してアクセスするようになったりしたことで、

  • マルウェア
  • ランサムウェア


などの社外端末へのサイバー攻撃のリスクが高まっているのです。


そうした中、SASEを導入することで、社内外問わずどのデバイスにも同じセキュリティ対策を適用できるようになります。

具体的には、

  • 不正サイトへのアクセスをブロックするWebフィルタリング
  • 機密データの漏えい防止機能


などを適用することで、場所を問わずすべてのデバイスにサイバー攻撃や情報漏えいなどのセキュリティ対策を徹底できるのです。


したがってリモートワークを導入している企業には、セキュリティ対策に向けてSASEの導入がおすすめといえるでしょう。

3.SASEによるゼロトラストセキュリティを取り入れる2つのデメリット

SASEによるゼロトラストセキュリティを取り入れる2つのデメリット

SASEのメリットを解説しましたが、実はSASEにはデメリットもあります。


自社への導入可否を判断するにあたり、良い面だけでなくマイナス面も知っておくことで、自社にとって正しい決断をすることができるでしょう。


3章では、SASEのデメリットを以下2点解説します。

SASEによるゼロトラストセキュリティを取り入れる2つのデメリット
  • ネットワーク障害に弱い傾向にある
  • 導入までにコスト、時間がかかる

それぞれ見ていきましょう。

3-1.ネットワーク障害に弱い傾向にある

1つめのデメリットは「ネットワーク障害に弱い傾向にある」ことです。


SASEはクラウドベースのサービスであり、インターネット接続に大きく依存しています。
そのため、インターネットの接続に問題が発生すると、SASEのサービス全体に影響を及ぼす可能性があるのです。


SASEにネットワーク障害が発生した場合、以下のようなリスクがあります。

【SASEにネットワーク障害が発生した場合のリスク】


◆サービスが停止する

  • インターネット接続が切断されると、SASEを介したすべてのサービスにアクセスできなくなる可能性がある
  • 従業員はクラウドアプリケーション、社内システム、データにアクセスできなくなり、業務が停止する恐れがある


<例>

大規模なインターネット障害により、全従業員がクラウドベースの業務アプリケーションにアクセスできなくなり、業務が完全に停止する


◆セキュリティが低下する

  • インターネット接続の問題により、SASEのセキュリティ機能が正常に動作しなくなる可能性がある
  • 一時的にセキュリティが脆弱になり、サイバー攻撃のリスクが高まる可能性がある


<例>

ネットワーク障害によりSASEのセキュリティ機能が一時的に無効になり、マルウェアに感染したデバイスが検出されずに社内ネットワークに接続してしまう


◆データが失われる可能性がある

  • 接続が突然切断された場合、進行中のデータ転送や保存されていない作業が失われる可能性がある


<例>

ファイル転送中にネットワークが切断され、重要な顧客データの一部が破損または紛失する


◆顧客満足度が低下するおそれがある

  • 顧客向けサービスがSASEを介して提供されている場合、接続の問題は直接顧客体験に影響を与え、満足度の低下につながる可能性がある


<例>
ECサイトがSASEを介して運用されている場合、ネットワーク障害によりサイトがダウンし、顧客が注文できなくなる

こうしたリスクを軽減するために、

  • 常にバックアップを確保しておく
  • オフライン機能を実装する(例:Google DriveやOneDriveのオフラインアクセスなど)


といった対策を施すことが重要となります。

3-2.導入までにコスト・時間がかかる

2つめのデメリットは「導入までにコスト・時間がかかる」ことです。


SASEの導入には、以下のようにコストや時間が必要になります。

SASEの導入に必要なコスト項目

◆ライセンス費用

年間契約で、ユーザー数やデバイス数に応じて変動


◆導入支援サービス費用

コンサルティング、設計、構築支援など


◆既存システムの改修・移行費用

既存のネットワーク機器やセキュリティ機器の入れ替えなど

◆トレーニング費用
IT部門や一般ユーザーへの教育

SASEの導入に必要な時間

◆計画立案と要件定義

現状分析、ニーズ調査、ロードマップ作成など


◆ベンダー選定

製品比較、デモ、見積もり取得など


◆設計と構築

ネットワーク設計、セキュリティポリシー設定など


◆テストと最適化

テスト運用、問題点の洗い出しと修正など


◆段階的な導入

部門や拠点ごとの段階的な導入

SASEの導入にかかるコストと時間は、企業の規模や既存のインフラ、導入範囲などによって大きく異なるため明言はできませんが、費用に関しては一般的な目安としては、



  • 中小企業の場合、初期費用が数百万円~1,000万円程度
  • 大企業の場合、初期費用が1,000万円〜数千万円程度




と考えておきましょう。


導入にかかる時間については、4章でご紹介している事例を目安に考えると、3か月~1年程度の期間で導入を完了しています。

詳しい内容は、「4.SASEによるゼロトラストセキュリティの導入事例3つ」をご覧ください。

ただし、企業の状況や導入範囲によっては、より短期間で部分的な導入を行うことも可能です。

したがって、企業によってかかるコストや時間はさまざまですが、少なくない時間とコストがかかるという点はデメリットといえるでしょう。

4.SASEによるゼロトラストセキュリティの導入事例3つ

SASEによるゼロトラストセキュリティの導入事例3つ

SASEによるゼロトラストセキュリティについて、プラス面もマイナス面も理解したところで、他社の導入事例で導入イメージを膨らませておきましょう。


そうすることで、自社への導入が現実的なのかという視点で、導入判断できるようになります。


4章ではSASEの導入事例として、以下3事例をご紹介します。

SASEによるゼロトラストセキュリティの導入事例3つ
  • インターネットアクセスの最適化、運用負荷の軽減を実現させた事例/ライオン株式会社
  • セキュリティ・ガバナンスを向上させた事例/住友商事株式会社
  • 新たな働き方を実現させた事例/岩瀬コスファ株式会社

4-1.インターネットアクセスの最適化、運用負荷の軽減を実現させた事例/ライオン株式会社

1つめの事例は、ライオン株式会社(以下、ライオン)の「インターネットアクセスの最適化、運用負荷の軽減を実現させた事例」です。


2019年から本格的にSASEの導入を検討しはじめ、2020年7月から運用を開始しています。


日本全国に研究開発・生産・販売拠点を有し、アジア圏を中心に海外事業を展開する大手生活用品メーカーのライオンは、5,000人以上のグループ全社員が利用するWAN(Wide Area Network=広域通信網)を長年にわたって運用していました。

しかし、クラウドサービスの利用が増えたことによって、以下の課題が発生しました。

課題
  • ネットワークへのアクセス数が急増

  • とくにデータセンターへのアクセス集中によってWAN回線の容量がひっ迫した状態となる

  • 既存ネットワークやセキュリティ機器の老朽化や運用負荷の増大

そこで、ライオンは以下の取り組みを実施しました。

取り組み
  • 既存のネットワークやセキュリティ機器の問題点を洗い出し、理想の状態を定義する

  • SASEを導入し、既存のWANと併用しながら段階的にSASEへと移行

  • 急遽発生した新型コロナウイルスによるパンデミックに対応するため、リモートワークを導入し、社外のデバイスのアクセスをSASEへ移行させた
    →約5,000人の社員がリモートアクセスできる仕組みを整備

その結果、以下の成果を得ることができました。

成果
  • Web会議などによる10倍以上のアクセス増加に対応できるようになった

  • ネットワーク/セキュリティの管理をクラウドで一元化(SASE)し、問題発生時の迅速な原因究明と対策ができるようになった

  • クラウドやインターネットへのアクセスが増大しても、パフォーマンス低下を回避できるようになった

  • IT部門の運用負荷を軽減

こうしてライオンでは、セキュリティの問題が発生してもスピーディに原因を究明して対策を講じられるようになり、問題が大きくなる前に解決できるようになりました。

4-2.セキュリティ・ガバナンスを向上させた事例/住友商事株式会社

2つめの事例は「セキュリティ・ガバナンスを向上させた事例」です。


住友商事株式会社(以下、住友商事)では、グローバルでのネットワークをオンプレミスで運用していました。

データセンター内に3つのVPNゲートウェイ(※)機器を設置し、すべてのアクセスをデータセンター経由としていました。

そうした中で、以下の課題に直面しました。

※VPNゲートウェイ:社内LANとインターネットの境界に設置され、通信するデータの暗号化と復号化を行うもの

課題
  • VPNのゲートウェイの数に制限があるため、接続先のシステムの設置場所によっては通信経路が遠回りになり、レスポンスが遅いといった問題が発生

  • VPNで発生した脆弱性対応としてのパッチ適用も自分たちで実施する必要がある
    →グローバルで迅速に対応するのには限界がある
  • 新型コロナウイルスの蔓延でリモートワークが必要となった

そこで住友商事では以下の取り組みを行いました。

取り組み
  • SASEソリューションの導入

その結果、以下の成果を得ることができました。

成果
  • SASEによってこれまで使用していた複数の機器を削除し、まとめて一元管理を実現
    →運用担当者の負荷を軽減できた

  • 全通信の暗号化とユーザー及びデバイス認証の強化が実現できた

  • ゼロトラスト・ネットワークを実現する基盤を整えられた

  • 作業効率が上がった(手動でのVPN切り替えが不要になり、PC起動と同時に自動接続)

  • ポリシーをクラウドの管理画面で集中して一元管理できるようになり、ガバナンスを徹底できるようになった

  • 社員の8割以上がSASE導入に対して「満足している」と回答

こうしてSASEを導入したことによって、住友商事では設定ミスや管理の抜け漏れをなくしたり、不正アクセスの防止を強化したりできるようになり、セキュリティリスクを低減させることができました。

※VPNゲートウェイ:社内LANとインターネットの境界に設置され、通信するデータの暗号化と復号化を行うもの

4-3.新たな働き方を実現させた事例/岩瀬コスファ株式会社

3つめの事例は「新たな働き方を実現させた事例」です。


この事例は、2022年8月からSASEへの移行をしはじめ、2022年11月には完了した事例です。


岩瀬コスファ株式会社(以下、岩瀬コスファ)は、「美と健康」をコンセプトに、化粧品原料の研究・開発や素材の提案、機能性食品・サプリメントの取り扱いなどの事業を展開している専門商社です。

新型コロナウイルス感染症の広がりによって、従業員の働き方が大きく変わり、社内でもリモートワークが急速に普及し、Webミーティングや取引先への商品紹介をウェビナーで行うことも当たり前になってきました。

また取引先から情報セキュリティについて厳しい対応を求められたり、拠点が増えるたびに社内ネットワーク増設を重ねたりしたために、ネットワーク環境がブラックボックス化してしまっていました。


こうした状況下で岩瀬コスファでは、以下の点が課題になっていました。

課題
  • コロナ禍の働き方の変化に合わせたネットワーク、セキュリティ環境の整備
  • 取引先である国内外の有名化粧品ブランドの厳しい情報セキュリティ要件
  • 既存のネットワーク環境のブラックボックス化

そこで岩瀬コスファでは、以下の取り組みを行いました。

取り組み
  • SASEソリューションの導入
  • 各部門からのメンバー参加による本番に近い環境でのテスト
  • 国内全5拠点とパブリッククラウドサイト、モバイルユーザーへの導入

その結果、以下のような成果を得ることができました。

成果
  • リモートワークに対応したセキュアなネットワーク環境の実現
  • ユーザーの利便性向上(シンプルな接続方法)
  • 情報セキュリティのさらなる強化への基盤の構築が実現

こうして岩瀬コスファでは、オフィス外での業務でも企業のネットワークに安全に接続できるようになり、リモートワーク環境下でのセキュリティ強化を実現できました。

5.SASEによるゼロトラストセキュリティの導入に向いている企業

SASEによるゼロトラストセキュリティの導入に向いている企業

ここまでSASEのメリット・デメリットや成功事例を解説しましたが、自社にSASEを導入するべきか決めかねている方もいるのではないでしょうか。


5章ではSASEを自社に導入するべきかをしっかり判断できるよう、「SASEの導入に向いている企業」の特徴を以下4つお伝えします。

SASEによるゼロトラストセキュリティの導入に向いている企業
  • リモートワークを導入している企業
  • クラウドサービスを積極的に活用している企業
  • 運用担当者の負荷を減らしたい企業
  • 運用コストの削減を目指す企業

それぞれ詳しく見ていきましょう。

5-1.リモートワークを導入している企業

向いている企業の1つめは「リモートワークを導入している企業」です。


SASEは場所を問わず、一貫したセキュリティポリシーを適用できます。

つまり、社内外問わずどのデバイスにも同じセキュリティ対策を適用できるため、社外で業務を行うリモートワーク時にも高いセキュリティ対策を実施できるのです。

たとえば、リモートワーカーのKさんを例に考えてみましょう。


従来のセキュリティ対策の中でリモートワークを行う場合、社内と同じセキュリティポリシーを適用して業務を行うことは、以下のように簡単ではありません。

【リモートワーカーKさんが従来のセキュリティ対策の中でリモートワークを行う場合】

  • Kさんは自宅からVPN(※)を使って、社内ネットワークに接続する
    →さまざまな環境からのアクセスに対して統一したセキュリティポリシーを適用するのが難しい

  • Kさんが使用する個人所有のPCには、会社の完全なセキュリティ対策が適用されていない
    →個人所有デバイスにはセキュリティ設定やソフトウェアのバージョンが社内と統一されていない

  • 公共Wi-Fiを使用する際、Kさんは追加のセキュリティリスクにさらされる
    →セキュリティレベルの低いネットワークを使用することになってしまう

※ VPN:企業の拠点間を仮想の専用の線で結んで、セキュリティ的に安全に情報をやり取りできるようにする仕組み

一方で、リモートワーカーKさんが、SASEが導入された環境でリモートワークを行う場合、社内外問わずセキュリティポリシーを適用できます。


そのため、以下のように安全にリモートワークを実施できるでしょう。

【リモートワーカーKさんがSASE導入の中でリモートワークを行う場合】

  • Kさんは場所を問わず、最寄りのSASEクラウドポイントに接続する

  • Kさんの場所に関係なく、Kさんの持つ業務用のすべてのデバイスに対して、一貫したセキュリティポリシーが適用される

  • 公共Wi-Fiを使用する場合でも、SASEの暗号化とセキュリティ機能により保護される

  • クラウドサービスへの直接かつ安全なアクセスが可能となる

したがって、リモートワークを導入している企業は、マルウェア感染や情報漏えいといったリスクを低減させるためにも、SASEの導入がおすすめです。

5-2.クラウドサービスを積極的に活用している企業

向いている企業の2つめは「クラウドサービスを積極的に活用している企業」です。

SASEは社内外問わず、すべてのアクセスに対して「脅威かもしれない」と疑い、検証を行います。

そのため、企業の重要なデータをクラウドサービスに置き、「社内」と「社外」の境界が曖昧な状況になっていたとしても、高いセキュリティ対策を施せるのです。


具体的には、

社内からのアクセスであっても、

  • ユーザー認証
  • デバイス状態
  • アクセスパターン


などを詳細に分析し、不審な動きがあれば即座にブロックする

といったように、クラウドサービスへのアクセスに対して、高いセキュリティ対策を行えるのです。

したがって、クラウドサービスを積極的に活用している企業はSASEの導入がおすすめといえるでしょう。

5-3.運用担当者の負荷を減らしたい企業

向いている企業の3つめは「運用担当者の負荷を減らしたい企業」です。


先にもお伝えしましたが、SASEは従来のセキュリティ対策と比較すると、以下のように運用担当者の負荷を削減できます。

SASEができる運用担当者の負荷削減

【従来】

複数のセキュリティ製品やサービスを個別に管理し、それぞれの製品やサービスごとに管理し、設定を行う

【SASE】

ネットワーク機能とセキュリティ機能が統合された1つのプラットフォームで管理・設定できる

【従来】

各セキュリティ製品やサービスごとに個別のポリシー設定が必要

【SASE】

一度の設定で全機能に適用ができる

【従来】

各機器やソフトウェアの個別更新が必要

【SASE】

クラウドベースのサービスのため、自動的に更新

【従来】

各製品やサービスごとにログ取得や分析が必要

【SASE】

1つのダッシュボードで全体の状況を把握可能

このように、SASEの導入によって各製品やサービス、機器に対しての個別対応が不要になるため、運用担当者の負荷を大幅に削減できるのです。


現在、セキュリティ運用だけで業務が圧迫されてしまっているという企業は、SASEの導入にむいているといえるでしょう。

5-4.運用コストの削減を目指す企業

4つめは「運用コストの削減を目指す企業」です。


先述のように、SASEの導入によって、以下のように従来のセキュリティ対策から運用コストを削減できます。

SASEができる運用コストの削減

【従来】

複数のセキュリティ機器やネットワーク機器の購入・更新費用が必要

【SASE】

クラウドベースのサービスのため、ハードウェア購入が不要になり、その分のコストを削減

【従来】

複数のセキュリティソフトウェアライセンスや各機器の保守契約の費用が必要

【SASE】

1つのサブスクリプションに対してのみ月額費用もしくは年間費用を支払うのみ

【従来】

ネットワーク用の専用線を引く費用が必要

【SASE】

既存のインターネット回線を活用でき、専用線の費用が不要になる

セキュリティに関する機器やサービスが増えれば増えるほど、その運用コストも膨れ上がってきます。


そこでSASEを導入すれば、セキュリティ機能を一元化できるため、運用コストを減らすことができるのです。


したがって、運用コストの削減を目指す企業にはSASEの導入がおすすめといえるでしょう。

6.SASEの導入によってゼロトラストセキュリティを成功させるための3つのポイント

SASEの導入によってゼロトラストセキュリティを成功させるための3つのポイント

ここまでの情報でSASEの導入をすると判断した場合、どうすればうまく導入に成功できるのか気になるところです。


6章では、SASEの導入によってゼロトラストセキュリティを成功させるためのポイントを以下4つご紹介します。

SASEの導入によってゼロトラストセキュリティを成功させるための3つのポイント
  • 情報資産を洗い出す
  • 既存の環境からの移行計画を立てる
  • SASEの導入が難しい場合は、スモールスタートする

6-1.情報資産を洗い出す

1つめのポイントは「情報資産を洗い出す」ことです。


SASEは、企業の全ての情報資産に対するセキュリティを提供します。

そのため、どの情報資産が重要であるかの優先順位を把握しておくことが重要です。


具体的には、どのデータが最も機密性が高く、どのアプリケーションがビジネスに不可欠かを特定しましょう。

そうすることで、SASEのセキュリティ機能を適切なものに適用し、リスクを最小限に抑えられるのです。


以下を参考にして、まずは情報資産を洗い出してみましょう。

【情報の洗い出しをするためにやること】

◆情報資産のリスト作成

  • 企業内のすべての情報資産(データ、アプリケーション、システム、ユーザーなど)をリストアップする
  • 機密データ、財務情報、顧客データ、社内のアプリケーションやサービスなども含まれる


◆重要度と優先順位の設定

  • リストアップした情報資産に対して、それぞれの重要度や機密性を評価し、ランク付けする
  • 特に保護が必要な資産や、ビジネスにとって不可欠なシステムに優先順位をつけます。


◆リスク評価

  • 各情報資産がどのようなセキュリティリスクに晒されているかを評価します
  • たとえば外部からの不正アクセス、内部のデータ漏えい、ランサムウェア攻撃などのリスク


◆保護要件の定義

  • 重要な情報資産ごとに、どのようなセキュリティ対策(暗号化、アクセス制御、監視など)が必要かを明確にする
  • SASEの導入時にどの資産にどのセキュリティ機能を適用するかが判断できる

6-2.既存の環境からの移行計画を立てる

2つめのポイントは「既存の環境からの移行計画を立てる」ことです。


SASEは、既存のネットワークやセキュリティインフラと統合されます。

そのため、既存の環境からのスムーズな移行が重要となり、計画をしっかり立てる必要があります。


下記ポイントを参考にして、移行計画を立てましょう。

【移行計画で決めること】

◆移行に伴う影響を最小限に抑えるための移行計画を作成する

  • 段階的な移行
  • 業務に支障をきたさない移行スケジュールの設定
  • テスト環境での事前検証の日程


を決定する

6-3.SASEの導入が難しい場合は、スモールスタートする

3つめのポイントは「SASEの導入が難しい場合は、スモールスタートする」ことです。


ここまでの情報から、ゼロトラストセキュリティの導入に前向きではあるものの、自社に取り入れるにはそれなりにハードルを感じているケースもあるでしょう。


たしかに、ゼロトラストセキュリティとしてSASEを導入するのは、かなり大がかりな作業となることが多いです。


しかし、実はゼロトラストセキュリティの導入が難しい場合の対応として、以下のように部分的にセキュリティを行う(スモールスタートさせる)方法があります。

【SASEをスモールスタートさせる方法】

◆部分的な導入から開始する

  • SASEのすべての機能を一度に導入するのではなく、最も優先度の高い機能(たとえば、ネットワークセキュリティやクラウドセキュリティ)から導入を始める
  • 段階的にSASEのメリットを享受しつつ、リソースを最適化できる


◆特定の部門や拠点で導入を試みる

  • まずは一部の部門や拠点でSASEを試験的に導入し、その効果や問題点を確認する
  • このプロセスを通じて、全社的に導入する際の課題を事前に把握し、解決策を講じられる


◆段階的な投資でリスクを軽減する

  • SASEの全機能を導入するには大きなコストがかかるため、スモールスタートで初期投資を抑えながら、効果を確認しつつ段階的に拡大していくことで、投資リスクを低減できる

ゼロトラストセキュリティとしてSASEの導入をスモールスタートさせてみたい場合は、セキュリティサービスを提供している企業へ相談し、ミニマムで導入させる計画のサポートをしてもらいましょう。

7.ゼロトラストセキュリティをスモールスタートさせる場合はクエストへご相談ください

ゼロトラストセキュリティをスモールスタートさせる場合はクエストへご相談ください

ゼロトラストセキュリティをスモールスタートさせたいとお考えの場合は、クエストにご相談ください。


クエストはゼロトラストセキュリティを導入する際、以下のようにクラウドセキュリティ、エンドポイントセキュリティ、運用監視、多要素認証などのセキュリティサービスを提供しています。

クエストのゼロトラストセキュリティサービスはこちら。

もちろんこれらのサービスはいきなり全て導入する必要はなく、部分的にスモールスタートさせることも可能です。

【クエストのゼロトラストセキュリティサービス(一例をご紹介)】


◆エンドポイントセキュリティ

クエストのエンドポイントセキュリティサービスは、個々のデバイスのセキュリティを強化します。マルウェア対策や不正アクセス対策、デバイスの遠隔管理などが含まれます。


◆運用監視(SOC)

クエストの運用監視サービスは、セキュリティ運用を効率化します。

24時間365日の監視体制で、異常が検出された場合には迅速な対応が行われ、リスクを最小限に抑えます。

※次世代型ファイアウォールの運用監視として、主にPalo Alto Networks PAシリーズやFortinet FortiGateの運用監視に対応しています。

ゼロトラストセキュリティをまずはスモールスタートさせたいとお考えの場合は、ぜひ一度、クエストへご相談ください。

8.まとめ

この記事では、ゼロトラストとSASEの違いやSASEのメリット・デメリット、導入に向いている企業をご紹介しました。

※ゼロトラストとSASEの概念や関係についての見解は、情報源によって異なる表現が使われることがあります。

◆ゼロトラストとSASEの違い

ゼロトラスト 【上位概念】セキュリティ対策の考え方
SASE 【下位概念】セキュリティ対策を実施するための具体的な方法

 

◆SASEによるゼロトラストセキュリティを取り入れるメリット

  • 運用担当者の負荷を削減できる
  • 運用コストを削減できる
  • 生産性、業務効率を向上できる
  • リモートワーク時のセキュリティを強化できる

◆SASEによるゼロトラストセキュリティを取り入れるデメリット

  • ネットワーク障害に弱い傾向にある
  • 導入までにコスト、時間がかかる

◆SASEによるゼロトラストセキュリティの導入に向いている企業

  • リモートワークを導入している企業
  • クラウドサービスを積極的に活用している企業
  • モバイルデバイスの業務利用を推進している企業
  • 運用担当者の負荷を減らしたい企業
  • 運用コストの削減を目指す企業

◆SASEの導入によってゼロトラストセキュリティを成功させるための3つのポイント

  • 情報資産を洗い出す
  • 既存の環境からの移行計画を立てる
  • SASEの導入が難しい場合は、スモールスタートする

最後に、クエストではEDRの導入支援に加え、複雑化する運用についてもサポートをしております。また、クエストではEDRだけに留まらず、包括的なセキュリティ対策を支援しておりますので、セキュリティでお困りのお客様は是非当社にご相談ください。