ゼロトラスト実現のための「シングルベンダーSASE」
- 祥貴 藤村
- 10月7日
- 読了時間: 6分
更新日:23 時間前
はじめに:ゼロトラストとは
これまで多くの会社では、情報やシステムは社内に置かれていて、社外からアクセスすることはほとんどありませんでした。拠点と拠点をつなぐにはキャリアの閉域網を使い、外部との通信はファイアウォールを通して不正なアクセスをブロックする、という仕組みです。 この考え方は「社内=安全」「社外=危険」という前提に立っており、社内と社外の“境界”をしっかり守れば安心、というのが基本でした。これを「境界型防御」と呼びます。
ところが近年では、メールやファイル保存、業務アプリはクラウドサービスを使うのが当たり前になり、リモートワークや外部の協力会社とのやりとりも増えました。つまり、会社の外からアクセスする機会が急増したのです。 この結果、「社内=安全、社外=危険」という前提は通用しなくなり、境界を守るだけでは不十分になってきました。
そこで登場したのが「ゼロトラスト」という考え方です。ゼロトラストはその名の通り、「何も信じない」を前提にしています。社内か社外かに関係なく、すべてのユーザーやデバイスを毎回確認し、本当に必要なものだけに、必要な分だけアクセスを許可する仕組みです。 もしメールやVPNの脆弱性を突かれて、攻撃者が社内ネットワークに侵入してしまった場合、従来の境界型防御では「社内に入った時点で信頼されたユーザ」とみなされる仕組みのため、結果的に社内のあらゆるシステムやデータへ自由にアクセスできる状態になってしまいます。一方、ゼロトラスト型では、たとえ社内ネットワークに侵入されたとしても、各サービスや情報にアクセスするたびに再度点検を行う仕組みが働くため、不正利用を防ぎやすくなり、大切な情報資産を守れる可能性が大きく高まります。
ゼロトラストは、セキュリティの考え方のひとつです。「ゼロトラスト」という名前の製品があるわけではなく、いくつかの仕組みや機能を組み合わせて実現していくものです。攻撃者がシステムに侵入してから被害を与えるまでの流れは、大きく分けて「特定」「防御」「検知」「対応」「復旧」のステップがあります。
(出典) 独立行政法人 情報処理推進機構 「ゼロトラスト導入指南書」
ゼロトラストセキュリティをもとに、これまでの境界型防御に代わる、新たなネットワーク・セキュリティの仕組みがSASE(Secure Service Edge、サッシー)です。SASEは、ネットワークとセキュリティをクラウド上で一体化して提供する仕組みで、場所を問わず安全な通信を実現します。
ここでは現在の境界型ネットワークに代わる”SASE”の選定のポイントをお伝えします。
ゼロトラストを選定するときのポイント
ポイント①:セキュリティの機能は十分?それとも、機能過多?
SASEといっても、様々なソリューションが存在しています。提供される機能や提供される形式も異なります。
自社の業務にあったセキュリティ機能が提供されるか、また必要以上に機能があってコストが高くなってしまわないかを確認することがポイントです。
ポイント②:どこにいても快適に業務ができるか
SASEは各エリアごとに接続ポイント(PoP/Point of Presence)を配置しており、利用者はPoPを介して、拠点間通信やリモート接続、インターネットアクセスなどの通信を実現します。例えば、普段の業務で東京にいれば東京POPへ接続され、米国出張時にはロサンゼルスPOPに接続され、最適な経路で通信できる仕組みとなっています。
SASE製品ごとにPoPの配置や性能は異なります。どの地域に、どのくらいの数があり、どれほどの品質を持つかによって、実際の通信速度や安定性が大きく左右されます。
また、PoPごとに利用できるセキュリティ機能が異なる場合もあるため事前の確認が必要です。
ポイント③:導入/移行がスムーズに可能であるか
SASEはクラウド経由でネットワークとセキュリティを統合できるため、従来の機器導入に比べて初期構築がシンプルです。ただし、既存システムとの統合のしやすさや、ポリシー管理の一元化、各拠点への展開のしやすさなど、導入の手間は大きく変わります。スムーズに活用を始められるかどうかは、SASEを選定する上で欠かせないポイントです。
ポイント④:運用負荷が軽減できるか
SASEを導入しても、日々の運用が複雑になれば効果を十分に発揮できません。ネットワーク制御やセキュリティポリシーの管理が一元化されているか、設定や変更が直感的に行えるかといった点は、運用負荷を左右する大事な要素です。運用が簡単であることは、長期的に安定して活用していくための重要な選定ポイントといえます。
ゼロトラストなら真のシングルベンダー「Cato SASEクラウド」
解決①:必要なセキュリティはオプション選択、無駄のないコスト設計
Cato SASEクラウドでは、すべて同一ベンダーで作られたプラットフォームです。
拠点間アクセスの”SD-WAN”、リモートアクセスの”ZTNA”、次世代型のファイアウォール(NGFW)、URLフィルタリングなどの”SWG”、暗号化通信の復号機能の”TLS Inspection”などを基本機能として提供しております。そのほかのセキュリティ機能はオプションとして追加できるため、お客様のシステム環境や利用状況に応じて、ご選択いただけます。たとえば、既存のセキュリティ機器の契約期間を考慮しながら段階的に導入する、クラウド利用の拡大に合わせて機能を追加するなど、要件に柔軟に対応が可能です。
解決②:オフィス/テレワーク/出張、どこにいても快適な通信
Cato SASEクラウドは、世界164か所(2025年10月現在)に接続ポイント(PoP)を持っており、接続ポイントをまたがるように世界中に自社専用の通信網を持っています。これにより、利用者は出張先や海外拠点からでも常に最寄りのPoPへ接続され、高速かつ安定した通信を実現できます。さらに、セキュリティ機能もPoP上で統合的に提供されるため、どの拠点でもリモートでも、場所を問わず、同じ品質のセキュリティを享受できます。お客様からよく伺う課題のひとつに、中国の「グレートファイアウォール」によるアクセス制限や通信不安定があります。また、中国国内へ接続するために国際閉域網を利用すると高額なコストがかかる点も大きな悩みです。Cato SASEクラウドは中国国内にもPoPを展開しており、こうした国ごとの通信課題やコスト負担を解消する手段として多くのお客様に選ばれています。
解決③:簡単な拠点展開!拠点の統廃合も容易
Cato SASEクラウドでは、専用機器”Socket”を設置してインターネットにつなぐだけで、すぐにクラウド上のネットワークとセキュリティ機能を利用できます。複雑な機器の設定や現地での大規模工事は不要で、新拠点の追加も1~数日単位で展開可能です。さらに、拠点の統廃合時にもシンプルな設定変更だけで対応できるため、組織の変化に柔軟に追従できるのが大きな特徴です。
解決④:管理画面ひとつで完結、運用負荷を最小限に
Cato SASEクラウドでは、専用機器”Socket”を設置してインターネットにつなぐだけで、すぐにクラウド上のネットワークとセキュリティ機能を利用できます。複雑な機器の設定や現地での大規模工事は不要で、新拠点の追加も1~数日単位で展開可能です。さらに、拠点の統廃合時にもシンプルな設定変更だけで対応できるため、組織の変化に柔軟に追従できるのが大きな特徴です。
まとめ
現在、ゼロトラストを実現するための手段としてSASEが注目をされていますが、SASE製品も様々存在します。
ゼロトラストの実現には、機能やコスト面だけではなく、”お客様ごとのシステム環境・方針との親和性”、”導入や展開のしやすさ”、”運用・管理のしやすさ”などを加味した中長期的な観点で評価することが成功のポイントとなります。
真のSASEプラットフォーム”Cato SASEクラウド”に精通した経験をもとに、お客様の状況に寄り添いながらゼロトラスト実現のため、一緒に検討いたします。ぜひお気軽にお問い合わせください。
