Security Service Edge - SSE

Security Service Edge (SSE): 簡単な概要

SASEの安全要素で、インターネット、SaaSアプリ、社内アプリへの接続を守る仕組みを、Gartnerが2021年のクラウドセキュリティハイプサイクルで定義したSSEと呼ぶ。

SSEは、クラウド経由で提供される複数のセキュリティサービスの集合体で、正当な利用者と企業資源との間の安全なアクセスを実現します。ゼロトラスト、クラウド型ファイアウォール、SWGなど、先進のセキュリティ機能を備えており、柔軟な働き方の普及により、どこからでもどのデバイスでも、企業アプリやクラウド上の重要データへ即時にアクセス可能となりました。

‍

歴史と進化

SSEは2021年にGartnerによって初めて提示され、今後の防御接続のあり方を示しました。ハイブリッド勤務の拡大、M365、Salesforce、BoxなどのSaaSアプリの採用、社内アプリのパブリッククラウド移行を背景に、IT経営層はユーザートラフィックを一律に企業システムへ集約するのは不適切と判断するようになりました。

データをより適切に守り、ユーザー体験を向上させ、経費削減を目指すため、多くのIT経営層が従来のVPNゲートウェイ、ファイアウォール、ウェブゲートウェイなどの最新ネットワークセキュリティ機器の導入を検討しています。

旧来のネットワークセキュリティ手法に代わるものとして、SSEプラットフォームが登場しました。クラウドコンピューティングは、複雑なネットワーク分離や企業内ネットワークの直接接続、アプリやIT構成の公開を必要とせず、指定場所から安全なアクセスを可能にします。

さらに、SSEシステムはIT部門に、どこからでも重要なアプリへ守られたアクセス、保護されたインターネット接続、そして企業のSaaSアプリへの迅速な接続を提供する手段を与えます。

DEM（デジタルエクスペリエンス管理）を統合したSSEサービスは、ネットワーク管理者がアプリ、デバイス、ネットワークの動作状況を把握する負担を軽減し、ユーザー利便性の向上にも寄与します.

主要SSEサービス

SSEは、4つの主要なセキュリティ機能から構成されます:

• CASB

Cloud Access Security Broker（CASB）は、クラウドアプリに保存される機密データ、特にクラウド間のアクセスを把握・分析し、認証アルゴリズムやSSOなどの規制事項に対応します。

企業のITやセキュリティ方針で認められていないクラウドサービスの利用を防ぐことで、不要なIT利用を抑え、コンプライアンスやセキュリティリスクの低減に繋げます。

• ZTNA

ZTNAは、原則として誰にも全権が与えられていないという前提で運用されます。VPNがユーザーに企業ネットワークへの広範なアクセス権を与えるのに対し、ZTNAは信頼できる仲介者を通じ、特定のアプリまたはマイクロセグメントのみへのアクセスに制限します。

• Secure Web Gateway

SWG、すなわちセキュアウェブゲートウェイは、企業の利用規定を適用するとともに、オンライン上のリスクから利用者を守ります。利用者は主要サイトへの接続ではなくSWG経由でアクセスし、SWGは以下の機能を提供します:

• ウェブ上の可視性
• URLのチェック
• ウェブアクセスの制限
• 有害コンテンツの評価

企業VPNに接続していない場合でも安全なインターネット利用を実現するため、SWGはSSEアーキテクチャの重要な要素です。また、SWGを活用することで、

• 利用規定に基づき不適切なサイトやコンテンツへのアクセス制限が可能となり、
• 独自のセキュリティ方針の実施によりウェブアクセスの安全性が向上し、
• 不正なデータ送信の防止に寄与します。

• Remote Browser Isolation

RBI（リモートブラウザアイソレーション）は、強力なウェブ脅威対策手法で、ウェブ閲覧を安全なクラウド環境内に封じ込めます。これにより、ソフトウェアの脆弱性が利用者のデバイスに触れることを防ぎ、潜在的なスパイウェアや悪意あるコードから守ります.

• Firewall as a Service

クラウド型セキュリティ技術であるFWaaSは、オンライン上の情報やアプリを守ります。地域データセンター、クラウドプラットフォーム、支店、モバイルユーザーなど、複数の起点からのトラフィックを統合しつつ、全ネットワークの透明性と管理を提供し、一貫したセキュリティ対策を施します。

• Data Loss Prevention

DLPは、ネットワーク上で保存、使用、移動されるデータを、一般にドキュメントなどの単位でポリシーに基づいて分類できるようにします。企業の方針に沿い、重要データを確実に守り、社外への不必要な流出を制限するために利用されます。

なぜSSEが必要か

SSEが必要な理由は、以下の通りです:

1. ‍透明性と制御

ZTNA 2.0は、ネットワークレベルではなくアプリ単位のアクセスにより脆弱性を低減し、利用者の閲覧状況に対する透明性と制御を実現します。ZTNA 2.0は、

• 必要最小限のアクセス権
• 継続的な信頼評価
• 継続的な安全監視
• すべての情報の保護
• すべてのアプリの暗号化

2. ‍より高い安全性

CASBは、分析と分類を通じ、ランサムウェアによる被害が発生する前に対策を講じ、利用者とアプリを守ります。連携したCASBは、SaaS普及に対応する効果的なSSE戦略の重要な構成要素です。

3. ‍SSEはプライベートな仮想アクセスを提供する

ハイブリッド勤務が標準となる中、企業はリモート従業員を守り、どこからでも速やかにログインできる環境を整える必要があります。SSEは、どの利用者も完全には信頼できないという前提の下、ゼロトラスト機能を提供します。

認証により、各利用者は自社内での役割に応じたシステムの一部やクラウドアプリのみアクセスでき、重要な企業情報の取得や利用が制限されます。

‍

SASEとSSEの違い

クラウドへの迅速かつ安全な移行を実現するため、Gartnerは2019年にReliable Access Service Edge、すなわちSASEを提案しました。セキュリティとネットワーク技術を統合したクラウド指向のプラットフォームです。

Gartnerによれば、SASEの機能は、個人認証、環境の即時状況、企業の保護規定、さらに接続時の継続的なリスク評価に基づいてサービスとして提供されます。個人、役割、機器、アプリ、IoTシステム、エッジコンピューティング拠点など、それぞれに識別情報が付与されます。

‍

SSEのすべての利点

• 重要なビジネス目標の実現

SSEプラットフォームは、従業員のハイブリッド勤務促進、企業の機密情報と事業エコシステムの安全な統合、クラウド移行の合理化、M&A時のIT統合の迅速化などの目標実現を容易にします.

• 利用者に優れた体験を提供する

クラウド環境を通じ、セキュリティ対策を利用者のエリアやデバイスまで拡張することで、アクセス制御の範囲が広がり、遅延が軽減されます。エージェントの有無にかかわらず、職場と自宅を行き来する際もスムーズなアクセスが実現されます.

• さらなるセキュリティ対策の実施

検査型SSEプログラムは、送信元・宛先のIP情報以上の詳細なデータを提供し、潜在的な攻撃への迅速な対応を可能にします.

‍

SSEが解決する主な課題

• セキュリティ規定の管理と運用の簡素化

企業は、クラウドサービスプロバイダや社内環境でバラバラなセキュリティ手法を組み合わせて利用しているため、管理が煩雑になります。SSEは、その複雑さと費用を低減し、社内、インターネット、およびリモート環境全体でガイドラインの導入を容易にします.

• SaaSアプリへのアクセスと管理の実現

クラウド環境でアクセス・保存されるデータは、企業が守り、クラウド由来の脅威を遮断するために、可視化・管理される必要があります。SSEのCASB機能は、許可されたサービスと非許可のクラウドサービス双方に対し、正確なアクセス制御を実施することで、多様な運用に対応します.

SSEの導入

SSE導入にあたって、以下の3点に留意してください:

• 段階的なSSE移行を計画する
• 方針施行前の十分な分析を行う
• SSEに含める要素を選定する

‍

適切なSSEソリューション選びのポイント

• ポリシー管理が容易なプロバイダを選ぶ

多くのSSE供給者は、追加契約でSSE機能を提供していますが、その場合、完全な統合には長い時間がかかり、IT管理者にとってポリシー上の課題が生じることがあります。統合されたSSEソリューションは、同じクラウド環境で運用されるため、ポリシー管理がスムーズです.

• SSEには複数の供給者の利用も検討する

特定の供給者を活用することで、複雑なリソース管理や複数のユーザーインターフェース、アーキテクチャの不整合といった問題を回避できます.

Wallarmで守る

以下は、専門家が推奨するAPIセキュリティの勧告です:

• 識別と許可の設定
• アクセス制御の実施
• リクエストと応答の暗号化
• 情報の検証
• APIの脆弱性への対策

Wallarmの先進ツールにより、上記対策を手軽に実現可能です。例えば、

• Cloud WAF

WallarmのCloud WAF解析ツールは、セキュリティアラートに対し、簡潔で分かりやすい説明を提供し、アプリの動作や特定イベントが禁止・許可される理由を明示します。これにより、セキュリティ担当者は重要な通知とそうでないものを容易に区別できます.

• API security platform

WallarmのAPIセキュリティプラットフォームは、APIの継続的な監視を実現し、脅威を遠ざけます。APIを守ることで、ハッカーの標的となるリスクを低減します。