Security Service Edge(SSE)とは? SSEが求められている理由から導入のメリットまで解説
Security Service Edge(SSE)とは?
2021年にGartner社によって提唱された、デジタルトランスフォーメーションやクラウドシフトなどを促進するためのクラウドセキュリティソリューションの概念であり、Secure Access Service Edge(SASE)のセキュリティを担うコンポーネントです。
SSEが求められる理由
デジタルトランスフォーメーション推進によるクラウドサービスの利用、どこからでも仕事ができるテレワークの採用、近年のサイバー攻撃の増加に比例して、企業が抱えるセキュリティ課題も増加しています。SSEソリューションはWeb、クラウドサービス、プライベートアプリケーションへのアクセスをクラウドベースで保護するため、企業の以下のようなセキュリティ課題に対して対策をとることができます。
【企業が抱えるセキュリティ課題】
外部からの脅威
フィッシングサイト等外部からのマルウェア感染
シャドーITの増加
企業が把握していないクラウドへのアクセス
クラウドサービス利用による情報漏洩
機密データへのアクセス、他者への不適切な共有
SSEの各コンポーネント
SSEが備えている技術的な各コンポーネントを紹介します。
Secure Web Gateway(SWG)
端末とWebサイト間にプロキシ機能を提供し、ユーザが開始した Web/インターネットトラフィックを検査し、フィルタリングやアンチマルウェアにより悪意のある通信を遮断できます。URL/カテゴリフィルタリングやWebベースのアプリケーション制御などが含まれています。
Cloud Access Security Broker(CASB)
ユーザのクラウドサービス利用状況の可視化、コンプライアンス、データセキュリティ、脅威防御の機能を提供します。「誰が」、「いつ」、「どのようなクラウドサービスを」、「どのくらい」利用しているか可視化し、リスクを把握することができます。また適切なクラウドサービス利用のきめ細かな制御や機密データの漏洩阻止が可能です。
Zero Trust Network Access(ZTNA)
ネットワークの内部と外部を区別せず、すべて信用しないゼロトラストの考え方を基に企業アプリケーションのアクセスを保護します。企業アプリケーションにID/コンテキストベースのアクセス制御を実現します。外部からみたアプリケーションの攻撃対象領域を最小化します。
Remote Browser Isolation(RBI)
ユーザからWebサイトへアクセスする際に分離された環境でコンテンツをレンダリングし、端末にはレンダリング後の情報を提供する仕組みです。
これによりWebサイト側に悪意のあるスクリプトやマルウェアが潜んでいても、スクリプト実行およびダウンロードしたマルウェアを排除するため、ユーザを保護することができます。
Firewall as a Service(FWaaS)
悪意あるネットワークトラフィックをフィルタリングするファイアウォール機能をクラウドサービスとして実装・提供するクラウド型ファイアウォールです。FWaaSはクラウドサービスとして提供されるため、サービス提供者がアップデートやメンテナンスを行います。
あらゆる場所や端末からの通信に対して同じセキュリティポリシーに基づいてアクセス制御できます。
Data Loss Prevention(DLP)
企業が保有する機密データや重要データの外部漏洩を防ぐことができます。ファイル、電子メール、データストアなどのオブジェクトに含まれるコンテンツや操作のコンテキストを基に検査し、データ制御や操作制御ができます。
DLPでは以下の技術を利用して検知することが可能です。
検知技術 |
概要 |
|---|---|
Optical Character Recognition(OCR) |
画像文書をテキストとして抽出して検知 |
Indexed Document Matching (IDM) |
文書ファイルの非構造化データをデータフィンガープリントとして作成し、ファイルに含まれる内容や派生文書などを検知 |
Described Content |
ファイル情報(ファイル種別、ファイル名など)やクレジットカード番号、キーワードを含む文書ファイルを検知 |
Exact Data Matching(EDM) |
データベース等の構造化されたデータをフィンガープリントとして作成し、データベースに含まれる行もしくは行の部分一致として検知 |
SSE導入によるメリット
SSEソリューションを導入することで以下のようなメリットを得ることができます。
セキュリティポリシーの統一
SSEは、あらゆるユーザ・場所・デバイスからのアクセスに対して一貫したセキュリティポリシーを適用し、統一することができます。社内PCと社外PCのセキュリティ基準を統一することができ、同一セキュリティポリシーでクラウドサービス利用やWebアクセスに関するリスクを低減します。
セキュリティ管理・運用コストの低減
SSEはシングルプラットフォームでセキュリティポリシーやクラウドサービス利用状況、インシデント情報を集約管理することができます。アプリケーションやサービス毎にセキュリティ製品を利用する必要はありません。セキュリティ管理者は一元化された情報からユーザの行動を追跡・監視でき、セキュリティオペレーションをスムーズに実施することができます。
ゼロトラストアクセス
ゼロトラストは「すべての通信を信頼しない」考えのことです。従来は境界型ネットワークで内部ネットワークは信頼し、外部ネットワークは信頼できないという考えで、境界線としてネットワークセキュリティ対策を講じるものでした。
SSEでは端末のネットワーク境界に関係なく、ID/コンテキストベースにプライベートアプリに対するアクセスを制御するため、ゼロトラストアクセスを実現できます。
以下のような課題例に対してSSEソリューションを導入することでSSEメリットを享受することができます。
課題 |
SSEコンポーネント |
|---|---|
社外PC端末が直接インターネットへアクセスしており、マルウェア感染のリスクがある。 |
SWG, RBI |
社内と社外のネットワークに於いて同一のセキュリティポリシーを担保できない。 |
SWG, FWaaS |
従業員がアクセスしている(あるいはアクセス申請をしてきた)SaaSが安全なのか判断できない。 |
CASB |
社外から社内システムにアクセスするためのVPNデバイスの管理工数を軽減したい。またVPNデバイス脆弱性に対する攻撃を受ける恐れがある。 |
ZTNA |
SaaSが外部の攻撃者によって不正アクセスされて機密データが漏洩する事態を防ぎたい。 |
CASB,DLP |
おわりに
企業はクラウドサービスの活用やテレワーク採用などのビジネス変革や環境変化に応じて、さらにセキュリティ対策が必要となりました。SSE導入はそういった様々な変化で浮き彫りとなったセキュリティ課題対策や潜在的な脅威の防御として、大きな貢献をもたらしてくれるでしょう。ぜひSSEの導入をご検討ください。
