SASEとCASBの違いとは?ゼロトラストとの関係も解説
クラウドサービスやリモートワークの利用拡大に伴い、企業に求められるセキュリティ対策は変化しています。従来のネットワークの内と外を分ける境界型セキュリティ対策は十分でなくなり、すべてのアクセスを疑うゼロトラストの概念に基づいたクラウドアクセス制御が必要です。本記事では、ゼロトラストの概念を実現するSASEとCASBの違い、機能や導入メリットについて解説します。クラウドへ安全にアクセスし、効率的に管理するセキュリティ環境の構築をご検討の際は、ぜひ参考にしてください。
ゼロトラストとSASE・CASBとの違い
SASE(Secure Access Service Edge)とは、ネットワークとセキュリティをひとつにして提供するサービスのことです。SASEは「サシー」と呼ばれています。
CASB(Cloud Access Security Broker)は、クラウド利用時のセキュリティに関する考え方のひとつで、読み方は「キャスビー」です。クラウドの利用状況を監視し、セキュリティ対策を適切に行うことが、CASBの目的とされています。
クラウド上のネットワークセキュリティを担保するSASEとCASBについて理解するには、まずゼロトラストの概念を知ることが重要です。SASEやCASBは、ゼロトラストの概念に基づいて構築されているからです。
ゼロトラストは、外部はもちろん内部アクセスさえも「すべて信頼しない」という考え方を指します。近年なぜゼロトラストが求められているか、その背景を次に解説します。
ゼロトラストが求められる背景
ゼロトラストが求められる背景として、クラウド利用やリモートワークの増加により、従来の境界型セキュリティでは高度化する攻撃に対抗できなくなった点が挙げられます。
2023年、総務省が報告した「令和4年通信利用動向調査の結果」によると、企業の7割以上がクラウドサービスを利用していて、増加傾向にあることがわかりました。
クラウドサービスの活用で場所や機器にとらわれず柔軟なワークスタイルを導入しやすくなり、リモートワークや出社と組み合わせたハイブリッドワークも増加しています。とくにコロナ禍でこのニーズが高まりました。
しかし従来のオフィス勤務を前提とした境界型防御のセキュリティ対策は、従業員からの外部アクセスを想定していませんでした。そこですべてのアクセスを信頼しない「ゼロトラスト」の考え方に基づいたセキュリティフレームワークが必要となり、SASEやCASBに注目が集まるようになったのです。
【関連記事】
▶ゼロトラストとは?仕組み、必要性について
▶ネットワーク全面刷新によるゼロトラストセキュリティの構築 ~JBCCグループは回線コスト約80% 削減にも成功~
機能の違い
SASEとCASBの違いは、次のとおりです。
- SASE
- ネットワーク機能とセキュリティ機能を統合しているフレームワーク
- CASB
- クラウド利用の可視化、コンプライアンスの遵守、データセキュリティ、脅威防御の4つのセキュリティ機能を持ち、クラウド利用者のセキュリティに特化したフレームワーク
CASBの4つの機能を以下の表で見てみましょう。
CASBの4つの機能
- 可視化
-
・クラウドの利用状況やアクセス状況などを把握する機能。ファイルのアップロードやダウンロード、外部へのデータ送信の状況などを監視できる
・悪意のあるユーザーからの社外アクセスがあった場合、不審な動きとして検知する
・情報システム部門が許可していない「シャドーIT」を検知するため、シャドーITからの情報漏えいを防止できる
- コンプライアンスの遵守
-
・クラウドサービスが自社の規約に則って利用されているかを監視する機能
・CASBであらかじめルールを設定でき、ルール違反が起こった場合にアラートで警告される
・法改正へのスムーズな対応や、企業の社会的信用の向上に役立つ機能
- データセキュリティ
-
・情報漏えいやデータ改ざんリスクを事前に検知し、防止策を自動で実行する機能
・例えば社外秘のファイルがアップロードされた場合、自動でフォルダを移動して管理者に知らせるなどの対処を実行する
・情報漏えいにまつわる人的ミスの削減に役立ち、セキュリティが強固になる
- 脅威防御
-
・マルウェアや不正アクセスなどを検知しブロックする機能。外部脅威だけでなく、内部の不審な動きも検知する
・現在、深刻化している「ランサムウェアによる被害」や「内部不正による情報漏えい」から自社データを保護できる
CASBはSASEのセキュリティ機能のひとつであり、SASEはCASBのほかに、SWG、ZTNA、SD-WANで構成されています。
CASBと、SASEが統合するほかの機能との違いを比較すると、次の表のようにまとめられます。
▼SASEが統合するネットワーク機能とセキュリティ機能▼
ネットワーク機能 | |
---|---|
SD-WAN (Software Defined-Wide Area Network) |
・各所に構築されたWAN(広域通信網)をソフトウェアで一元管理するシステム ・拠点同士をネットワークでつなぐWANの柔軟な接続や効率的な管理が実現する。また大幅なコスト削減も可能に ・回線を使い分けでき、ネットワークへの負荷も軽く、スムーズに利用できる |
セキュリティ機能 | |
---|---|
CASB (Cloud Access Security Broker) |
・4つの機能でクラウドサービスの利用を一元管理するソリューション ・不適切なクラウド利用やシャドーITの利用などを防ぎ、セキュリティを強化する |
ZTNA (Zero Trust Network Access) |
・ゼロトラストをもとにしたソリューションで、すべてのアクセスに対して認可 ・認証を行い、アクセスできるアカウントを制限する ・アプリとユーザーの間しかアクセスできないため、仮に悪意のあるユーザーが認可されてしまったとしても、ネットワーク上の情報を詐取できない・アカウントを乗っ取られた場合でも、情報資産の盗難リスクを低減できる |
SWG (Secure Web Gateway) |
・ネットワークに安全にアクセスするためのセキュリティサービス ・ユーザーとネットワークの中継点となり、接続するネットワークの安全性や外部からのアクセスをチェック。危険度の高いものをブロックする ・例えば、URLフィルタリングによる閲覧サイトの制限、サンドボックスでの安全性のチェック、シグネチャファイル(マルウェアなどの攻撃方法をまとめたもの)を活用したウイルスの排除など ・ネットワークとユーザーの安全性を事前チェックでき、マルウェアや不正アクセスによる被害リスクの低減につながる |
対象とするデータの違い
次に、SASEとCASBが対象とするデータの違いを見てみましょう。
SASEとCASBが対象とするデータ
- SASE
-
・CASBのセキュリティ機能で扱うSaaSのデータの統合管理
・IaaS上のデータの設定ミスや漏れ、不正通信、振る舞い、攻撃の予兆などの統合管理
・IDaaSにおけるクラウドアクセス時の認証や、攻撃者の侵入防止のためのシングルサインオン、多要素認証、利用状況などの統合管理
- CASB
-
・Microsoft 365、Box、Salesforce、Slackなど、SaaS型のクラウドサービスで使用されているデータ
・利用状況の可視化、アクセス制御、設定状況の監査、リスク評価などを行い、対象データを保護
SASEとは?仕組みや導入メリット
ここでは、改めてSASEの仕組みや導入メリットを解説します。
SASEは、ネットワーク機能とセキュリティ機能を統合し、高いセキュリティレベルをすべてのシステムで維持する仕組みが取られています。
従来のセキュリティシステムでは、個々のシステムにセキュリティ対策を施す必要があり、さらに通信量の増加によりネットワークの負荷が生じていました。SASEを導入し、用途に応じて接続先を選択できるようにすれば、データセンターを経由する必要がなくなりネットワーク負荷の軽減につながります。
また、ネットワーク機能とセキュリティ機能が統合されたSASEにセキュリティポリシーを適用することで、すべてのシステムにおいて同じセキュリティレベルの適用が可能です。
SASEの概要やメリットに関しては、以下の記事で詳しく解説しています。ぜひ合わせてご覧ください。
CASBとは?機能や導入メリット
CASBとは、クラウド利用時のセキュリティに関する考え方のことです。従業員によるクラウド利用を監視し、適切なセキュリティ対策を実施するために、CASBが活用されています。
具体的にはMicrosoft 365やBox、Salesforce、Slackなどの利用状況を可視化し、SaaS型のクラウドサービスで使用されているデータを保護します。情報システム部門が把握しきれない「シャドーIT」の課題解決につながり、セキュリティを強化できる点がメリットです。
CASBに関する機能やメリットなど詳細は、以下の記事で解説しています。ぜひ合わせてご覧ください。
【関連記事】CASB(キャスビー)とは?クラウド利用で知っておきたい機能やメリットなどをわかりやすく解説
JBCCによるSASEソリューション
2023年10月時点においてSASEを単一で実現するクラウドサービスはなく、複数の製品を組み合わせて利用する必要があります。導入や運用が煩雑になりやすいため、専門家と協力して実施するのもひとつの手段です。
JBCCは、パロアルトネットワークス株式会社のSASEソリューションである「Prisma Access」を活用した「マネージドサービス for SASE Plus」を提供しています。すべての通信をひとつのサービスで保護し、リモート接続端末に対してさまざまなチェックを実施できる点が特長です。
例えば、同サービスには以下の内容が含まれています。
- 監視...SASE基盤の管理モジュールを監視し、異常時に通知する保守サービス
- 障害復旧...SASE基盤の管理モジュールにおける障害発生時の支援サービス
- 設定変更...ファイアウォール、URLフィルタなどの設定変更サービス
- 定期メンテナンス...必要に応じてファームウェアなどをアップデート
ITセキュリティの専門家と連携することで、より強固なセキュリティ対策を実現できます。詳細やお問い合わせは、下記のページをご覧ください。
「マネージドサービス for SASE Plus」の詳細を見る【導入事例】ゼロトラストセキュリティを実現|新日本製薬株式会社様
新日本製薬株式会社はサイバー攻撃が高度化したことを踏まえ、顧客情報を保護するには境界型セキュリティでは不十分であると考え、ゼロトラストを実現するネットワークの構築を決意しました。
そこでアセスメントや運用までを含め、将来を見越したロードマップを提示していたJBCCによるソリューションを導入しています。具体的には、SASEの運用に「マネージドサービス for SASE Plus」を活用し、利便性とセキュリティを同時に高めることに成功しました。
事例の詳細は、下記のページから無料でダウンロードできます。ぜひご利用ください。
まとめ
本記事では、ネットワークとセキュリティを統合するサービスであるSASEと、クラウド利用を監視してセキュリティ対策を実施するCASBの違いについて解説しました。CASBはSASEの機能のひとつで、SASEやCASBの導入によりゼロトラストの概念に基づいたセキュリティ対策を実現できます。
しかしSASEを導入し、効果的な運用や管理を継続するには専門知識が必要です。JBCCの「マネージドサービス for SASE Plus」では、お客様の環境を把握したセキュリティエンジニアが運用センターと連携し、SASEの安定した運用と管理サービスを提供しています。
柔軟で安全なセキュリティ環境の構築をご検討の際は、下記ページよりサービスの詳細をぜひご覧ください。
\ クラウド導入にあたりセキュリティに課題・不安がある方へ /
まずはクラウド(IaaS)相談会へお申し込みください
企業のIT活用をトータルサービスで全国各地よりサポートします。
JBCC株式会社は、クラウド・セキュリティ・超高速開発を中心に、システムの設計から構築・運用までを一貫して手掛けるITサービス企業です。DXを最速で実現させ、変革を支援するために、技術と熱い想いで、お客様と共に挑みます。