SSE (Security Service Edge) とは

SSE の仕組み

SSE ソリューションは、Web、クラウド・サービス、プライベート・アプリケーションへのリモート・アクセスを保護します。

従来、企業は、アプリケーションをデータセンターで一元的にホストし、ファイアウォールや IDS/IPS といったさまざまなセキュリティ調査を円滑にしてきました。アプリケーションがクラウドへと移行し、リモートワーク・イニシアチブが展開されている中で、企業は、従来のセキュリティ境界を超えて分散型環境で稼働するアプリケーションを外部脅威から保護することに苦心しています。旧型のネットワーク・インフラストラクチャでは、IT 部門はユーザーと SaaS アプリケーションの間のすべての接続を監視することはできません。また、クラウドに向かうトラフィックをセキュリティ調査のためにデータセンターに転送することは、アプリケーション・パフォーマンスとユーザー・エクスペリエンスに大きく悪影響を及ぼします。

SSE (Security Service Edge) は、ユーザーやデバイスを含むエンドポイントの近くで高度なセキュリティ調査を実行できる、クラウド配信型サービスです。ユーザーが接続する場所にかかわらず、脅威保護、データ・セキュリティ、セキュリティ監視、アクセス制御を提供する動的なセキュリティ境界を構築します。

SSE のコンポーネント

SSE (Security Service Edge) には 4 つの主要セキュリティ・コンポーネントが含まれます。

• ZTNA
  ZTNA は、信用できることが証明されている場合を除いて、何かにアクセスしようとするいかなるユーザーもデフォルトでは信用しないモデルです。企業のネットワークへの広範なアクセスを接続ユーザーに提供する VPN とは異なり、ZTNA は、トラスト・ブローカー経由でユーザー・アクセスを特定のアプリケーションのみ、またはそのユーザーに対し承認されたマイクロセグメントに制限します。
• CASB
  CASB は、クラウド・ツー・クラウドのアクセスを含む、クラウド・アプリケーションにおいて機密データを識別・検出し、認証やシングル・サインオン (SSO) といったセキュリティ・ポリシーを適用します。これは、組織の IT 部門やセキュリティ・ポリシーにより承認されていないクラウド・アプリケーションの登録や使用を防止します。これにより、セキュリティやコンプライアンスの問題の要因となるシャドー IT を減らすことができます。
• SWG
  SWG は、さまざまな防御技術を使用して Web ベースの脅威から組織を保護します。ユーザーと Web サイトの間に存在するため、ユーザーは、URL フィルタリング、悪意のあるコード検出、Web アクセス制御などのさまざまなセキュリティ調査を実行した後、トラフィックを Web サイトにリダイレクトする SWG ソリューションに接続することができます。
• FWaaS
  FWaaS は、さまざまなソースからのトラフィックを分析する、クラウドベースのファイアウォールです。FWaaS は、企業の本社、リモート・ブランチ・オフィス、モバイル・ユーザーなど、組織が運営するさまざまな拠点からのトラフィックを統合します。FWaaS は多くの場合、IDS/IPS、高度な脅威防止、URL フィルタリング、DNS セキュリティなどの重要なアクセス制御をサポートしています。
• 上記の主要機能に加えて、DLP (Data Loss Prevention、情報漏えい防止)、RBI (Remote Browser Isolation、リモート・ブラウザ分離)、サンドボックスといった、その他のセキュリティ・サービスも用意されています。

SSE と SASE の違い

2019 年、Gartner は、「SASE (Secure Access Service Edge)」という用語を提唱しました。これは、SD-WAN 機能とクラウド配信型セキュリティ・サービスを組み合わせたものです。ネットワーキングとセキュリティは、密接に相互に関連するものであるとはいえ、2 つの異なる、非常に複雑な専門分野であることに変わりはありません。セキュリティは、変化し続けるサイバーセキュリティ・リスクに対する保護を確保するために急速に進化しており、WAN は、高速かつ堅牢で柔軟な接続を提供します。また、一般的にセキュリティとネットワーキングは異なるチームにより管理されています。

2022 年初頭、Gartner は、SASE のクラウド配信型セキュリティ・コンポーネントの新しいカテゴリとして、SSE Magic Quadrant を発表しました。SSE は、SASE のセキュリティ・ビジョンを実現するセキュリティ・サービスのセットとして定義され、SD-WAN は、SASE の WAN エッジ・ネットワーキング機能要件として定義されます。

つまり、SASE = SD-WAN + SSE

SSE を考慮すべき理由

• SSE はセキュアなリモート・アクセスを提供
  ハイブリッド・ワーキングがニューノーマルになっている状況下において企業は、どこからでも接続できるようリモート・ワーカーを保護する必要があります。SSE は、デフォルトでユーザーを信用しないゼロトラスト機能を提供します。識別に基づいて、ユーザーはネットワークの特定の部分にアクセスすることができ、組織における役割に関連したクラウド・アプリケーションのみが表示されるため、ユーザーが企業の機密データにアクセスしたり、悪用したりするのを防ぎます。
• SSE は外部脅威からクラウドファーストの組織を保護
  デジタル化の加速に伴い、サイバー犯罪も同じく成長しています。ほとんどのアプリケーションがクラウドへと移行している中で、組織は、デジタル・アセットを保護するための効果的な方法を見つける必要があります。SSE は、ファイアウォール機能を提供し、URL フィルタリングや悪意のあるコード検出といった、さまざまな機能を使用して Web ベースの脅威から組織を保護します。その CASB 機能により、セキュリティ・ポリシーを適用することにより、クラウドでホストされている機密データを保護します。RBI (Remote Browser Isolation、リモート・ブラウザ分離) といった、その他のセキュリティ機能は、悪意のあるコードのない Web ページを再構築することにより、Web ユーザーをインターネットから分離します。
• SSE は高度な SD‑WAN によりベスト・オブ・ブリードの SASE の構築をサポート
  複数の SSE ベンダーと密接に統合することにより、高度な SD-WAN ソリューションでは、パフォーマンスやセキュリティに妥協することなくベスト・オブ・ブリード (最適な組み合わせ) の SASE アーキテクチャを構築することができます。これにより、組織にとって最適な SSE ソリューションを自由に選ぶことができます。SSE ソリューションと統合するために、高度な SD-WAN は、ブランチと SSE のポイント・オブ・プレゼンスの間のセキュアなトンネル構成の自動化、ファーストパケットでのアプリケーション識別、特定のアプリケーションからのトラフィックへのポリシー割り当て、組織により設定されたセキュリティ・ポリシーに基づいた SSE サービスへのトラフィックの自動ルーティングを行うことができます。