SSE(セキュリティサービスエッジ)の構成・選定ポイント

  • Facebookにシェアする
  • Twitterにシェアする
  • はてなブックマークにシェアする

SSE(Security Service Edge)とは

SSE(Security Service Edge、セキュリティサービスエッジ)とは、ウェブ、クラウド・サービス、プライベート・アプリケーションへのアクセスを保護するソリューションです。クラウド中心の様々なセキュリティ機能を統合して提供するモデルであり、SASEにおけるセキュリティ機能の部分を指します。

SASEとの関係

最初にSASE(Security Service Access Edge、セキュリティアクセスサービスエッジ)との関連を説明します。SASEは主にクラウド上で、ネットワーク機能とセキュリティ機能を統合して提供するモデルを指していますが、そのセキュリティ部分のみ取り出したモデルがSSEです。

■用語解説「SASE」(グループ会社SHIFT SECURITYより参考記事)
https://www.shiftsecurity.jp/blog/20210610-1

SSEの重要性

現在、企業のITシステムの構成は企業内ネットワーク、クラウド、種々のIoTデバイス、個々人のリモートワーク環境、と非常に雑多な要素が集まって複雑化しています。これらの各要素に対してセキュリティ対策を個別に用意して管理するのは現実的ではありません。SSEの重要性は、全てのネットワークエッジ(端末機器など、データ処理を行う箇所のこと)を共通の土台で扱うことにあります。

どんな2つのエッジ間の通信もSSEによって検査されて、企業のセキュリティポリシーを全ての環境に対して、そして一人一人のユーザまで一貫して適用し、効率的な一元管理を可能にします。

管理が効率化されるとユーザ側の利便性を損なうおそれが少なくなります。あのアプリケーションを使うときのルールと認証はこうで、このアプリだとああなってて……といった煩雑さを回避できます。

箇条書きで整理すると下記のようになります。

  • ゼロトラストの実現
  • ポリシーの統一
  • コスト削減
  • ユーザ利便性の確保

SSEはこれらを実現する為に、様々な機能を統合して提供する必要があります。

SSEの構成

SSEが提供するセキュリティ機能は下記を含みます。

  • CASB(Cloud Access Security Broker、キャスビー)
  • DLP(Data Loss Prevention、データロスプリベンション)
  • SWG(Secure Web Gateway、セキュアウェブゲートウェイ)
  • FWaaS(FireWall as a Service、ファイアウォールアズアサービス)
  • ZTNA(Zero-Trust Network Access、ゼロトラストネットワークアクセス)

■用語解説「CASB」(グループ会社SHIFT SECURITYより参考記事)
https://www.shiftsecurity.jp/blog/20210610-29

■用語解説「DLP」(グループ会社SHIFT SECURITYより参考記事)
https://www.shiftsecurity.jp/blog/20211227-2

SWGとは

Webサービスへの通信の可視化やアプリケーション制御によって安全な接続方法を提供するプロキシサービスです。企業ネットワークから外部のWebサービスなどに接続する際の通信のセキュリティ確保などに利用します。特にクラウドに特化したものをCloud SWGと呼びます。URLフィルタ、アプリケーションフィルタ、アンチマルウェア、サンドボックスなどの機能を提供します。

FWaaS

その名前の如く、ファイアウォール機能をサービスとしてクラウド上で提供するということです。FWaaSはSWGで対象外としている通信などを制御しますが、ソリューションによっては特に両者を分けていないこともあります。

ZTNA

ゼロトラストのモデルに則って、情報資産へのアクセスを検証・制御します。IPベースではなく、アクセスを求めるユーザー個人やデバイス毎に認証を求めます。

これらの機能により、情報資産へのアクセスや外部への通信などを一貫したポリシーで監視・制御できるようにします。

SSEソリューションの選定ポイント

以下ではSSEソリューションを選定するうえでの参考ポイントを記載します。

トラフィックの検査・可視化の対象が限定的か

ソリューションやプランによっては対象がWebだけになるなど、機能が限定的になっているかもしれません。利用検討しているサービスのトラフィック監視対象が企業ポリシーに合致しているか確認しましょう。

管理コンソールの利便性

さまざまな機能を統合的に提供する一方で、その管理・運用上のツールが一本化していなければ効率化も半端に終わります。管理コンソールも一本化されており、かつその使い勝手についてもテストできるかなど確認しましょう。

ニーズの変化に対応する柔軟性

SSEにはニーズの変化に対応するため、セキュリティを維持しながら新機能を追加できる柔軟性が必要です。将来的に機能が追加されることを前提に、拡張性についてソリューションベンダにしっかり問い合わせましょう。SD-WANやWAN最適化など、ネットワーク機能の追加(つまりSSEからSASEへの統合移行)も考慮に含められるとベターと言えます。

おわりに

本記事ではSSEの機能とメリット、ソリューション選定の参考ポイントについて紹介しました。複雑化するITシステムのセキュリティを効率良く運用していくために参考になれば幸いです。

お問い合わせはこちら

SOC(セキュリティ監視)

SOC(セキュリティ監視)

あらゆるデバイスやクラウド環境のログ監視し、緊急度の高いアラートを通知します。ログの設定から全アラートの月次レポートまで、セキュリティ監視に必要な運用を支援します。

more

この記事に関連する事業

関連記事