Security Service Edge とは
Security Service Edge(SSE)は、2021 年に Gartner が提唱したサイバーセキュリティの概念で、Secure Access Service Edge(SASE)のセキュリティ コンポーネントです。Gartner は SSE を、「ゼロトラスト ネットワーク アクセス(ZTNA)、クラウド アクセス セキュリティ ブローカー(CASB)、Firewall as a Service(FWaaS)、セキュア Web ゲートウェイ(SWG)をまとめて提供する、クラウド中心の統合されたセキュリティ機能」と定義しています。SSE の目的は、ローカルでホストされているアプリケーションだけでなく、すべての Web サービスやクラウドサービスへのアクセスを保護することです。
SSE は、組織のアプリケーション、データ、資産を利用するユーザーにリソースへの安全かつ信頼できるアクセスを提供するとともに、ユーザーの行動を追跡して、悪質な行為やサイバー攻撃による異常を特定できるようにします。

SASE and ZTNA for Dummies ガイド

VMware SASE
Security Service Edge が重要である理由
SSE ソリューションは、クラウドベースのサービスを通じて安全な接続を提供するため、ユーザーはクラウドベースのサービスを利用するにあたって企業ネットワークに直接接続する必要がありません。これにより、組織の IT インフラストラクチャやアプリケーションを無駄に公開したり、複雑なネットワーク セグメンテーションを行ったりする必要がなくなります。その代わり、ユーザーはインターネットを介してアプリケーションに安全に接続できます。デジタル エクスペリエンス モニタリング(DEM)と組み合わせれば、アプリケーション、デバイス、ネットワークのパフォーマンスを容易にモニタリングして、ユーザーの生産性を高めることができます。
SSE と SASE の違い
2019 年に Gartner によって初めて提唱された Secure Access Service Edge(SASE)は、迅速かつ安全なクラウド変革を実現するために、ネットワークとセキュリティの技術を 1 つのクラウドベースのプラットフォームに統合したものを指します。Gartner によると、SASE の機能は、エンティティの ID、リアルタイムのコンテキスト、エンタープライズ セキュリティ/順守ポリシー、およびセッション全体を通じたリスク/信頼の継続的な評価に基づいて提供されます。エンティティの ID は、人、人のグループ、デバイス、アプリケーション、サービス、IoT システム、またはエッジ コンピューティングの場所に関連付けることができます。
Security Service Edge のメリット
- ユーザーとアプリケーションの振る舞いを詳細に把握することで、潜在的な脅威を発見し、迅速に対応できます。
- ゼロトラスト アプローチによる高度なデータ保護により、攻撃対象領域を縮小し、アクセス権限の過剰プロビジョニングの問題を解消して、ランサムウェアなどの内外の脅威を防止できます。
- 複数のセキュリティ技術とネットワーク アクセス技術を 1 つのプラットフォームに統合することでコストの削減を実現。多くの場合、サブスクリプション価格で提供されるため、IT 部門は支出をコントロールし、コストを予測できます。
- エンドユーザー体験が向上します。クラウド アクセスのためのデータセンターへのバックホールやサイト間 VPN が不要になるため、遅延を最小限に抑えることができます。
- クラウドとオンプレミスの IT リソースのセキュアな接続や、クラウド移行の簡素化の結果、ハイブリッドな働き方がより促進されます。
Security Service Edge のコンポーネント
Cloud Access Security Broker(CASB):CASB はネットワーク上のユーザーとサービスの仲立ちをし、以下のサービスを提供します。
- 既存のオンプレミス インフラストラクチャからクラウドへセキュリティ ポリシーを拡張
- セキュリティとコンプライアンスの問題の透明性を確保
- アプリケーションをスキャンしてポリシー違反やマルウェアの有無を確認し、SaaS アプリケーションのリスクを発見
- SaaS、クラウド、オンプレミスにかかわらず複数のアプリケーション間のデータの流れを追跡
- 認可されたユーザがクラウド リソースを利用できるようにすると同時に、ハイブリッドなマルチクラウド環境でデータを保護
ゼロトラスト ネットワーク アクセス(ZTNA):ZTNA では、どのデバイスもユーザーも決して「安全ではない」という前提のもと、すべてのトランザクションを確実に認証し、サービスやアプリケーションへのポリシーベースの安全なアクセスを提供します。ZTNA は、デフォルトとして、ユーザー、デバイス、アプリケーションが認証されるまでリソースへのアクセスを拒否し、その後、トランザクションを完了するために必要な最低限のアクセスを提供するもので、一度認証されたユーザーに自由なアクセスを提供する VPN とは逆になります。ZTNA サービスには以下が含まれます。
- ID ベースのユーザー認証による、特定のタスクに必要なデータやサービスのみへの役割ベースのアクセス
- ユーザー、データとその場所、ネットワーク トラフィックの一元的な制御と追跡
- ネットワーク アクティビティに基づく脅威監視
- データの場所を問わず、オンプレミス、クラウド、SaaS アプリケーションへのセキュリティ ポリシーの適用
セキュア Web ゲートウェイ(SWG):SWG は、未認可のトラフィックが組織のネットワークに侵入する前に阻止すると同時に、認可されたユーザーが会社承認済みの Web サイトにアクセスできるようにします。SWG の機能には以下が含まれます。
- 悪意のあるコンテンツを発見するためのパケットとコンテンツの検査
- URL フィルタリング
- Web アクセス コントロール
SWG はユーザーに安全なインターネット アクセスを提供し、データの流出防止に役立ちます。企業のポリシーに基づいて、不適切な、または禁止された Web サイトへのアクセスをブロックします。
Firewall as a Service(FWaaS):FWaaS は、オンプレミス インフラストラクチャ、拠点、モバイル ユーザー、クラウドベースのアプリケーションなど、複数のソースからのネットワーク トラフィックを集約するクラウドベースのファイアウォールを提供します。ユーザーや場所に関係なく、すべてに一貫したレベルのセキュリティとポリシーを適用するとともに、ネットワークの監視と制御のための透明性と可視性を確保します。物理的なファイアウォール アプライアンスを導入する必要はありません。
関連するソリューションおよび製品
Secure Access Service Edge(SASE)
WAN、セキュリティ、コンピュートをクラウド配信型サービスによって統合し、場所を問わずユーザー、アプリケーション、アプリを安全に接続できます。
ハイブリッド型ワークスタイルの保護
VMware Anywhere Workspace は、ユーザー アクセス、エンドポイント保護、ネットワークとアプリケーションのセキュリティを網羅する包括的なセキュリティを提供します。
VMware Secure Access
VMware SD-WAN と Workspace ONE により、サービス ノードのグローバル ネットワークを介して、すべてのユーザーがクラウドとデータセンターでホストされているアプリケーションに安全にアクセスできるようにします。