はじめに

こんにちは。2月に「60歳超えても輝ける！SHIFTの入社前の冒険の旅でAWSクラウドプレクショナー資格にチャレンジしたらご褒美がもらえた話！ 」を投稿した、SHIFTのITソリューション部の奥田です。多くのアクセスありがとうございました！とても励みになります。

さて今回は、ポストコロナの時代にあって急速に導入が進みつつあるSASE（Secure Access Service Edge）についてのお話をしたいと思います。

SASEとは

Secure Access Service Edge、略してSASE(サッシー)は、2019年にガートナー社が提唱した新しいセキュリティフレームワークです。フレームワークという言葉のとおり、それは一つのプロダクト意味するものではなく、特定のタスクを達成するための基本的な構造やガイドラインのことでした。

その後数々のSASEに適合した製品が世に表れ、ネットワークセキュリティとワイドエリアネットワーキング（WAN）能力を統合したクラウドサービスを活用したアーキテクチャで、企業のユーザやデバイスが適切なセキュリティポリシーで安全にインターネットやオンプレミス環境への接続することを可能としました。

デジタル変革やクラウド移行、ポストコロナの時代にあった新しい働き方のためのリモートワークの増加など、企業のIT環境が大きく変化し、従来のセキュリティアーキテクチャが新しいビジネスニーズに対応できなくなっています。そこにWindows10のサポート切れやシンクラ環境のTCO高騰など追加の要因も加わり、企業におけるワークプレイス改革対応としてそのSASEの導入率は2023年では40%と言われていましたが、更に急速に進んでいるのが今日この頃となります。

SASEで実現できること

ではSASEを導入すればどのようなメリットが得られるのでしょうか？
SASEは単一の機能ではなく様々な機能を持っています。またSASE製品を提供するベンダーも多数あり、ベンダー毎の特徴も多くあります。
こちらはSASEで提供される主な機能です。

• セキュアWebゲートウェイ：インターネットアクセスをリアルタイムで監視し、セキュリティ脅威を検知・防止。

• ファイアウォール：ネットワークの安全性を確保し、不正な通信をブロック。

• リモートアクセス：在宅勤務やリモートワーク、パートナー企業の社員の安全なインターネットと社内ネットワークのアクセスの実現。

• クラウドセキュリティ：クラウドベースのアプリケーションやデータを保護。シングルサインオンの実現。

• ネットワーク接続の最適化：さらに効率よく帯域制御など管理する方法でネットワーク利用のパフォーマンスを向上。

• ゼロトラストネットワークアクセス(ZTNA)：ユーザのアクセス制御をより厳密に行います。

• ネットワークトラフィックの可視化：リモート端末からデータセンター、クラウドサービスまでネットワークの状態をリアルタイムで把握可能。

• セキュリティポリシーの一元管理：異なるセキュリティソリューションの管理を一つにまとめ、効率化。

• ボットネット防御：ボットネットからの攻撃を防御。

• サンドボックス：未知の脅威を検出し隔離。

• データ損失防止(DLP)：企業重要データの流出の防止。

• サイバーセキュリティ脅威情報の共有：脅威情報をリアルタイムで提供し、迅速な対応を支援。

そして、SASEはクラウドベースのサービスという特徴があるため、上記の機能をオンプレミス製品で提供した場合との比較で以下の優位性があります。

• アーキテクチャ：オンプレミスのインフラストラクチャを必要とせず、サービスの柔軟性と拡張性が提供されます。

• グローバルなカバレッジ：利用者のアクセスに地理的な制約なく統一的なセキュリティの管理ができます。

• スケーラビリティ：需要に応じてリソースを柔軟にスケールアップまたはスケールダウンできるため、ビジネスの成長に合わせて容易に拡張または縮小できます。

• セキュリティの統合と一元管理：複数のセキュリティ機能を一つのクラウドプラットフォームに統合し、一元管理することができます。セキュリティポリシーの一貫性と効率性が向上します。

• 最新化への対応：クラウドベースのサービスとして提供されるため、セキュリティ機能や脅威情報の最新化が容易です。常に最新のセキュリティ対策を適用することができます。-

SASE製品について

世の中には数々のSASE製品がありますが、ガートナー社のマジック・クアドラントの上位に位置する代表的な3製品を紹介します。

ZscalerのZscaler Internet Access(ZIA)/Zscaler Private Access(ZPA)は、SWG（Secure Web Gateway）型の製品で、ゼロトラストネットワークアクセス（ZTNA）を提供することで、ユーザやデバイスがインターネットやオンプレ環境に安全に接続できるようにします。スケーラビリティに優れており、企業の拡大や縮小に応じて容易にスケールアップ・ダウンすることができます。

PaloAltoのPrisma Accessは、FWaaS（Firewall as a Service）型の製品で、Zscalerと同様にゼロトラストネットワークアクセス（ZTNA）を提供することで、ユーザやデバイスがインターネットやオンプレ環境に安全に接続できるようにしますが、セキュリティ機能が充実していることで知られています。ファイアウォール、脅威防止、データ損失防止（DLP）、サンドボックスなど、多様なセキュリティ機能をクラウドで一元的に提供します。

NetskopeのNetskope Security Cloudは、Zscalerと同様のSWG型の製品で、エンドユーザーのデバイスからクラウドへの全ての通信を保護します。これは、セキュアウェブゲートウェイ、データ損失防止、ゼロトラストネットワークアクセス、クラウドセキュリティなど、一連のセキュリティ機能を一元化したクラウドネイティブのプラットフォームとなっています。AIと機械学習を活用して、既知および未知の脅威を検出し、防御する機能も備えています。

マイクロソフトのSASE

マイクロソフトは2023年7月に「Microsoft 365」やインターネット上のクラウドサービス、一般のWebなどへのアクセスを保護する「Microsoft Entra Internet Access」と社内アプリケーションなどに従業員が外部からアクセス可能にする「Microsoft Entra Private Access」の発表を行いました。いよいよ業界のガリバーであるマイクロソフトがSASEソリューションに対応することが公表されたのです。

プレビューはすでに公開済ですが、現時点では様々な制約がつけられています。また当初は日本にサービス経由地点(Point of Presence)がなかったものの、Microsoft Entra Internet Access、Microsoft Entra Private Accessの両方で東京が利用可能になっています。なお、一般提供 (GA) の発表は2024年4月時点ではされていません。

ここでは、Microsoft Entra管理センターのGlobal Secure AccessでMicrosoft Entra Internet AccessとMicrosoft Entra Private Accessを統合するというマイクロソフトの説明に従い、公開済のGlobal Secure Accessに関する資料 からこの2つの製品について触れていきたいと思います。

マイクロソフトのこの2製品はSWG型と言われるSASEソリューションで同じ型のZscalerの製品と比較すると理解しやすいです。

そしてMicrosoft Entra Internet Accessは、拠点ネットワーク装置経由でのアクセスも可能ですが、一般的になる端末から利用する場合にはクライアントソフトウェアが必要となります。

それではそれぞれの特徴を見ていきましょう。

Microsoft Entra Internet Access は、ユーザ、デバイス、データをインターネットの脅威から保護しながら、Microsoft 365、SaaS、パブリック インターネットへのアクセスを高い可視性とセキュリティを持って保護します。高い可視化を具体的に実現できる機能としては、Microsoft365と深く統合されていることからMicrosoft365アプリやリソースの脅威検知を簡単かつ迅速に行うことができます。またEntraIDとの連携により、ユーザのIDに基づく詳細なログが提供されます。もちろん他のSASE製品と同様のインターネット上のアクセスについてはFQDNベースでのアクセス制御とアクセス履歴、ブロックの有無も提供しています。

利用の必要前提となるのはマイクロソフトのEntra ID（旧 Azure AD)です。 プレビューにおいてはEntra ID P1 ライセンスを必要としています。またMicrosoft 365へのアクセスについてはMicrosoft 365 E3ライセンスが必要となります。ただし、GAとなった場合には変更の可能性があるとマイクロソフトは表明しているため、今後の発表を注視する必要があります。

Microsoft Entra Internet Accessは、ユーザIDだけでなくその利用場所、多要素認証の要否、DLPの適応など、強力なポリシーベースのセキュリティ制限をアプリケーション毎に実装可能です。

クライアントソフトウェアであるGlobal Secure Access Clientがサポートされている端末は、Windows端末(Windows10または11)とアンドロイド端末となります。AppleのiOSデバイスについては今のところ情報は掲載されていないため、今後の発表が待たれます。

Windows Virtual Desktop(WVD)の利用では、シングルセッション環境はサポートされますがマルチセッションはサポート対象外となっています。仮想サーバ上のゲストOSもサポートがされます。なお、Windows端末については、EntraID参加済みまたはハイブリッドEntraID参加済みである必要があり、EntraID登録済みデバイスのみではサポートされません。また、Android端末についてはAndroid 10.0以降のEntraID登録デバイスとなっています。

仕様は一般提供(GA)では変わると思われますが、ネイティブのIPv6とHTTPS以外のサポートがありません。よってMicrosoft365サービスでUDPを使うようなサービス(例：Teamsなど）は、UDPをブロックしてHTTPSで通信させる必要があります。パブリック インターネットアクセスで、HTTPS以外のPop3/IMAP/SMTPも除外設定を入れて通信させる必要があります。 Microsoft Entra Private Access は、オフィス内でもリモートでも、非公開の企業リソースへのセキュリティで保護されたアクセスをユーザに提供します。

つまり、従来ではVPNなどの方法で外部からオンプレミス環境へのアクセスを利用していたユーザがVPN接続なしで、任意のデバイスとネットワークからハイブリッドおよびマルチクラウド環境、プライベート ネットワーク、データセンターにまたがってプライベート アプリに接続できます。 更にVPN よりも詳細なセキュリティを実現するために、条件付きアクセス ポリシーでアプリごとのアクセス制限を設けることも可能です。

Microsoft Entra Internet Accessと同様に、Microsoft Entra Private Accessも同じGlobal Secure Access Clientを利用します。OSや制限についても同様です。アクセス先のプライベートアプリ用で、somewhereなどの、単一ラベルドメインはサポートされていません。つまり、somewhere.here.comのような完全修飾ドメイン名 (FQDN) が必要となります。なお管理者が、Windows で DNS サフィックス(here.com)を追加することもできます

オンプレ側にはZscalerのPrivate Service Edge(PSE)と同様に外部からオンプレ環境にアクセスを提供するコネクターサーバの設置が必要です。これもPSEと同様に通信はコネクターサーバからGlobal Secure Access エンドポイントへセッションが張られ、その中をクライアント通信が発生することとなります。コネクターサーバからGlobal Secure Access エンドポイントへのアクセスはtcp/80とtcp/443のファイアウォールでの解放が必要とされます。なお、Global Secure Access エンドポイントからは、任意のプロトコル、例えばRDPを用いてコネクターサーバ経由でオンプレ内のサーバにアクセスすることが可能です。

Microsoft Entra Internet Accessでは、Global Secure Access Clientを利用する以外に、拠点(オンプレミスのネットワーク機器とGlobal Secure Access エンドポイントの間にインターネット プロトコル セキュリティ (IPSec) トンネルを利用するリモートネットワークが利用できます。

リモートネットワークはオンプレミスの何千ものデバイスにクライアントをインストールしたくない場合や、Global Secure Access ClientがサポートされていないハードウェアやソフトウェアでMicrosoft Entra Internet Accessと、Microsoft Entra Private Accessを利用したい場合、そしてクライアントを導入していないゲスト用の端末がある場合に有効な解決策となります。接続に用いる拠点のネットワーク機器は、インターネット プロトコル セキュリティ (IPSec)、インターネット キー交換 (IKE) フェーズ 2 ネゴシエーション向けのGCMEAES128、GCMAES192、または GCMAES256 アルゴリズム、Internet Key Exchange Version 2 (IKEv2)、Border Gateway Protocol (BGP)がサポートされているものが必須となります。この制限はGAの際には撤廃されると想定しますが、プリビュー段階では1テナントあたりのリモート ネットワークの数は 10 に制限されています。 リモート ネットワークあたりのデバイス リンクの数は 4 個に制限されています。

なお、Microsoft Entra Private AccessではGlobal Secure Access Clientが必須となるためこのリモートネットワークの環境はサポートされません。

マイクロソフトのSASEに期待すること

現在のプレビュー中の範囲においては先行ベンダー製品と比較するにはまだ多くの制約があると思われます。 特に気になるGA後のパフォーマンスやポリシーベースのセキュリティ設定にしても未知数のところがあります。 またZscalerなどが備える、帯域制御、固定アクセス元IPへの対応、オンプレミスと融合した冗長構成の有無など未発表な機能も選択にあたっては重要となるため今後の発表が期待されます。

マイクロソフトのSASE製品が適合する企業とは

さて今日、Windows10からWindows11への展開、シンクライアントからファットPCへの回帰が言われている中、どのような企業にマイクロソフトのSASE製品が適合する可能性があるのでしょうか？

まず、企業のIDaaSが既にEntraIDに移行している企業が想定されます。Active Directoryのみ利用中の企業では今回のマイクロソフトのSASEは利用できないために前提としてEntraIDへの移行が必要となります。

既に、EntraIDを利用しておられる場合は、M365既存ライセンスの範囲内または追加オプションでM365とシームレスで連携可能な本格的なSASEが導入できるというメリットがあります。また今回のプレビューでは触れられていないですがMDMのIntuneや、EDRのDefenderとの連携でユニークなセキュリティ強化が図られる期待があります。

様々な管理インターフェイスへの習熟や複数の問い合わせを維持することが困難になりつつある今、マイクロソフト製品で統一できるメリットもあります。こういった端末のサポート範囲が適合するお客様にとっては有力な選択肢になると思われます。

言えることはSASEの導入推進は全世界的な潮流でもあります。これまでSASE製品の導入を技術的な制約やコスト面から見送ってきた企業にとってはマイクロソフトのSASE製品は検討するに値する存在になると期待します。

ここでお知らせした以外にも多数のSASE製品があります。またSASEによらずとも、クラウドへのシングルサイオン(SSO)やネットワークセキュリティ強化を実現する製品もあります。

SHIFTでは数多くの経験と知見からお客様に最適なソリューションのご検討、導入、更に導入後の運用までワンストップでご提供できることを強みとしております。今回ご紹介した製品だけでなく広くご相談を頂ければ幸いです。

お問合せはお気軽に

SHIFTについて（コーポレートサイト）
https://www.shiftinc.jp/

SHIFTのサービスについて（サービスサイト）
https://service.shiftinc.jp/

SHIFTの導入事例
https://service.shiftinc.jp/case/

お役立ち資料はこちら
https://service.shiftinc.jp/resources/

SHIFTの採用情報はこちら
https://recruit.shiftinc.jp/career/

PHOTO：UnsplashのFlyD