デジタル化や働き方の多様化が進み、企業では人もデバイスもサーバー負荷もネットワークのトラフィックも、社内から社外へ軸足を移す“インサイド・アウト”の傾向が強まっている。加速的に広がっているクラウドベースのコンピューティングに、セキュリティも適合していく必要がある。
企業のセキュリティは、ネットワーク境界やハードウエアに基づいたこれまでのモデルから、SASE(Secure Access Service Edge:「サッシー」と読む)モデルへの移行を進めるべきだ。
アイデンティティ中心の動的なアクセス制御を実現するSASE
SASEとは、ネットワークとセキュリティに関する機能を統合的に提供する、クラウド型のアーキテクチャーのことだ。
ITセキュリティの世界では従来、データセンターを中心にアクセス制御などを実施してきた(図1)。
図1●データセンターを中心にした従来型のネットワークセキュリティ
企業データセンターがネットワークの境界となり社内(ブランチ・オフィスやコロケーション)と社外を分けている。(出典:ガートナー)
[画像のクリックで拡大表示]
しかし、人も機器も社外へ出て、いつでもどこからでも各種デジタル機能・サービスにアクセスするかたちに変わってきた。ここでセキュリティをネットワーク境界ベースで実現しようとすると、複雑化してしまう。
そこで、「データセンター」から「アイデンティティ」へと軸を移したのがSASEモデルである。セキュリティの世界でいうアイデンティティとは、“人”を識別する情報のことであり、具体的にはユーザーIDやユーザー権限などを指し、人が利用するデバイスやアプリケーションも含む(図2)。
図2●クラウドコンピューティングに適したセキュリティは「アイデンティティ」が中心に
図中右の円の内側がアイデンティティに相当するもの。その周囲をSASEが取り巻いている。(出典:ガートナー)
[画像のクリックで拡大表示]
アイデンティティを軸にすると、誰がいつどこにどのようにアクセスするかをリアルタイムに可視化できるようになり、これを基に動的なアクセス制御が可能になる。これがSASEの本質であり、価値である。
