SSE(Security Service Edge、セキュリティサービスエッジ)とは、ウェブ、クラウド・サービス、プライベート・アプリケーションへのアクセスを保護するソリューションです。クラウド中心の様々なセキュリティ機能を統合して提供するモデルであり、SASEにおけるセキュリティ機能の部分を指します。
最初にSASE(Security Service Access Edge、セキュリティアクセスサービスエッジ)との関連を説明します。SASEは主にクラウド上で、ネットワーク機能とセキュリティ機能を統合して提供するモデルを指していますが、そのセキュリティ部分のみ取り出したモデルがSSEです。
現在、企業のITシステムの構成は企業内ネットワーク、クラウド、種々のIoTデバイス、個々人のリモートワーク環境、と非常に雑多な要素が集まって複雑化しています。これらの各要素に対してセキュリティ対策を個別に用意して管理するのは現実的ではありません。SSEの重要性は、全てのネットワークエッジ(端末機器など、データ処理を行う箇所のこと)を共通の土台で扱うことにあります。
どんな2つのエッジ間の通信もSSEによって検査されて、企業のセキュリティポリシーを全ての環境に対して、そして一人一人のユーザまで一貫して適用し、効率的な一元管理を可能にします。
管理が効率化されるとユーザ側の利便性を損なうおそれが少なくなります。あのアプリケーションを使うときのルールと認証はこうで、このアプリだとああなってて......といった煩雑さを回避できます。
箇条書きで整理すると下記のようになります。
SSEはこれらを実現する為に、様々な機能を統合して提供する必要があります。
SSEが提供するセキュリティ機能は下記を含みます。
以下、これらの要素について簡単に解説します。CASB、DLPについては過去の記事の解説を参照ください。
Webサービスへの通信の可視化やアプリケーション制御によって安全な接続方法を提供するプロキシサービスです。企業ネットワークから外部のWebサービスなどに接続する際の通信のセキュリティ確保などに利用します。特にクラウドに特化したものをCloud SWGと呼びます。URLフィルタ、アプリケーションフィルタ、アンチマルウェア、サンドボックスなどの機能を提供します。
その名前の如く、ファイアウォール機能をサービスとしてクラウド上で提供するということです。FWaaSはSWGで対象外としている通信などを制御しますが、ソリューションによっては特に両者を分けていないこともあります。
ゼロトラストのモデルに則って、情報資産へのアクセスを検証・制御します。IPベースではなく、アクセスを求めるユーザー個人やデバイス毎に認証を求めます。
これらの機能により、情報資産へのアクセスや外部への通信などを一貫したポリシーで監視・制御できるようにします。
以下ではSSEソリューションを選定するうえでの参考ポイントを記載します。
ソリューションやプランによっては対象がWebだけになるなど、機能が限定的になっているかもしれません。利用検討しているサービスのトラフィック監視対象が企業ポリシーに合致しているか確認しましょう。
さまざまな機能を統合的に提供する一方で、その管理・運用上のツールが一本化していなければ効率化も半端に終わります。管理コンソールも一本化されており、かつその使い勝手についてもテストできるかなど確認しましょう。
SSEにはニーズの変化に対応するため、セキュリティを維持しながら新機能を追加できる柔軟性が必要です。将来的に機能が追加されることを前提に、拡張性についてソリューションベンダにしっかり問い合わせましょう。SD-WANやWAN最適化など、ネットワーク機能の追加(つまりSSEからSASEへの統合移行)も考慮に含められるとベターと言えます。
本記事ではSSEの機能とメリット、ソリューション選定の参考ポイントについて紹介しました。複雑化するITシステムのセキュリティを効率良く運用していくために参考になれば幸いです。
情報セキュリティの標準化と仕組化により解決し、高品質 低価格 柔軟性 の監視サービスを実施
監視・運用支援ページはこちら
お見積り・ご相談など、お気軽にご相談ください
サイトTOPへ
