SSE（セキュリティサービスエッジ）とは？SSEのメリットと導入のポイントを解説

SSE（セキュリティサービスエッジ）とは？

SSEとはSecurity Service Edge（セキュリティサービスエッジ）の略で、2021年に米ガートナー社が提唱した、クラウド環境におけるデータ保護を強化するためのITセキュリティを提供するサービスパッケージです。

SSEは比較的新しい概念であり、サービスプロバイダーによってSSEに含まれる構成要素は若干異なりますが、SWG（Secure Web Gateway）、CASB（Cloud Access Security Broker）、ZTNA（Zero Trust Network Access）の機能を組み合わせて、1つのセキュリティサービスとして提供するのが一般的です。

SSEとSASEとの関係性

SSEを説明する上で、SASE（サッシー）という言葉をよく目にするかと思います。ここではSSEとSASEの関係性について解説します。

 SASE（セキュアアクセスサービスエッジ）とは

ガートナー社では、2019年にネットワーク機能とセキュリティ機能を一体として提供するクラウドサービスの概念としてSASE（Secure Access Service Edge）も提唱しています。SASEはゼロトラストネットワークという概念に基づき、ネットワークの信頼性を厳格に検証し、セキュリティ対策を強化することで、不正アクセスやマルウェア被害を防止することを目的としています。

クラウドサービスの利用やリモートワークが一般化する中で、SASEは重要な概念です。一方で、利用者の立場からすると、Webアクセスをよりスマートに、より高速に、より安全に利用したいというニーズに対して、SASEを構成する要素が多すぎるため、コスト面でも運用面も負担が増えるという弊害もありました。

SSEとSASEの相違点

ネットワーク機能とセキュリティ機能を一体として提供するというコンセプトから、セキュリティ機能に加えてSD-WANなどの機能も含めたSASEではなく、セキュリティ機能のみに特化したサービスパッケージとしてSSEが開発されました。つまり、SSEはSASEのセキュリティ機能部分に特化したサービスコンセプトという位置づけであり、SASEのサブセットといえます。

SSEの構成要素

一般的なSSEでは、以下に挙げる3つの構成要素が盛り込まれています。

SWG（セキュアウェブゲートウェイ）

SWGとは、エンドユーザーが社外ネットワークへ安全にアクセスするための、主にクラウド型として提供されるプロキシの一種と位置付けられます。

SWGでは、以下の機能が搭載されるのが一般的です。

• アンチウイルス（AV：Anti-Virus）機能
• リモートブラウザ分離（RBI：Remote Browser Isolation）機能
• ファイル無害化（CDR： Content Disarm and Reconstruction）機能
• データ損失防止（DLP：Data Loss Prevention）機能

ただし、SWGに搭載される機能ついては、提供ベンダーによっても異なっており、フィルタリング機能、サンドボックス機能、アプリケーション制御機能などを含むものもあります。

CASB（クラウドアクセスセキュリティブローカー）

CASBは、ネットワークにおけるトラフィックの監視や、ログ分析、不正アクセスやマルウェアの検出などを行うことで、セキュリティ対策を実施します。トラフィックやログの可視化機能、脅威検知機能、データ保護機能などが搭載されるのが一般的です。

ZTNA（ゼロトラストネットワークアクセス）

ZTNAとは、「すべてのネットワークは信頼するに値しない」との考えに基づき、ファイヤーウォールの内側・外側にかかわらず、「あらゆるところにセキュリティリスクが潜んでいる」という前提で、セキュリティ対策を講じるというものです。

情報にアクセスしようとする端末の状態を確認し、必要な場合には通信を許可しない、あるいは一定の制限の下での通信を許可するといった制御を実施することで、セキュリティリスクを軽減し、よりセキュアな通信環境の確保を可能にします。

ゼロトラストについては別記事でも解説しています。

SSEのメリット

SSEのメリットとして代表的な4点を解説していきます。

クラウドサービスへのアクセスとWeb利用の保護

SSEを導入することよって、端末がアクセスするクラウドサービスに対してつきまとうフィッシングなどの脅威から保護します。ユーザーが当該サービスの利用を許可してよいのかどうかをポリシーに基づいて判断します。また利用状況を可視化し、さらにはその利用状況の中で、個人情報など機密性の高い情報の入力を防ぎます。

脅威の検知と軽減

SSEの機能によって、アクセス先のWebサイトが危険なサイトかどうかを判断し、場合によってはアクセス制限をかけることで、リスクを軽減します。

また危険性があってもアクセスせざるを得ない状況においては、RBI（リモートブラウザ分離）機能があれば、万が一の場合でも、利用している端末に影響が出ることはありません。

リモートの従業員を安全に接続

社内でインターネットアクセスする場合には、社内のファイヤーウォールやプロキシに守られていますが、リモートワーク中にはそうした社内の保護機能は使えません。そこで、SSEのアンチウイルス機能やRBI機能によって、端末のネットワークアクセスをセキュアにすることが可能となります。

機密データを特定して保護

業務上やむを得ず、交通機関などの予約サイトに決済用のクレジットカード番号などの機密情報を入力する場面は少なくありません。しかし、最近ではいわゆるフィッシングサイトも増えており、知らず知らずのうちにそのようなサイトに機密情報を入力してしまっている可能性もあります。

このような場合、SSE に機密情報を識別・保護する機能が搭載されていれば、たとえばクレジットカード番号の文字列などの機密情報が管理端末に入力されたと推定される場合に、入力自体を無効化したり、 送信を遮断したりすることで、機密情報を保護することが可能です。

たとえば、オフィス勤務では、不審なウェブサイトに遭遇しても、周囲の同僚や上司に相談することでトラブルを回避することができます。しかし、リモートワークでは、自分で判断しなければならず、セキュリティリスクが高まります。 そのような場合に、事前にそのようなリスクを察知し、未然に防ぐシステムがSSEです。SSEを導入することで、誤った判断をするリスクを大幅に減らすことができます。

SSE導入に向けてのポイント

SSEを導入しようという際に、どんな点に注意すべきか確認していきます。

１．必要な機能が適切にカバーされているかを確認する

SSE がカバーする機能は製品によって異なります。標準的には、SWG、CASB、ZTNAを構成要素としてカバーすることが前提ですが、ベンダーによっては、さらに構成要素を追加するケースもあります。

また、SWGやCASBは複数の機能がパッケージ化されているため、製品によって搭載されている機能が異なります。そのため、SSEを導入する際には、その製品に必要な機能がすべて搭載されているかを確認することが重要なポイントです。

２．費用対効果のチェック

１．に関連して、提供する機能の中には必要なものもあれば、そうでないものもあります。機能が多ければ良いというわけではなく、その分コストが増えることを考えると、提供する機能とコストのバランス、すなわちコストパフォーマンスを考える必要があります。また、そもそもコストを予算内に収められるかどうかも重要です。

３．使い勝手が良いかどうかを確認する

必要な機能が揃っていてコストパフォーマンスが高くても、それだけで判断するのは危険です。もう一つ重要なポイントは、使いやすさです。機能が十分で安価であったとしても、使い方が複雑で面倒だったり、レスポンスが悪かったりすれば、業務に支障をきたす可能性があります。

たとえば、RBI機能（画面転送型）の使い勝手を確認してみましょう。RBI機能はユーザーが危険なウェブサイトを安全に閲覧できるように画面転送が行われます。しかし、使い勝手の面では、この画面転送のプロセスに時間がかかることが課題となります。もし転送に長い時間が必要であれば、ユーザーの業務効率に悪影響を与える可能性があります。したがって、RBI機能の評価をする際には、安全性を高める利点と、使用時のレスポンス速度のバランス（使い勝手の良さ）を考慮することが重要です。

こうした実際の動作はカタログスペックだけで判断するのは難しい項目です。導入を検討される際は事前評価（PoC等）で実際の使い勝手を確認することをおすすめします。

 快適なVPNはそのままに、SSE機能も実装可能になった「ABSOLUTE」

丸紅情報システムズが提供する「ABSOLUTE」は、リモートワークなどの外部からのアクセス状況を確認し、適切でかつ柔軟なアクセス制御を可能にするVPN製品です。“切れないVPN”として世界中の企業・組織での導入実績をもつ「ABSOLUTE」に、このほどSSEの機能を付加できるオプションが用意されました。

このオプションによって、ウイルス対策スキャン（AV：Anti-Virus）やリモートブラウザ分離（RBI）、コンテンツの無害化／再構築（CDR）、データ損失防止（DLP）といったSWGの機能を活用することが可能になりました。

もともとゼロトラストネットワークの機能を備えた「ABSOLUTE」に、SSEの機能を付加できるオプションが設定されたことで、快適なVPN環境を維持しながら、セキュリティ対策を強化できます。

すでに「ABSOLUTE」を導入している場合も、これから「ABSOLUTE」を導入しようと検討している場合も、SSE機能をプラスすることで、通信環境とセキュリティの両方を強化することが可能になります。