SASE(CASB・UEBA・SWG)【情報処理安全確保支援士講座】
今回は情報処理安全確保支援士試験で問われるSASEについて学習します。
SASE
SASE(Secure Access Service Edge)は、米国ガートナーが2019年に提唱したクラウド環境におけるネットワークセキュリティモデルです。
「サシー」「サッシー」などと呼ばれ、クラウド環境において必要な各種ネットワークサービスとセキュリティサービスを統合し、包括的に提供することをコンセプトとしています。
近年は、企業がディジタル化やデータを有効活用し、業務やサービスを改変するDXへの流れが加速しています。DXにおいては各種クラウドサービスの有効活用が不可欠で、SASEはそれを実現するサービス群です。
SD-WAN
SD-WAN(Software Defined – WAN)は、物理的なWAN上にソフトウェアによって構築された仮想的なWANを指します。
SD-WANは、遠隔地にある拠点間のネットワークであっても、ソフトウェアによって一元管理できます。
SWG
SWG(Secure Web Gateway)は、セキュアなWebアクセスを実現するクラウド上のプロキシサービスです。
コンテンツフィルタリング・アプリケーションフィルタリング・アンチウィルス・サンドボックスなどを提供しています。
FWaaS
FWaaS(Firewall as a Service)は、クラウド上で提供されているSaaS型のFireWallサービスです。
設定されたルールに基づいて、Edgeやデバイス間のアクセス制御を行います。
ZTNA
ZTNA(Zero Trust Network Access)は、ゼロトラスト志向のセキュアなネットワーク接続サービスで、VPNに変わるものと位置づけられています。
RBI
RBI(Remote Browser Isolation)は、Webブラウザの機能をPCに変わってクラウド上で実行し、結果をPCに転送するサービスです。
ブラウザをPCから分離することで、WebアクセスによってPCがマルウェアに感染するリスクを大幅に下げられます。
CASB
CASB(Cloud Access Security Broker)は、2012年に米国ガードナーが提唱したクラウド環境におけるセキュリティ対策の概念です。
可視化・コントロール・データ保護・脅威防御などの機能で構成されています。
CSPM
CSPM(Cloud Security Posture Management)は、クラウドサービス利用における設定ミス・構成不備・管理不備などによるセキュリティインシデントの発生リスクを低減する目的を持った管理機能です。
DLP
DLP(Data Loss Prevention)は、組織の機密データが外部に流出したり、持ち出されたりすることを防止するためのツールやサービスです。
監視対象となる機密データを判別する条件や特徴を登録しておくことで、該当するデータの流出や持ち出しを検知し、保護できます。
UEBA
UEBA(User and Entity Behavior Analytics)は、ユーザなどの行動や活動内容を各種ログや監視ツールなどで解析し、通常とは異なる行動や不正行為を発見する技術です。
SASEの例題
実際に例題を解いて問題に慣れていきましょう。
問1
ア:クラウドサービスプロバイダが,運用しているクラウドサービスに対してDDoS攻撃対策を行うことによって,クラウドサービスの可用性低下を緩和できる。
イ:クラウドサービスプロバイダが,クラウドサービスを運用している施設に対して入退室管理を行うことによって,クラウドサービス運用環境への物理的な不正アクセスを防止できる。
ウ:クラウドサービス利用組織の管理者が,組織で利用しているクラウドサービスに対して脆弱性診断を行うことによって,脆弱性を特定できる。
エ:クラウドサービス利用組織の管理者が,組織の利用者が利用している全てのクラウドサービスの利用状況の可視化を行うことによって,許可を得ずにクラウドサービスを利用している者を特定できる。
(ログイン後回答すると、ここに前回の正誤情報が表示されます)
問2
ア:指紋,静脈などの身体的特徴によって本人確認を行う。
イ:情報への論理的アクセスを制御する。
ウ:データをUSBメモリに格納する際に暗号化する。
エ:利用者や機器の異常な振る舞いを検知する。
(ログイン後回答すると、ここに前回の正誤情報が表示されます)
SASEのまとめ
SASEはクラウドが普及した昨今において注目されている技術です。
具体的なサービスやツールも含めて押さえておきましょう。
次回は環境由来の脅威について学習します。
