- ライター:大澤 能丈
- 1999年ネットワンシステムズ入社。
応用技術部門にてCATVインターネット製品の技術担当として長年従事し、現在はクラウドベースのセキュリティ・可視化製品の技術担当業務を担当している。
・CATV総合監理技術者
・ネットワークスペシャリスト
・情報セキュリティスペシャリスト
・CCNP
・PCNSE
目次
前回のブログではSASEの登場背景、コンセプト概要、提供機能について紹介しました。
本ブログは後編としてSASEの導入メリット、ユースケース、課題、対応ベンダについて紹介することでSASEへの理解をさらに深めていければと思います。
SASEの導入メリット
SASEはクラウドインフラ上で、ネットワークおよびセキュリティ機能を包括的に提供するため、以下ようなメリットが挙げられます。
- 管理コストの削減
SASEでは様々な機能をクラウド上で提供するため、オンプレミスの物理アプライアンスや仮想アプライアンスを削減することができ、管理負荷を軽減することができます。
- 利便性の向上
SASEでは、ユーザー、デバイス、および条件に基づいてネットワークのアクセスを許可します。例えば従業員、パートナー、IoTデバイスといった各種別でポリシーを分けることができます。これらはIPアドレスや物理的な場所に基づいていないため、企業ネットワークの内外に関係なく、どこから利用しても同じアプリケーションを利用できるため、一貫した使いやすさを提供できます。
- セキュリティの向上
SASEでは、ユーザーを認証してアクセスをチェックすることで、脅威となる通信を検知してブロックするなどの対処を行います。従来の境界型セキュリティではなく、ゼロトラストセキュリティの提供によりセキュリティを向上することができます。
- パフォーマンスの向上
SASEでは、ベンダにて提供されるクラウド上のバックボーンを利用します。世界中のアクセスポイントに対して接続することで、遅延が少なく、ボトルネックのない高パフォーマンスなネットワークを提供します。
SASEのユースケース
SASEはどのようなシーンで使われるのでしょうか?想定される利用シーンをいくつか紹介します。
(※N社は架空の企業です。以下のケースは実例ではなくあくまでイメージです。)
ケース1:N社営業担当者Aさん
Aさんは、会社支給のPCを利用して支店オフィスからセールスフォースへ接続します。
この時SASEでは拠点からSD-WANで接続されたセキュアWebゲートウェイを経由してCASB機能によって会社で許可されたサービスであることを識別してインターネット上にあるSaaSサービスへ接続します。
Fig1. SASEのユースケース1
ケース2:N社協力パートナーBさん
Bさんは、BYODのデバイスから、リモートワークでマイクロソフト365にアクセスします。
この時SASEでは、ゼロトラストネットワークアクセスによって、アクセス許可と、ユーザーアクティビティ監視を行い、DLPによって機密データの損失を防ぎます。
Fig2. SASEのユースケース2
ケース3:N社管理下にあるIoTデバイス
N社より提供されているIoTデバイスは測定したデータを、エッジコンピューティングロケーションを経由してパブリッククラウドのIoTデータ分析サービスへアップロードします。
この時SASEでは、ゼロトラストネットワークアクセスによってエッジコンピューティングロケーションへの安全かつ低遅延な接続を提供します。また、WAFによって脆弱性攻撃から保護されます。
Fig3. SASEのユースケース3
SASEの課題
SASEではネットワークとセキュリティの様々な機能が統合されて提供されるため、導入にあたっては以下の課題が出ると想定されます。
- 管理の複雑性
SASEで様々な機能が提供されているにもかかわらず、これらの管理画面が統合されていなければ、機能毎で管理画面にアクセスして運用する必要があり、複雑性が上がってしまいます。
- SD-WANへの対応
SASEは多数のセキュリティベンダが対応を表明していますが、SD-WAN機能を提供していないベンダもあります。SASE選定においてSD-WANを別ベンダから導入することも可能ですが、連携実績等を確認する必要があります。
- ベンダの切り替え、移行による導入コスト・負荷が上がる
SASEは複数機能のパッケージで提供されると、初期費用が抑えられる場合もあります。しかし、元々使用している機能を別ベンダへの切り替え、移行が発生してしまうと導入時の負荷が上がってしまう場合があります。
- ベンダの統合、買収などの市場変化
SASEはこれから導入が始まっていきますが、機能拡張のため、各ベンダによる統合、買収といった市場変化がおきやすいと言えます。
- IT担当間におけるサイロ化
SASE導入において企業のIT部門のネットワーク担当とセキュリティ担当がかかわることになりますが、これまで別々で導入に携わっていたところをSASE導入において担当間の垣根を超えた連携が必要とされます。
SASEの対応ベンダ
SASEへの対応は既に始まっています。
弊社取り扱いのCisco Systems社、Palo Alto Networks社、McAfee社、VMware社をはじめ、他にもセキュリティベンダを中心に様々なベンダがSASE対応を表明しています。全てのSASEの機能を実装しているベンダはまだなく、各社提供できる機能は異なっており、今後の対応を含めて継続して注視していく必要があります。
まとめ
このように、前編・後編に分けてSASEについて整理してみました。
SASEは新しいテクノロジーではなく、今あるテクノロジーをパッケージされたコンセプトという位置づけになります。個人的な見解ですが、クラウドセキュリティに従事されているのであれば、SASEと言われて新たに身構える必要はないと思います。また、ネットワークとセキュリティは分けて管理されるケースが多いと思いますが、これからのクラウド時代では両方一緒に管理していく必要があるといった一種の警告と私は捉えています。
SASEは2024年までに40%の企業において採用されるとも言われています。今後どのように普及していくか、引き続きSASEの動向をウォッチしていきたいと思います。
※本記事の内容は執筆者個人の見解であり、所属する組織の見解を代表するものではありません。
