がんばってSASE

ゼロトラストを求めていた？

　パンデミックの収束が期待されつつも、もう2年が経つ。世の中は何かと変革せざるをえない状況となったが、お客様の仕事やその環境はいかに変化しただろうか。お客様のクラウド＆リモートワーク利用の需要増加にゼロトラストといった流れはどこでも聞かれる内容になってきたが、ゼロトラストの概念がDXに強く紐づいていると感じるお客様はそう多くはないだろう。

ITインフラのあるべき姿としてはお客様の事業をより円滑に、DXを実現することで新たな事業領域を創るという構想のもと、俊敏性、柔軟性、可用性、機密性、〇〇性...といろいろ求められるが、つまるところビジネスの源泉となる何かしらのデータをビジネスに活用できるコトや、運用者の負荷が軽減される（結果、価値を生む事業に専念できる）コトが理想と考える。

この抽象度の高い理想に対して、ゼロトラストの考え方やアーキテクチャは企業によって大なり小なり貢献するものの、DXの全てを解決するものではない。ゼロトラストと同じくして注目をされているSASEというアーキテクチャーモデルもあり、まずはSASEというお客様が多いのではなかろうか。これはSASEのアーキテクチャがゼロトラストより既存との親和性がある為と考える。また、SASEの導入形態は既存環境をSASEに完全切替えされるというよりは、既存＋SASEの並行構成を取られる傾向が多いよう見受けられる。

このようにDXにおける過渡期ともいえる状況ではあるが、ここでは筆者が捉えるゼロトラストや次世代ITインフラ構想の前に注目されているSASE構成についてどんなベンダーがいるのか少し紹介させて頂く。

（図1）セキュリティの考え方の違い

各社のSASE（3ベンダーの特徴）

　現状、SASEで定義された機能を1社で提供できるベンダーはいない。詳細な要件は顧客によって異なるものだが、大手のベンダーはSASEの代表的な機能を1社提供できる形を目指して開発、買収を進めているように見受けられる。

（図2）　SASEの代表的なコンポーネント例

　Palo Alto Networksは、セキュリティ分野からネットワーク分野まで広げている。
オンプレの次世代FWを席捲している実績を、SIGの分野でもPrisma Accessを中核に展開している。元々3階層でセキュリティを網羅的に且つ一元的に分析、運用を可能とする方針があり、エンドポイントとクラウド側のサービスも提供していた。それに加えて近年はSD-WANベンダーのCloudGenixを取り込み、SASEを実現するラインナップを揃えてきた印象がある。
直近ではCloud Identity Engineで認証連携機能を揃え、改めてID認証ベースにて自動化されるセキュリティ運用が充実し今後その経過に注目したい。

　Cisco Systemsは、ネットワーク分野からセキュリティ分野に広げている。
SD-WANの先駆けである旧Viptelaを既存IOSに統合する開発を進め、既存WANとの親和性を加味しつつセキュリティ要素が付加されるSASEへと進化を図るような印象を受ける。
SIG/SWG領域では、DNSセキュリティを中核に他社と同等の機能拡張を進めている。
認証・エンドポイント領域では多要素認証に利便性の特色を持つDuoを用いて既存3rd Partyとの活用・連携にてゼロトラストの中核を築き始めている。
通信経路全体の可視化、障害分析するThousand Eyesなど、各々特徴があるコンポーネントが揃っている中でそれらをどうまとめ上げるのか今後注目したい。
直近では既存のリモートアクセスをSD-WANのPOPにて収容可能となり、構成により柔軟性が出ることが楽しみである。

　VMwareは、仮想技術をベースにネットワーク、そしてセキュリティへと領域を広げてきている。SD-WANではVMware SD-WAN™（旧称 VMware SD-WAN™ by VeloCloud®）にて市場を推進し、認証・エンドポイントの管理ではVMware Workspace ONE®が同社のゼロトラストを推進する中核になっている。
VMwareは元々3rd Party のSIG/SWGと組合せてSASEを構成する前提であったが、昨今は自前のSIG/SWGを持ち始め、SASE市場に独自で参入する運びとなった。SIG/SWGのいくつかの機能は今後拡張予定であり、FW機能はVMware NSX®のセキュリティ機能を適用すると聞いている。
既にリリースされているSD-WANとSIG/SWGの管理画面は一元化され、シンプルで利用しやすいと評判である。抽象化する点で彼らの培ってきた仮想化技術が機能の統合し易さや柔軟性が強みになるように感じる。既存のVMware製品との連携やセキュリティの全体最適された運用が軌道に乗るか今後に注目したい。

結局どれが良いのか？

　大手ベンダー側の動向として、元々市場をリードしていた得意分野からSASE実装の流れでサービス提供範囲を広げているように見受けられるが、買収、機能拡張で参入する市場分野のシェアを広げるにはまだまだハードルが高そうだ。それはSASEを1社で提供するメリットが、既存の単体機能を組合せた構成・運用を覆すほどのメリットに置き換わる程ではない、もしくは評価がまだこれからといった状況とも捉えられる。

そもそも利用側としては1社提供型がよいのか？という議論は常にある。＃参考：NOS木村著ブログへ
現状はどこかのベンダーのSASE（1社提供型）を利用すれば、全てを満たすというものはない。1社提供型を中心に進められるお客様も見受けられるようになったが、機能の網羅性を加味するとベンダーの組合せは少なからず発生する。
中長期的には改善されることを想像するが、現状はマルチベンダーのソリューションを統合的に管理・制御可能とするインターフェースが整っていないという状況である。

ではどうするのが良いのか？の続きについては将来性を見越せるSIerにぜひ相談して頂きたい。

さいごに

　最後にSASEにおいて個人的に最低限注目したい点がある。
改めて夢を語るなら、利用者と運用者各々から見て、ネットワーク全体が仮想化された一つのFWになるイメージが来ないかと考える。もちろんしがらみは多いが。

　・社内外問わず、どこからでも同じ操作性や利便性
　・全通信フローにおける疎通性＆通信制御、及びその管理・制御のし易さ
　・各機能（特にセキュリティとネットワーク）を一元的に運用可能

現状は実装がこれからといったベンダーもいるが、各社の開発は目まぐるしく、半年後の状況は見通せない部分も多い。

お客様におかれては既存のシステム運用に苦慮されながらも、日々事業継続に尽力されていると想像する。各々お客様の目指す先はSASEとは限らないが、次のITインフラを検討される際には各社の開発状況がどうなのか参考までに探ってみてはいかがだろうか。

DXにつながる為の土台づくりとして　ITインフラ×エンジニアの育成の要素に
SASEやゼロトラストの考え方はこれからも寄り添っていく。

※本記事の内容は執筆者個人の見解であり、所属する組織の見解を代表するものではありません。