なぜSASEは「難しい」と誤解されてしまうのか？ 目指すべきセキュリティ＆ネットワークの理想形とは：SASEの本質を理解するためのヒント

「SASE」はネットワークとセキュリティのさまざまな機能をクラウドサービスとして集約した、新たな製品分野だ。境界型セキュリティの限界が見え始め、SASEの必要性は認識されつつある。「難しい、複雑そう」という印象は根強いが、SASEはむしろ、困難なものを容易にする技術だ。

[PR／＠IT]

PR

　企業ITは、顧客や取引先のニーズ、求められるサービス、アプリケーションのロケーション、ユーザーのデバイス環境の多様化などによって、急速に複雑化した。加えて、企業の資産を狙うサイバー攻撃の激化と高度化も著しい。IT担当者およびセキュリティ担当者は、複雑で高度な双方の課題に適切な対処を求められるようになった。

　そこで注目されてきたのが「SASE」（Secure Access Service Edge。略称は「サシー」と発音）だ。SASEとはネットワークとセキュリティをクラウドサービスとして包括的に提供し、それらの機能を統合的に運用する技術を指す。クラウドサービスやモバイルデバイスが一般化し、従来の境界型セキュリティが機能しなくなった現在、企業ITにとって最適なアーキテクチャと考えられている。

　ところがSASEは「難しい」「複雑」という印象が拭えず、導入と検討が進まないケースがある。SASEソリューションと銘打たれた製品を導入したものの、思うような結果が出せない場合もあるという。

　あらためて、SASEは一体どのようなメリットを提供するのか、どのようなSASEであれば企業ITに最適といえるのだろうか。

ネットワーク＆セキュリティの実装や運用を簡略化するSASE

　SASEは「複雑で難しいもの」という印象を抱かれがちだ。インターネットアクセス、SD-WANなどのネットワーク技術と、ファイアウォール、IPS（Intrusion Prevention System）、認証、ゼロトラストやCASB（Cloud Access Security Broker）などのセキュリティ技術をクラウドで融合し、統合されたサービスとして提供するもの――と聞けば、困難と思うのも無理はない。包括される機能が多岐にわたるためだ。

　しかし、視点を変えた方がいい。現在の企業ITにおいて、ビジネス変革の加速、働き方の多様化、さまざまな顧客ニーズ、増え続けるサイバー攻撃のリスクなどに対応するには、上に挙げたさまざまなソリューションが必要だ。これらを過不足なく組み合わせ、安定的に稼働させる必要がある。

Cato Networksの糸井恭太氏

　「SASEはむしろ、困難なものを容易にする技術です。複雑なネットワークやセキュリティの機能と環境を統合し、サービスとして簡単に使えるようにするものです。運用担当者が技術的な複雑さや困難さに触れることなく、企業に必要なセキュリティポリシーを適用できるようにし、最適で安全なネットワーク環境を実現するのがSASEの本来の役目です」と、Cato Networks（ケイトネットワークス）のチャネル営業部部長である糸井恭太氏は説明する。

　従来のように、本社やデータセンターにおけるインターネットとの境界点で、必要に応じてセキュリティアプライアンスを導入するやり方では、調達に時間がかかり、運用が複雑化してしまう。

　多様な技術をインテグレーションする場合、「あるときは必要になっても、のちに不要になったときにオーバースペックにならないか」という懸念がある。しかしクラウドサービスであるSASEならば、将来の変化に対して柔軟に利用を拡大／縮小できる利点がある。あるとき不要になっても、次にまた必要になるかもしれない。「翌日に新たな拠点が増える」という状況でも、SASEであれば迅速に対応できる。ネットワークとセキュリティに、これまでにない柔軟性や迅速性を提供するのが、SASEの利点の一つだ。

　一部には、SASEを「テレワーカーのためのセキュリティサービス」と誤解している人たちがいる。コロナ禍の脅威がある程度収まり、出社回帰すれば、もうSASEは不要なのかと考えるかもしれない。だが、そうではない。SASEにはSD-WANが不可欠な要素であり、これを生かすことで境界型セキュリティから無理なく脱却できる。

統合を前提に誕生したインフラ改革のためのCato SASE Cloud Platform

　では、どのようなSASEが理想的といえるだろうか。複数のセキュリティベンダーやネットワークベンダーがSASEソリューションを提供しており、統合されたサービスを提供するという点は似かよっているように見える。

　しかし、そもそもネットワークとセキュリティは不可分だからこそ、SASEが必要とされている点に注目したい。ネットワークのセキュリティを強化するのでも、セキュリティにネットワーク機能を持たせるのでもなく、双方を統合したものとして提供されているかどうかが重要だ。

Cato Networksの桜井勇亮氏

　「Cato NetworksのSASEプラットフォームである『Cato SASE Cloud Platform』（以下 Cato SASE Cloud）は2016年に提供開始しました。SASEという言葉が登場する前のことです。従来型のポイントソリューションを改良するのではなく、全く新しいクラウドベースのアーキテクチャで、ネットワークとセキュリティを完全に統合することを目的として誕生しています。Cato NetworksのSASEは、他のサービスとはアプローチが異なり、企業ITを根本的に改革できるのです」。Cato Networks SE Manager Japan & North Asiaの桜井勇亮氏はそう強調する。

　桜井氏によれば、他のSASEソリューションを導入してセキュリティ強化から始めたもののネットワーク側がうまく融合できず、Cato Networksへの移行を決断したユーザーもいる。使い勝手の問題で運用負荷が肥大化したという相談事もあったそうだ。より優れた可視化を実現したいという理由からCato Networksを選ぶ企業もあるという。

　Cato SASE Cloudのアーキテクチャは図1の通りだ。Cato Networksの独自技術で構成された「SPACE」（Single Pass Cloud Engine）は、世界中に張り巡らされた専用のネットワークが基盤となっている。

図1　Cato SASE Cloudのアーキテクチャ（出典：Cato Networks提供資料）《クリックで拡大》

　ユーザーは、世界85都市以上の接続拠点（Point of Presence：PoP）からCato SASE Cloudに接続するだけで、ファイアウォール、IPS、CASB、ゼロトラストネットワークアクセスなど、脅威防御やデータ保護の機能を利用できる。

　ユーザー企業は、本社や拠点からエッジSD-WANデバイスの「Cato Socket」を用いてCato SASE CloudのPoPに接続できる。在宅勤務のエンドユーザーは、クライアントアプリケーションをデバイスにインストールすれば簡単にPoPに接続できる他、Webポータルを通じてアクセスすることも可能だ。ユーザーや拠点がどこにあろうと、Cato NetworksのPoPを通じて本社のデータセンターやパブリッククラウドへ安全に接続できる上、管理者はCato SASE Cloudで一括管理できるというわけだ。付け加えておくと、一般的なSD-WANソリューションに加え、論理的なネットワークの構成や運用の負荷も軽減できる。

　「Cato SASE Cloudを活用すれば、WAN運用の苦労は大幅に軽減されます。ネットワークやセキュリティアプライアンスのキャパシティー限界に悩む必要もありません。拠点当たり10Gbpsまでカバーするため、将来的な通信量の増大にも余裕を持って対応できます。さまざまなツールやソリューションを何とか組み合わせて、その後の不安定な管理に疲弊することもないのです」（桜井氏）

　日本企業が選ぶCato SASE Cloud、自社に合わせた段階的な改革も

　SASEは世界的に注目度の高い技術であり、Cato NetworksのSASEは2024年に調査会社Gartnerのマジック・クアドラント「シングルベンダーSASE」部門でリーダー企業に位置付けられている。特に日本市場においてはCato NetworksのSASEを導入する企業が比較的多く、世界的に見ても突出しているとのことだ。

　糸井氏はこう分析する。「企業のニーズや課題はおおむね似かよっています。SASEベンダーがうたう機能や技術も同様です。しかし比較検討のためのPoC（概念実証）に取り組んでみると、Cato SASE Cloudの使いやすさや導入のしやすさに気付き、最終的に選んでいただけるケースが多い印象です。Forrester Researchの調査によれば、わずか6カ月以内で246％の投資対効果を実現した事例があります。日本企業の間ではネットワークとセキュリティの在り方を完全に改革したいというニーズが大きく、それがCato Networksのビジョンとマッチしたのだと考えています」

　Cato NetworksのPoPはベトナムや中国など多様な地域に展開している点も、グローバルにビジネスを展開する日本企業から評価されるポイントの一つだ。全てのPoPはCato Networksが運用しており、ネットワークの冗長化が図られているため、非常に安定的でセキュアだと同社は説明する。

　Cato SASE Cloudは、自社の課題やニーズに応じて段階的に導入することが可能だ。例えば「リモートアクセス環境を改善したい。セキュアで快適にしたい」というユーザー企業は、ゼロトラストセキュリティを実現する「Cato ZTNA」から導入するとよいだろう。ネットワーク／セキュリティアプライアンスのキャパシティー制限や運用負荷から脱却したいのであれば、SSE（Security Service Edge）製品の「Cato SSE 360」が望ましい。レガシーなWAN環境からモダンなSD-WANへの転換を図りたいのであれば「Cato SD-WAN」が用意されている。いずれかからスモールスタートするのも、一部を組み合わせて利用するのもよい。「Cato Networksは、理想的な環境を目指す“SASEジャーニー”を全面的に支援していきます」（糸井氏）

図2　段階的な導入から始め、理想像を目指す“SASEジャーニー”（出典：Cato Networks提供資料）《クリックで拡大》

全国のSASEジャーニーを支援するパートナー企業

　Cato SASE Cloudの実装をユーザー企業に寄り添ってサポートするために、Cato Networksはパートナー戦略に注力している。国内ではSB C&S、フーバーブレイン、マクニカの3社（社名は五十音順）がディストリビューターとしてCato Networksのソリューションを取り扱っており、全国のリセラーやSIer（システムインテグレーター）と連携しながら、企業のSASE実現に向けた手厚いサポートを提供している。

　「マクニカはCato Networksのソリューションを2017年から取り扱っており、十分な経験を蓄積しています。多様なリセラーとの取引があり、強力なサポート体制を敷いています。フーバーブレインはセキュリティ技術に強く、さまざまノウハウを持っています。リーズナブルな価格体系もあって、SIerの力を生かせるサポートが特徴です。SB C&Sは、小規模から大規模まで幅広い企業へソリューションを届けられるディストリビューターです。通信事業者とのコラボレーションにも力を入れており、これまで以上に幅広い企業へCato Networksの製品をお届けできるものと期待しています」（糸井氏）

　SASEは企業ITの広範な部分をカバーする技術であり、ソリューションだ。全ての機能を一気に採用するのは非常に難しいため、自社にとって最優先事項を決めてやるべきことから積み上げていく努力が必要だ。まずは大きな“あるべき姿”を描き、それに向かって一つ一つしっかりと歩んでいきたい。Cato Networksとパートナー各社は、その最適な道のりを探すための知見を持っており、SASEを実現したいユーザーを強力にサポートしてくれるはずだ。まずは最適な相談相手、SASEのためのパートナーを探すところから始めてはいかがだろうか。