SASEの選択はどうすべきか？ JFEエンジニアリングの考え方と導入効果：羽ばたけ！ネットワークエンジニア（82）

企業ネットワークは「作る」から、サービスを「選ぶ」時代になった。JFEエンジニアリングはSASEによるネットワークの刷新を進めている。サービスをどんな考え方で選択し、所期の目的を達成したのだろうか。

[松田次博，＠IT]

連載：羽ばたけ！ネットワークエンジニア

　連載第77回「企業ネットワーク40年の歴史とこれからの考え方」で述べた通り、企業ネットワークは回線やネットワーク機器を組み上げて「作る」時代が終わり、サービスを選択し、組み合わせて「使う」時代になっている。サービスをどんな考え方で選択し、どんな使い方をするか、という点で企業は独自性を発揮し、効果的なネットワークを実現できる。

　JFEエンジニアリング（本社 東京、代表取締役社長 福田一美氏、社員数 約1万1000人）は、SASE（Secure Access Service Edge：ネットワークとセキュリティ機能を統合してクラウドで提供するサービス）を導入し、ゼロトラストセキュリティを実現するとともにネットワークを刷新したことを2024年9月に発表した。その詳細について、DX本部 ICTセンター デジタル基盤部部長 佐藤正也氏、担当課長 柄澤直己氏、副課長 齋藤優樹氏、藤原光希氏に伺った。

SASE導入の背景と選択の考え方

　JFEエンジニアリングの従前のネットワークには、大きく3つの課題があった。

1. データセンターにインターネット接続を一元化しているため、「Microsoft 365」や「Box」などインターネット上のサービスの利用が急増し渋滞が頻発、オンライン会議での音質の劣化やサービスの遅延を招いていた
2. ネットワークが複雑化し、DX（デジタルトランスフォーメーション）に対応した安全かつ迅速なネットワークの拡張が困難になった
3. データセンターでの境界防御型のセキュリティ対策を取っているため、セキュリティの保証が困難なローカルブレークアウトができなかった。また、標的型攻撃メールなどによる内部への侵入リスクが高まっていた

　これらの課題を解決するために、SASEでネットワークを刷新することとした。SASEとして知られているサービスは複数あるが、それらの中からどのサービスを選択するか、JFEエンジニアリングは2つの考え方に基づいて検討した。

1.　1つのSASEで十分なセキュリティ機能とネットワーク機能を確保する

　SASEの中にはセキュリティ機能が優れていても、SD-WAN（ソフトウェア定義型WAN）としての機能が不足しているものがある。逆にSD-WANとして優れていてもセキュリティ機能が不十分なものもある。前者の場合はSASEとは別のSD-WANが必要になるし、後者の場合はSD-WANとは別のセキュリティサービスが必要になる。2つのサービスを使うことは、ネットワークを複雑にし、運用性や拡張性が損なわれる。

　そこで、JFEエンジニアリングは1つのSASEでセキュリティ機能もネットワーク機能も充足できることを選択の条件とした。

2.　従来のプライベートIPアドレスに基づくネットワーク資源（AWS：Amazon Web Services、拠点内LANなど）を生かし、移行を容易にする

　データセンターや各拠点にはプライベートIPアドレスを使った既設のLANがある。それらを生かして容易に移行できることを2つ目の条件とした。

　複数のSASEを比較評価した結果、この2つの条件に最も合致するサービスとして「Cato（ケイト）Cloud」を選択した。

Cato Cloudによるネットワーク

　Cate CloudはイスラエルのCato NetworksのSASEで、それを適用したJFEエンジニアリングのネットワーク構成が下図だ。

図 JFEエンジニアリングのネットワーク構成

　Cato Cloudは全世界に設置されたPOP（Point of Presence）で構成されている。POPの数は2024年10月時点で約130だ。2024年4月1日のCate Networksのニュースリリースによると、日本では東京に3つ、大阪に2つのPOPがあり、札幌に6つ目のPOPが設置される予定、となっている。

　POPは単なるインターネット上のアクセスポイントではなく、ルーティングやQoS（Quality of Service：通信帯域などの制御）などのネットワーク機能に加え、図中にある各種のセキュリティ機能を備えている。

　拠点に設置するSocketは、拠点のネットワークをインターネットでPOPに接続するエッジデバイスだ。完全なゼロタッチプロビジョニングにはなっておらず、JFEエンジニアリングではある程度初期設定したSocketを現地に送付している。現地ではSocketにインターネット回線を接続するだけで自動的にPOPに接続される。

　図にある通り、主要な拠点はSocket、インターネット接続回線ともに冗長化されており、トラフィックは自動的にロードバランスして送受される。回線は異経路化して信頼性を向上させるため、NTT系光回線と電力系光回線を使用している。AWSは仮想アプライアンスであるvSocketで接続している。

　拠点のSocketから直接インターネット上のサービスに接続する「ローカルブレークアウト」は行っておらず、POPで「インターネットブレークアウト」している。これにより、セキュリティを保ちながらインターネットに接続するとともに、データセンターへのトラフィック集中を解消している。

　小規模拠点や建設現場の事務所はシングル構成だ。小規模拠点では法人向けのブロードバンド回線を使用しており、現場事務所は現地の環境によってブロードバンド回線、モバイルデータ回線（LTE/5G）などを使い分けている。

　テレワークでは、PCにCatoクライアントを搭載してPOPに接続している。

　JFEエンジニアリングはCato Cloudによるネットワークで先述の3つの課題を解決し、データセンターへのトラフィック集中の解消とユーザーエクスペリエンスの向上、ネットワークのシンプル化と拡張性の向上、ゼロトラストを含むセキュリティの強化を実現した。それだけでなく、ネットワーク速度の向上、新規拠点開設の容易化と時間短縮、管理ポータル（Cato Management Application）によるリアルタイムなトラフィック監視、制御（アプリケーション単位、ユーザー単位）などのメリットを享受している。

　ただし、JFEエンジニアリングが全てについて満足しているわけではなく、かゆい所に手が届かないような点はあるそうだ。Cato Cloudは現在も発展を続けているサービスであり、その過程で改善が期待される。

　現在は国内の自社拠点を収容しているが、今後、国内のグループ会社や海外拠点の収容を計画している。

SASEの選択をどう考えるか

　サービスを選択する上では、明確なポリシーを持っていることが重要だ。JFEエンジニアリングは、「1つのSASEで必要なセキュリティ機能、ネットワーク機能を充足する」「プライベートIPアドレスに基づくネットワーク資源を活用し移行を容易にする」というポリシーで選択した。机上調査だけでなく、PoC（Proof of Concept：概念実証）で詳細な実機検証を行い、サービスの長所、短所を十分知った上で選択している点も大事なポイントだ。

　他方で、別のポリシーでサービスを選択している事例もある。セキュリティ機能、ネットワーク機能のそれぞれについて自社に最適なサービスを選択する、という考え方だ。結果的にSSE（Security Service Edge：SASEからネットワーク機能を除き、セキュリティに特化したサービス）とセキュリティ機能を持たないSD-WANを組み合わせる形態が採用されることになる。2つのサービスを使うので、設計や運用の負荷はシングルベンダーより大きくなるが、高機能が期待できる。

　シングルベンダー指向のポリシーを取るか、マルチベンダー指向のポリシーを取るかは企業が何を重視するかで決まることであり、一方が他方より優れているとはいえない。

　企業は自社にふさわしいポリシーを明確にし、検証を含め、的確な選択ができる実力を持つことが大切だ。

筆者紹介

松田次博（まつだ つぐひろ）

情報化研究会（http://www2j.biglobe.ne.jp/~ClearTK/）主宰。情報化研究会は情報通信に携わる人の勉強と交流を目的に1984年4月に発足。

IP電話ブームのきっかけとなった「東京ガス・IP電話」、企業と公衆無線LAN事業者がネットワークをシェアする「ツルハ・モデル」など、最新の技術やアイデアを生かした企業ネットワークの構築に豊富な実績がある。本コラムを加筆再構成した『新視点で設計する　企業ネットワーク高度化教本』（2020年7月、技術評論社刊）、『自分主義　営業とプロマネを楽しむ30のヒント』（2015年、日経BP社刊）はじめ多数の著書がある。

東京大学経済学部卒。NTTデータ（法人システム事業本部ネットワーク企画ビジネスユニット長など歴任、2007年NTTデータ プリンシパルITスペシャリスト認定）、NEC（デジタルネットワーク事業部エグゼクティブエキスパートなど）を経て、2021年4月に独立し、大手企業のネットワーク関連プロジェクトの支援、コンサルに従事。新しい企業ネットワークのモデル（事例）作りに貢献することを目標としている。連絡先メールアドレスはtuguhiro@mti.biglobe.ne.jp。