効果的な SASE の実現に向けて
Paul Kohler (Silicon Valley Technology Alliances 社主任コンサルタント)
SASE (Secure Access Service Edge) は、マーケティングの誇大広告やニューウェーブにすぎないのか?それとも、急激に変化するコーポレート IT 環境で効果的なセキュリティ対策となり得るのか?現在 SASE と称しているソリューションは、真の SASE 製品と呼ぶにふさわしいものか?それとも、まだ発展途上にあるのか?そもそも、「真の SASE」とは何か?
このブログでは、こうした疑問に答えると共に、実際の SASE とはどういうものか、SASE への移行を促す要素は何か、ベンダーが今後取り組むべきことは何か、SASE を効果的に機能させ、そのメリットを十分に発揮させるために不可欠な要素とは何かについても説明していきます。
SASE とは何か?
前提として、SASE は特定のテクノロジーや具体的なアーキテクチャを指しているわけではありません。SASE は、単純明快さを特徴とするコンセプトモデルであり、クラウド・サービスとして提供されるセキュリティと WAN の統合フレームワークです。このクラウド・サービスは、世界中のアクセス・ポイントを介して提供され、働く人々と必要な IT リソースを可能な限り高速でつなぐことができます。
SASE は誇大広告か、それとも現実か?
まず、SASE が極めて現実的なものとして認識されている背景には、コーポレート IT 環境における 2 つの大きな変化があります。
- それは、アプリケーションもデータもクラウドにシフトしていること、そして、
- 本社を離れ、現地のブランチ・オフィス、コワーキング・スペース、ホーム・オフィス・コーヒー・ショップなどで働く人々が増えていることの 2 点です。
エンタープライズ・ネットワーク・アーキテクチャの進化
新型コロナの感染拡大により、オンサイト・ソリューションから離れる動きが加速した結果、コーポレート・トラフィックは、ブランチ・オフィス、キャンパス、エンタープライズ・ネットワークの外側でやり取りされるようになりました。金融、保険、科学、技術、テレコム、セールス、サービスなどの業界分野では、多くの企業が永続的なリモート・ワークへの移行を公言していますが、そうした環境に対応するセキュリティやネットワークのソリューションを十分に備えているわけではありません。そこで、このニーズを満たすものとして、SASE の普及が期待されています。
一方、医療、小売、製造、運輸、農業、政府、公益事業 (水道・電気・ガス) などの業界分野では、オフィス勤務というビジネス・モデルが依然として続いています。これらの業界分野の主要なニーズを満たすのは、引き続き SD-WAN ということになるでしょう。SD-WAN は登場から既におよそ 8 年が経過していることから、これらの企業や組織では既に SD-WAN のデプロイが完了しています。
それでも、接続性とセキュリティのギャップを埋めるために、SASE が必要になるでしょう。他の分野と同様に、これらの業界分野でも産業用 IoT ネットワークを含むエッジ・ネットワークの数が増加しており、特別な帯域幅、レイテンシ、セキュリティなどの各種要件を満たすにはこれらのエッジ・ネットワークを統合する必要があるためです。したがって、今後すべての業界分野において、SASE 領域の拡大、SASE ソリューションへの投資やデプロイメントが進むことが予想されます。言い換えれば、SASE ソリューションへのニーズやそれに伴う投資は、まさに現実になりつつあります。
「真の SASE」とは何か?今はどの段階なのか?
SASE に初めて言及した Gartner 社のレポートでは、セキュリティ・アプライアンスのスタック、マルチベンダ環境でのサービス・チェイニング、Decryption と Re-encryption を介したトラフィック・インスペクションに基づいて構築されたネットワークとセキュリティのアーキテクチャは拡張性がないことが指摘されています。そのため、次のような機能を提供する新たなソリューションが必要です。
- クラウド・セキュリティ・サービス、ポリシー・デシジョン・エンジン、マネージメント、プロビジョニング、ユーザーインターフェース (UI) を 1 つに統合
- 機密データ/マルウェアの識別
- コンテンツの Encryption と Decryption の最適化。例えば、選択的な Decryption、複数サービス間での DPI (Deep Packet Inspection) の結果の共有 (シングルパス DPI) など。
- 超高拡張性、超高速通信および処理
- CARTA (Continuous adaptive risk and trust assessment: 継続的で適応性のあるリスクと信頼の評価)
- グローバルなインターネット・アクセス PoP (Points of Presence) の分散による水平方向の拡張
現在、SASE のコンセプトに沿って上記のようなコア機能を持つソリューションを提供し、SASE モデルに内在する顧客メリットをうまく引き出しているベンダーは数多く存在します。
その例としては、クラウド・ネイティブな SASE スタートアップ、SD-WAN 機能を追加したクラウド・セキュリティ・ベンダー、クラウドに移行してセキュリティ・サービスを追加した製品を打ち出している SD-WAN ベンダーなどが挙げられます。開発経路は違っても、ほとんどのベンダーのロードマップには、従来どおりオープンな統合やアーキテクチャの目標が掲げられています。
また、Gartner 社が定義する「真の SASE」の細部に関しては、ベンダーの多くが実用的なアプローチを採用し、顧客の特定ニーズをサポートしています (例えば、今までの投資を無駄にすることなくクリティカル・ネットワークのセキュリティを強化するために、オンプレミス SD-WAN とのハイブリッド環境を維持するなど) 。また、シングルパス DPI のような処方箋については、特別なエンジニア能力がなければ最適な形で対応できないため、一部のベンダーは慎重なアプローチを取っています。一言で言うと、最終的に「真の SASE」とは何かを決定づけるのは、顧客のニーズとベンダーのイノベーションということになります。
効果的な SASE に不可欠な要素 - リアルタイムなアプリケーション認識能力
ベンダーが SASE 製品の開発でどのようなアプローチを取るかにかかわらず、どうしても欠かせない要素として、リアルタイムなアプリケーション認識能力があります。これは、セキュリティ、ネットワーク・ポリシー、オートメーションという SASE の主要機能を発揮させる上で不可欠です。
Enea の DPI ベースのトラフィック・インテリジェンス・エンジン Qosmos ixEngine® は、高度なアナリティクスにより、トラフィック・フローからアプリケーション、サービス、コンテンツ、ユーザー、デバイス、トランザクション、セキュリティに関するリアルタイムな情報を non-intrusive に抽出します。サードパーティ製アプリケーションとの統合を前提として開発されているため、ネットワーク・アクセスからトラフィック・ステアリング、ファイヤーウォールに至るまで、SASE のネットワークおよびセキュリティのあらゆるコア機能にとって重要となる、正確できめ細かいアプリケーション認識能力を提供します。また、ネットワーク・エッジ、データ・センター、クラウドのいずれにも柔軟にデプロイすることができます。
SASE でアプリケーション・クラシフィケーションがどのように使用されるか、これらのユースケースに Enea Qosmos ixEngine のどの機能がマッピングされるかについて、下表にまとめました。
詳細については、Enea Qosmos SASE のウェブページをご覧いただくか、SDxCentral 社によるホワイトペーパー『The Role of DPI in SASE Evolution – An Industry Guide』(SASE の進化における DPI の役割 - 業界ガイド) をダウンロードしてください。
執筆者の紹介
Paul Kohler 氏は、米国カリフォルニア州パロアルトに本拠を置く Silicon Valley Technology Alliances 社の主任コンサルタントです。同社は、テクノロジー企業に対し、パートナーシップ、セールス、製品ストラテジーに関するガイダンスを提供しています。https://www.svtechalliances.com/