企業におけるクラウドの利活用が進むにつれ、「SASE」や「SD-WAN」といったクラウドソリューションが注目を集めるようになってきました。しかし、これらはまだまだ新しい概念であるため、現場での理解が進んでいないのが現状です。

そこで今回は、SASEやSD-WANの概要、それぞれがどのようにかかわり合っているのかについて解説いたします。導入のリスクやポイントについても解説したので、ぜひ参考にしてみてください。

SASEとは?

SASEとは?

SASE(サシー)とは、「Secure Access Service Edge」の略で、クラウドのネットワークやセキュリティを統合管理するための概念です。2019年8月にガートナー社によって提唱され、現在では、クラウドやセキュリティを語るうえで欠かせないものとなりました。

近年は、クラウド型のネットワークやセキュリティのサービスがさまざまに登場しており、企業がそれらすべてを管理するのが容易ではなくなってきています。ネットワークやセキュリティに関する設定がサービスや機器ごとにバラバラだと、システム運用者の負担増加になりかねません。

そこで、クラウドにおけるネットワークとセキュリティを包括的に管理するためのモデルとして登場したのが「SASE」です。SASEにおいては、働く場所や使用するデバイスを問わず、良質なネットワークやセキュリティ機能を提供します。

SASEが注目される背景

SASEが近年注目される背景には、企業におけるトラフィック量の増加が挙げられます。とくにインターネット技術の発達により、クラウドサービスが当たり前のように使われるようになりました。

企業がインターネットへアクセスする機会が増えると、集中的に管理するデータセンターへの負担が大きくなってしまいます。場合によっては、回線遅延やシステム障害につながってしまうこともあるでしょう。

また最近では、働き方改革やコロナ禍の影響で、テレワークを導入する企業が増えてきています。自宅からでも自社システムへ安全にアクセスするために、VPN接続を採用するのが一般的ですが、接続数には上限が設けられているため、許容範囲を超えると、アクセスできない従業員が出てきてしまうのです。

上記のように、アクセス量が増大したり、既存の接続方式で十分に対応できなかったりする課題が発生するなかで、SASEが有効な解決策として注目されています。

SASEにおいては、データセンターを経由せずに外部と通信を行える「インターネットブレイクアウト」や、リモートからでも社内システムへ安全にアクセスできる「ゼロトラスト・ネットワークアクセス」を実現します。これによって、外部のSaaSやWebサイトへスムーズにアクセスできるようになり、自社回線への負担軽減が期待できます。

SASEの構成要素

SASEは非常に幅広い意味を含有した概念のため、少々理解しづらいかもしれません。現に、単一のSASE製品は存在しておらず、構成要素に合わせて個々のサービスを導入していくのが現時点での解決策です。

SASEは、「ネットワーク」の要素と、「セキュリティ」の要素の2面をもっているのが特徴。以下で、ガートナー社が公表した『The Future of Network Security Is in the Cloud』の内容を参考に、SASEの構成要素の例を機能別にご紹介いたします。

上記のなかで、主なソリューションとなるのが「SD-WAN」「CASB」「SWG」「ZTNA」といった技術です。SD-WANについては後述するので、以下では、ほかの3つについて簡単にご紹介いたします。

【CASB】

CASBは「Cloud access security broker」の略で、複数のSaaSアプリケーションのセキュリティを、単一の制御ポイントで管理しようという考え方のことです。CASBには、「可視化・分析」「コントロール」「データ保護」「脅威防御」の4つの機能があり、シャドーITの問題を解決できる手段として注目されています。

【CASB】

CASBは「Cloud access security broker」の略で、複数のSaaSアプリケーションのセキュリティを、単一の制御ポイントで管理しようという考え方のことです。CASBには、「可視化・分析」「コントロール」「データ保護」「脅威防御」の4つの機能があり、シャドーITの問題を解決できる手段として注目されています。

【SWG】

SWGとは、「Secure Web Gateway」のことで、「Webフィルタリング」「サンドボックス」「アプリケーション制御」「アンチウイルス」といった機能をクラウドで提供するサービスのことです。CASBがSaaSのセキュリティを対象としているのに対し、SWGでは、Webサイトのセキュリティを対象にしています。

【ZTNA】

ZTNAとは、「Zero Trust Network Access」の略で、すべてのアクセスやネットワークを脅威とみなす「ゼロトラスト・ネットワーク」の考えをもとにしたソリューションです。企業がリモートアクセスをする際に、ユーザーの端末やアイデンティティを、すべてクラウド上で検証し、事前に定義した情報に基づいてアクセスを許可します。これまでのVPNにおいて課題であった、スケーラビリティや通信経路の問題を解決するものとして注目されています。

 SASEの実現に欠かせないSD-WANとは?

 SASEの実現に欠かせないSD-WANとは?

SASEの実現にあたって、非常に大きな役割を果たしているのが「SD-WAN」です。SD-WANとは、「Software-defined Wide Area Network」の略で、企業が構築したWANをソフトウェアによって一元管理するための技術です。

SD-WANのベースとなっているのが、「SDN(Software Defined Networking)」という技術。SDNとは、ソフトウェア上で管理できるネットワークのことで、各機器のネットワーク構成や機能などを、1つの管理画面上から柔軟に設定・変更できるものです。今まで各機器で個別に設定していたものを統合的に管理できるようになるため、ネットワーク管理の負担を大幅に減らせるのがメリットです。

SD-WANは、SDNの考え方を企業のWANに適用したものです。各拠点にある機器のネットワーク設定を一元的に行えるようになるため、エンジニアを各地へ派遣したり、ポリシーを個別に設定したりする必要がなくなります。

SD-WANの仕組み

SASEとSD-WANの関係性を理解するために、まず、SD-WANの技術的な仕組みを理解しておきましょう。

SD-WANの物理的な装置は、各拠点にある末端のルータ「エッジ装置」と、ネットワークを一元管理するシステム「オーケストレータ」で構成しています。

エッジ装置からネットワーク通信をする際は、物理的な回線の「アンダーレイネットワーク」を用いながら、仮想的な回線の「オーバーレイネットワーク」を中心に行うのが特徴。これにより、複数キャリアのWANサービスを利用していたとしても、統合的に管理できるようになるのです。

また、オーケストレータにて適切なネットワーク設定を行うことで、データセンターを介さずに直接インターネットへ接続する「インターネットブレイクアウト」を実現できます。インターネットブレイクアウトによって、自社で保有するネットワークにかかる負担を軽減できるのがメリットです。

SASEを導入するメリット

SASEを導入するメリット

それでは、SASEを導入することに、どのようなメリットがあるのでしょうか。ここでは、3つのポイントで詳しく解説いたします。

利便性とセキュリティの両方を追及できる

SASEを導入することで、クラウド利用時における、利便性とセキュリティの両方を追及できる点がメリットです。これは、ネットワークやセキュリティをすべてクラウド境界で管理できるようになることが理由です。

SD-WANにおいては、企業がクラウドサービスを利活用する際に、WAN構成を柔軟に変更できるというメリットがありました。しかし、各拠点から直接インターネットへ接続する際のセキュリティ面では、セキュリティホールが生まれやすい懸念点が指摘されています。

一方でSD-WANも含めたSASEにおいては、クラウド利用時の利便性に加えて、セキュリティの確保も同時にできるのがポイント。SWGやCASBといったクラウドセキュリティサービスを活用することで、境界を限定せず、あらゆるユーザーやデバイスへの対策を行う「ゼロトラストセキュリティ」を実現できます。

SASEを導入することにより、SD-WANで企業のネットワークを自由に構成できると同時に、SWGやCASBの活用によって、クラウドセキュリティを強化できるのです。

通信のパフォーマンスを改善できる

SASEを実現することで、拠点や社外のネットワーク設定が最適化されるため、場所を問わず快適な通信が可能になります。

従来では、各拠点からデータ通信をしたり、自宅からリモートアクセスをしたりする際は、WANやVPNといった仕組みを構築するのが一般的でした。しかし、接続先サービスや利用者が増加することによって、回線が遅延してしまう問題が発生していたのです。

SASEに含まれるSD-WANやZTNAといったソリューションがこれらの問題を解決。クラウド上でのネットワーク管理が可能になるため、自社のファイアウォール、プロキシサーバー、ゲートウェイなどにかかる負担を大幅に軽減できます。

運用コストを削減できる

SASEにおいては、ネットワークやセキュリティのすべてを単一のクラウド上で設定できるため、運用にかかる負担やコストを大幅に軽減できます。別途でオンプレミス型システムを構築したり、ネットワーク設定のために各地へ飛び回ったりする必要はありません。

また、事業規模の拡大に伴いシステムを拡張する際は、SaaSベンダーへ相談するだけでスムーズに実施できます。対してオンプレミスでは、システムを変更するために、いちいち改修を行わなければなりません。

セキュリティ面においては、セキュリティポリシーの設定を一貫して適用できるのがメリット。システム担当者にかかる運用負担を減らし、より重要度の高い業務へ集中させられるようになります。

SASEを導入するリスク

SASEを導入するリスク

SASEの導入には多くのメリットがありますが、一方で、多少のリスクがあることも踏まえておくことが重要です。

たとえば、SASEはあらゆるサービスを単一のクラウドで利用するため、一度通信や設定で問題が発生した際に、事業のほとんどが止まってしまう可能性があります。また、SASEを狙ったウイルスや攻撃手法が登場する恐れもあるでしょう。

加えて、SASEは草創期のソリューションなので、市場環境が大きく変化していくことが予想されます。そのため、導入直後に魅力的な別のサービスが登場したり、利用中のサービスが突然終了したりすることによって、機会損失につながる可能性もあるでしょう。

ソリューションサービスの多くでいえることですが、登場したばかりのものには多少のリスクがつきものです。自社の状況や市場環境を見定めながら、SASEを構成するソリューションを少しずつ導入していくことで、実現に近づくでしょう。

SASEの活用シーン

ここでは、実際の現場におけるSASEの活用シーンを2つご紹介いたします。

例として、北海道の支社で営業活動をするAさんの事例を考えてみましょう。Aさんは会社用のPCを用いて、SFAやCRMなどの顧客データベースへアクセスします。その際、SD-WANで接続したゲートウェイ経由で、CASBによる識別や許可が行われます。

もし、会社が利用を認めていないサービスへアクセスしたり、ポリシーに反した利用をしたりする場合は、接続が自動的に拒否されます。

次に、在宅勤務をするBさんの事例を考えてみましょう。Bさんは、会社用のPCを用いて、社内のシステムや外部のネットワークへアクセスします。
社内システムへアクセスする際は、ZTNAがアクセス可能かどうかを判別し、許可された場合にクラウド経由でスムーズに接続します。インターネットへ接続する際は、SWGがフィルタリングを行い、適切な通信を許可する仕組みです。

SASEを導入する方法・ポイント

SASEは単一のソリューションとして提供されているわけではないため、それぞれの要素を個別に導入する必要があります。そのため、自社の要件に合わせて適切な組み合わせを選択する必要があるでしょう。

まずは、自社のシステム構成がどのようになっているのかを明確にし、何のサービスを導入する必要があるのかを確認します。その後、SASE実現に向けた詳細な計画を策定し、どこから優先して取り組むのかを決定します。

SASE導入で失敗しないためには、できる限り少数のベンダーにとどめることが重要です。なぜならば、かかわるベンダーやサービスが増えてしまうと、かえって運用の複雑さが増してしまうからです。

 SASEやSD-WANについて理解し、自社のクラウド活用やセキュリティを見直そう

この記事では、SASEやSD-WANの概要、導入のメリット・デメリットなどについて解説しました。SASEを実現するうえで、SD-WANが実現する「ネットワーク制御」機能や「インターネットブレイクアウト」は、欠かせないものとなっています。

また、SASEを導入するメリットやデメリット、導入方法についてもご紹介しました。実現すれば多大なメリットを享受できますが、一方で、管理が複雑になってしまうなどのリスクがある点にも注意しましょう。

SASEはまだ、成長途中のソリューション分野です。そのため、市場環境や動向を注視しながら、自社の要件に合ったサービスを慎重に選定しましょう。

クラウド導入における運用管理をもっと楽にする3つのポイント