SASEとは何か ベンダーの単なる誇大宣伝か、役に立つのか：Secure Access Service Edgeを理解する

次々と生まれるセキュリティ用語。SASE（Secure Access Service Edge）もその一つだ。これは既存概念に新しいラベルを貼っただけの誇大宣伝なのか。

[Toby Sibley, William Blackwell, Farrukh Ahmad，Computer Weekly]

　SASE（Secure Access Service Edge）を話題にすると、「SASEはセキュリティベンダーのマーケティング上の誇大宣伝ではないか」と聞かれる。「その通り」だ。

　SASEは現実よりも誇大に宣伝されているが、企業がIT資産のセキュリティを確保するための根深い問題に取り組もうとしていることは確かだ。

　では、SASEとは正確には何か。どのように役立つのか。SASEの導入を阻む可能性とは何か。

SASEとは何か

iStock.com/SIphotography

　SASEは、確立された定義もなければ信頼性が高い標準に支えられているわけでもない。SASEベンダーの多くは、既存製品や技術に密接に対応する定義に近づけようとしている。

　多くのベンダーは、SD-WAN（ソフトウェア定義WAN）、ファイアウォール、脅威検知、ネットワークアクセス制御などのネットワークサービスやセキュリティサービスの集合体がSASEであることには合意する。ネットワーク機能とセキュリティ機能をクラウドとオンプレミスで使える一つのサービスに進化させるというのが中心概念だ。SASEを構成するネットワーク機能とセキュリティ機能の正確な構成はベンダーによって異なる。

関連記事

• 恐怖をあおるセキュリティ業界に喝！
• 英政府機関が痛烈批判「セキュリティ企業は不要な製品を売りつけている」
• Microsoft、Googleのゼロトラスト対応
• コンテキストベースセキュリティへの期待と残念な欠落点
• セキュリティ対策を怠ると罰金──実はGDPR級に重要なEUの「NIS指令」

特別編集ブックレット

• いまさら聞けないSIEM／SOAR　それって何？　どっちを使う？

SASEが解決する問題

　進化し続ける脅威に対応するため、多くの企業が一つ一つに対応する製品を導入してきた。これにオンプレミスからクラウドに移行する動きやSDN（ソフトウェア定義ネットワーク）が加わり、ネットワークとセキュリティの技術が断片化した。その結果、IT資産の管理コストと複雑さが増加する。

　製品同士の相互運用性が乏しいことが多いため、一貫したポリシーを展開したりログやイベントのアクティビティーを統一したりするのは困難だ。ネットワークやセキュリティを完全に管理できる技術を保有しているかどうかを評価するのは難しく、コンプライアンス活動も困難になる。

　「概念としては」、SASEはこれらの課題の多くを解決する。問題は、なぜSASEが市場に浸透していないかだ。

SASE導入の阻害要因

　SASEの導入は、既存のセキュリティ投資と変革のビジョンに大きく左右される。

　SASEが対応するセキュリティ機能が必要であることは分かっている。とはいえ、真っさらな状態から始めるのでなければ、セキュリティのレガシー実装があるだろう。これには、運用モデルやスタッフのスキルセットを変える可能性も含まれる。

　クラウドを利用して変革を促している場合は、SASEによって多くのコンプライアンス要件に対応できるかもしれない。だが、その場合は全機能を単一のベンダーから調達してロックインされないようにする必要がある。ベンダーを一社に限定すれば緊密な統合というメリットは手に入るが、SASEスタック全体で「クラス最高」とは言えない機能の導入を余儀なくされる恐れがある。

　製品の成熟度を考えると、白紙状態から取り組まなければSASEの導入は難しいかもしれない。ただし、上記の課題を理解していればSASE導入のハードルを下げられる可能性はある。

SASEの将来

　企業が直面する課題の複雑さは、ネットワークとセキュリティの管理を簡素化する局面に来ていることを示している。そのため、SASEは強力なソリューションのように思える。とはいえ「クラウドファースト」と大規模ネットワークからの脱却により、SASEがもたらす技術は企業がギャップを埋めようとする行為と相反する可能性がある。

　セキュリティサービスを社内で管理しつつ、システムの大部分をクラウドに移行してSD-WANの管理を外部委託する企業も増えている。つまり、各種サービスを一元管理することは解決すべき問題ではなくなっている。SD-WANとセキュリティサービスを一つにまとめることがメリットになるとは限らない。

　これらを考えると、SASEが短期間で導入される可能性は低い。

　長期的に見れば、ZTNA（ゼロトラストネットワークアクセス）とSD-WANを組み合わせて、セキュリティの確保とアクセスの最適化を提供するベンダーが増えるにつれ、SASEの導入が増えるかもしれない。

　これは、クラウドプロバイダー間のブローカーサービスになる可能性がある。従来MPLSに求められていたネットワークの保証をこのブローカーサービスが提供し、既存のレガシーハイブリッド環境を維持する。大手クラウドプロバイダーがライセンスモデルの一環としてSASEサービスを提供し、SASEが既存のサービスに吸収される可能性もある。

トビー・シブリー氏、ウィリアム・ブラックウェル氏、ファルク・アフマド氏はPA Consultingのサイバーセキュリティの専門家。