今回はゼロトラストと関連の深いSASEとSSEについて解説する。ご存じかもしれないが、SASEは“Secure Access Service Edge”の略で、セキュリティ要件とネットワーク要件を単一のクラウドサービスプラットフォームで提供する概念だ。SASEの詳細について、ここでは割愛し、”Edge”という言葉についての理解を深めたい。
 
　Edgeとは特定のネットワークの端っこを指し、端末からそのネットワークへ接続するための玄関である。高速道路の料金所をイメージすると分かりやすい。従って、”Secure Access Service Edge”とはインターネットや社内システム、パブリッククラウドなどのネットワークにセキュアにアクセスできるよう、セキュリティやネットワークの設定が施された玄関を提供するクラウドサービスだ。

　5Gの構想段階では”Edge Computing”という言葉が脚光を浴びた。高速・大容量通信、低遅延、同時接続数の最大化の3本柱のうち、低遅延に起因する考え方である。遠隔医療や自動運転などの遅延が絶対に許されないサービスを実現するためには、データをクラウド上で集中処理するのでは間に合わない可能性がある。そのため、データ処理の一部または全部をクラウドと端末の間（すなわちクラウドサービスの玄関のEdge）で分散処理する。

　ここで面白いのは、端末性能の向上や仮想化などの技術躍進、さまざまな制約などによって、時代とともにデータ処理の場所が変遷している点だ。
 
　Web2.0以降は分散処理が主流となり、デバイスからEdgeにデータ処理の場所が一旦戻ったのが現状だが、今後Web3.0では非中央集権型のブロックチェーン技術によりデバイスとEdgeで大量のデータ処理が行われていくだろう。一時期クラウドからオンプレミスへの回帰が話題に上ったことや歴史は繰り返すことを考えると、長い目で見るとまたサーバー側での集中管理に振り戻される日がくるかもしれない。

　セキュリティ以外でも“Edge”がキーワードとして今後も重要となる。そして、SSEとは“Security Service Edge”の略で、ここでもまたEdgeが出てくる。SSEとは、概念的にはSASEの中からセキュリティ要件だけを切り出したものとして米ガートナーが定義した言葉であるため、「SSEはSASEの仲間」というよりは、「SSEはSASEの一部」と捉える方が正しい。

　ガートナーは19年にSASEを定義し、21年にSSEを定義した。この2年間で分かったことは、完全なSASEに移行するには数年単位での時間を要することであり、そのためネットワーク要件はひとまず置いておきセキュリティ要件から課題解決するよう段階的なアプローチに変更された。

　さまざまなベンダーがSASE領域に進出してきているが、元々SD-WANソリューションに強みを持つネットワークベンダーはSASEのまま製品展開を行っているが、元々SWGやCASBソリューションに強みを持つベンダーはSSEが定義されたことを追い風としてSSEとして製品展開をし始めている。

　新しく定義されたSSEのうち、特にSWG/CASB/ZTNA（社内N/Wへのセキュアなアクセス）/FWaaS（FWをサービスで提供）の4機能については、24年までに30％の企業が導入するとガートナーは予測している。

　この4機能を導入することで実現できることは、（1）アクセス元のネットワークやデバイスに寄らず安全にインターネットに接続、（2）利用している／利用NGなWebサービスの監視／制御、（3）社内N/W内の社内システムへのセキュアなアクセス、（4）HTTP/HTTPS以外のプロトコルの制御となり、最低限のセキュリティをクラウドサービスで実現できるため、最初の取り掛かりとしては、この4機能から導入を検討するのが良いだろう。

　ただし、現状のFWaaSはout-bound通信の制御に特化しているベンダーが多く、in-bound通信は社内へのリモートアクセスは可能だが外部からの攻撃や、構築しているWebサイトへの訪問に対応できない。そのため、これらの要件を満たすためにはWAF（Web Application Firewall）と組み合わせたり、オンプレのFWとの多段構成にしたりする必要がある。

　このようにSSE、ひいてはSASEの導入には気を付けるべき点がいくつもあるというわけだ。