顧客や代理店にゼロトラストのソリューション提案や勉強会をしているが、ゼロトラストを検討している場合、大別すると3種類に分かれる。そこで、どのような要件を考慮しどんなステップでSASEを実現していくのかについて解説したい。
 
　まずは大別した3種類を説明する。一つめは従業員規模が大きくない顧客からの問い合わせで多いのが、コロナ禍を機にテレワークを開始したことでテレワーカーのWebアクセスや社内システムへのアクセスをセキュアにしたいというケースだ。二つめは拠点が全国／世界中にある製造業やリテールなどの顧客から問い合わせで多いのが、拠点N/WのゲートウェイにFWやUTMを配置したりWANで拠点間を結んでおり、その機器が老朽化したりN/Wの運用コストに課題を感じていたりするケース。三つめは比較的先進層の顧客でクラウドネイティブに既に舵を切っており、パブリッククラウドやコンテナ、ワークロードの保護に課題を感じてソリューションを探しているケースだ。


　一つめの顧客はN/Wまでは手を入れないのでSSEのソリューションがマッチする。SSEの取り掛かりについては、SWG/CASB/ZTNA/FWaaSの4機能から導入を検討するのがいいだろう。

　二つめの顧客はN/W要件を含むため、SASEのソリューションがマッチする。実際にどのような要件を考慮して製品選定を進めていくかについて解説する。

拠点間の通信

　まず、拠点間の通信についてどうしたいかを考える必要がある。現状WANで拠点間を結んでいたりSD-WAN機器で拠点間の通信可能にしていたりして、それをSASEの導入でやめたい場合、拠点A 、SASE PoP（Point of Presence：アクセスポイント）、拠点Bの経路を行き来する通信が可能なソリューションを選定しなければならない。実は、数多くあるSASEソリューションの中でこの要件を実現できる製品は数社に限られるため、この要件の有無によって選定すべき製品は大きく異なる。

社内へのアクセス

　続いて社内へのアクセスについて考えなければならない。Webブラウザーでアクセスするシステムのみであればリバースプロキシ型のZTNA、マルチプロトコルに対応するのであればトンネル型のZTNAを実現できる。こちらも製品によって、両方可、片方のみ可、いずれも不可と異なるため重要な要件となる。

Out-going IPの固定

　Webサービスを利用する際に特定のIPレンジからのみに限定する運用している顧客も多い。SASEを導入する際に引き続きこの要件がある場合も注意が必要だ。負荷分散のために回線を別に用意してインターネットブレイクアウトをしていたものを、せっかくSASEを導入するのであれば別回線を廃止しSASE PoPからWebサービスにアクセスする経路にしたい場合、SASE PoPのOut-going IPを固定する必要がある。こちらも製品によっては標準機能でできる場合もあれば別途有償のオプションで対応可、そもそも対応不可の場合がある。

クライアントモジュールのインストール可否

　端末にクライアントモジュールをインストールすることについてセンシティブなケースも多い。サイレントインストールの可否やアップデートタイミングのコントロール可否、そもそも管理の都合上クライアントモジュールをできるだけインストールしたくないという場合もある。こちらも製品によって、インターネットアクセス／社内アクセスでクライアントモジュールの要不要が異なる場合もあるため、気を付けなればならない点である。

　SASEの実現のためには、このような要件を考慮し、要件にあった製品を選定、どの部分から移行していくのかロードマップを立てるのが良い。多いのは、老朽化したFWやUTMの更新のタイミングでその拠点のN/WからSASE PoPにIPSecなどでアクセスするようにし、セキュリティ機能については選定したSASE製品に可能な限り移行し、段階的にFWやUTMの機器を取り払っていくケースだ。

　三つめの顧客は米ガートナーが定義したCNAPP（Cloud Native Application Protection Platform）のクラウドネイティブ保護ソリューションがマッチする。CNAPPについては次回、詳しく解説したい。