ネットワーク機能とセキュリティ機能を包括的にクラウドプラットフォームで提供する「SASE（Secure Access Service Edge）」は、近年最も注目されているセキュリティソリューションの一つだ。新型コロナ禍によりリモートワークが拡大し、そのセキュリティ対策としてもSASEへの関心が高まっている。一方で、SASEの定義が複雑なこともあり、ユーザーが十分に理解できていない、導入が難しいといった課題もある。セキュリティ対策のスタンダードになることが期待されるSASEの現在地を分析する。
（取材・文／岩田晃久）

リモートワーク普及でニーズ拡大

　SASEは、2019年に米国の調査会社ガートナーが提唱したネットワークセキュリティの新しい概念だ。同社はSASEを構成するサービスを厳密には定義していないが、ネットワーク機能としてはSD-WAN、WAN最適化、クラウド接続の高速化など、セキュリティ機能ではCASB（Cloud Access Security Broker）、ZTNA（Zero Trust Network Access）、セキュアWebゲートウェイ、クラウド型ファイアウォールなどが要件として挙げられている。SASEとは、これらの機能を包括的にクラウドベースで提供するアーキテクチャーのことだとされている。

　期待されるメリットとしては、複数の拠点の従業員やリモートユーザーに対して共通のセキュリティポリシーが適用できる、ユーザー数の増加などで急にトラフィックが増えた場合でも柔軟に対応できる、機器導入・管理のコストを削減できるといったものがある。「何も信頼しない」を前提としたゼロトラストセキュリティを実現する手段としても有効だという。

　ガートナーがSASEを提唱した背景には、デジタルトランスフォーメーション（DX）の機運の高まりがある。DXを推進する中では、ユーザー企業と外部の開発者が連携してパブリッククラウド上でサービスを開発するケースが増えるなど、社内ではなくインターネット経由で業務に携わるユーザーへのセキュリティ対策が必須となる、と同社はみて、このような課題に対する解決策としてSASEを打ち出したとしている。

　最近は新型コロナ禍でリモートワークが拡大し、Web会議をはじめとしたクラウドサービスの活用によりトラフィックが急増した。多くの企業で旧来のネットワークやセキュリティに関する問題が表面化し、これによってSASEへの注目が一気に高まった。

機能の有無がSASEの定義ではない

　認知は拡大したSASEだが、その定義についてユーザーやベンダーの間で十分な共通理解が存在するとは言えないのが現状だ。「どこまでの機能を実装したソリューションならSASEと呼べるのか」という疑問も浮かぶ。
 
　ガートナージャパンのアナリストである池田武史・バイスプレジデントは、「すべての機能を満たしているからSASEで、満たしていないからSASEではない、という言い方はしていない」と話す。続けて「各拠点からのアクセス」「オンプレミスへのアクセス」「クラウドへのアクセス」「外出先からのアクセス」といったSASEが活用されるケースを挙げ「これらのケースの対策で必要とされるアーキテクチャーをSASEの構成要素として説明している。ユーザーは難しく考える必要はなく、自社のネットワークやセキュリティ対策の計画において必要な機能を採用していけばいい。シンプルに捉えることが大切だ」としている。

　また、ガートナーでは2月に「Security Service Edge（SSE）」のカテゴリーに関して、市場で競う各ベンダーの位置づけをマップ化したレポートの「マジック・クアドラント」（以下MQ）を発表した。SSEは、SASEのセキュリティ対策で欠かせない機能であるCASB、ZTNA、セキュアWebゲートウェイの三つを搭載するクラウドサービスと定義されている。

　池田バイスプレジデントは「ネットワーク機能まで入るSASEでMQを作るのは現段階では難しい。ただ、いつまでも現状のままではユーザーにとって悩ましい状況が続くことになるため、先行する形とはなるがSSEのMQを作った」と経緯を述べた。

国内市場も着実に成長

　では、実際にユーザー企業ではSASEやSSE関連のソリューションをどの程度導入しているのだろうか。グローバルを対象としたガートナーの予測では、24年のSASEの市場規模は、SASEが提唱された19年と比較して約5倍まで拡大するとしている。SASEに関連するソリューションを導入している企業も21年の段階では20％程度だが、25年には70％まで伸長するとの分析結果を発表。国内もグローバルほどではないものの、着実に市場は成長しているという。

　ネットワーク構築やセキュリティソリューションを手がけるSIer各社でも、SASE関連の案件は増加している。ただ、SASEが一種の“バズワード”となったことで、「SASEを導入したい」「ゼロトラストを実現したい」といった漠然とした要望も少なくないという。
 
　伊藤忠テクノソリューションズ（CTC）のITサービス事業グループマネージドサービス企画・推進事業部 サイバーセキュリティサービス部ソリューション課の萩原聡・課長は「（SASEの導入に関心があるという顧客に）話を聞くと、CASBによるクラウドセキュリティ強化だったり、リモートワークのセキュリティ対策としてZTNAを導入することになるケースが多い」とし、実際にはネットワークのアーキテクチャーまでを大規模に刷新する大型のSASEソリューションを導入するよりも、SASEの一部を構成するセキュリティ機能を導入することが多いと、最近の傾向を説明する。

　ラックでも、VPNの置き換えとしてSASEやSSEを導入する案件が増えているという。ただ、セキュリティソリューション統括部インテグレーション推進部の田原祐介・部長は「当社では『SASEを導入しましょう』ということは言わない。お客様の課題を聞き、その解決に必要な提案をするのであって、SASEはあくまでも選択肢の一つ」だと述べ、SASE関連の案件は増えているものの、闇雲に提案するのではなく、顧客の課題解決をする上でベストの選択がSASEだったというケースが多いというのが現状だ。
 
　同社では国内最大級のセキュリティ監視・運用センター「JSOC」を運営している強みを生かし、米パロアルトネットワークスが提供する「Prisma Access」といったSASEソリューションの運用監視サービスも提供。利用する企業も多いという。最新の対策ということもあり、大手企業のみでの利用が進んでいるイメージも強いSASEだが、実際は中堅企業でのニーズも高く、100ユーザーといった規模での導入ケースもあるという。

部門間の連携が重要

　一方で、SASEの定着には課題も少なくないのが現状だ。特にネットワークとセキュリティの双方を強化する際には、企業のネットワーク部門とセキュリティ部門の連携が不可欠だ。
 
　CTCのITサービス事業グループマネージドサービス企画・推進事業部サイバーセキュリティサービス部の伊藤英二・エグゼクティブエンジニアは、「大手企業の場合、情報システム部門が旗振り役になるケースが多いが、当然、ネットワークやセキュリティの各担当者が関与する。大規模なSASE導入になれば、（実装する機能により）プロジェクトオーナーが代わるなど複雑になり社内調整が難しくなる」という。実際、部門間の連携が上手くできなかった結果、プロジェクトが失敗に終わったケースもあるそうだ。伊藤エグゼクティブエンジニアは「SASEだけでなくITプロジェクトが失敗するケースの多くが『何がやりたいのか』がはっきりしていないことだ。基本的なことだが、要件定義を明確にするのが重要だ」とアドバイスする。

　各ベンダーからは次々とSASEに関連する製品が市場に投入されているが、それぞれ特徴は違うため、自社の環境や課題に適した製品を導入しなければならない。既に導入している製品と連携させることでSASEの実現を目指すという方法もある。ラックの田原部長は「SASEは段階を踏んで構築するため、都度PoC（概念実証）を行うことが重要だ」との見解を示す。

　また、注意しなければならないのが全てのネットワークセキュリティ対策がSASEに置き換わることはないということだ。昨今、IT業界全体でクラウド化が進んでいるため、一部では「既存のオンプレミス製品を刷新しなくてはならない」という声もあり、そういった中でSASEが必要以上に注目されているという現状がある。

　オンプレミス製品とクラウドサービスのどちらが適している環境なのか、SASEを導入することで高い効果が見込めるのかと、自社の環境を理解することが何よりも重要だ。

　ガートナージャパンの池田バイスプレジデントはSASEについて「まだまだ未成熟な市場だ」としている。
　近年、セキュリティベンダーのM＆Aが多いことを挙げ「数年後、どういったベンダーが残っているのか、どのベンダーが市場をリードしているのかわれわれも分からない」と話す。加えて「機能面や使い方も変わっていくだろう。ベンダー側も今以上によいサービスの提供を目指していく」とし、「現段階では、ユーザーは焦らずに必要な機能を見極め、着実に導入していくのが重要だ」と述べた。