見出し画像

SASE導入検討において考慮すべき事項

Katsumi Yamanaka

この記事は、2024年6月13日の sdxcentral の以下の記事を意訳したものです。

How to buy SASE: Questions to ask and pitfalls to avoid
(SASE の購入方法: 質問と注意すべき落とし穴)



市場背景

セキュア・アクセス・サービスエッジ (SASE、サッシー) は、SD-WANとセキュリティ機能(セキュアウェブゲートウェイ (SWG)、クラウドアクセスセキュリティブローカー (CASB)、ファイアウォール・アズ・ア・サービス (FWaaS)、ゼロトラストネットワークアクセス (ZTNA) など)を統合したネットワークおよびセキュリティアーキテクチャです。

SASE は、ニッチなセキュリティ重視のSD-WANの代替から、主要なWAN市場セクターへと急速に成長しました。
ガートナーの2023年12月のレポート「2024年SASE収束のための戦略ロードマップ(“2024 Strategic Roadmap for SASE Convergence,”)」によると、2019年以来「既存のベンダーでは満たされない企業ニーズにより、SASE への業界および顧客の関心が爆発的に増加した」と記されています。
ガートナーは、SASE市場は2021年から2026年までの複合年間成長率29%で拡大し、2027年には250億ドルに達すると予測しています。

調査会社デルオロ・グループもSASE市場に強気です。デルオロ・グループの最新の調査によると、SASE市場は2023年に31%増加し、年間収益は84億ドルに達しました。しかし、WANオプションを検討している企業にとっては混乱が多いです。MPLS、SD-WAN、SASE、SSE、ビジネスブロードバンド、5Gなどのオプションがあり、多くの企業が異なるユースケースに対して異なるWANサービスを展開しています。

以下のガイドでは、SASE 購入プロセスを案内します。基本事項を理解し、主要プレイヤー、質問すべき事項、および避けるべき落とし穴について説明します。

なせSASEが必要になったのか

SASEがSD-WANの代替として登場したとき、その焦点はWANに高度なセキュリティ機能をもたらすことにありました。多くのビジネスクリティカルな資産がクラウドにある現在、企業はクラウドベースのWANネットワークとともにクラウドベースのセキュリティを必要としていました。コロナウイルス(COVID-19)の影響と在宅勤務(WFH:Work From Home)の増加により、WANを拡張するだけでなく、過労しているITチームに過度の管理負担をかけずにセキュリティを確保する必要性が高まりました。

支社、新しいM&Aサイト、パブリッククラウド、リモートワーカー、パートナー、IoTネットワーク、OTネットワークなどに安全なWAN接続を提供しなければならない企業は、ネットワークとセキュリティを単一のクラウドネイティブサービスに統合することで利益を得ることができます。

SASEの主要機能について

ネットワーキング機能には、WAN最適化、SD-WAN、SaaS加速、キャッシング、コンテンツデリバリーネットワーク(CDN)、帯域幅集約が含まれます。これらの機能は、暗号化、多要素認証(MFA)、CASB、データ漏洩防止(DLP)、DNS、FWaaS、セキュアウェブゲートウェイ、ZTNAなどのさまざまなセキュリティ機能と統合されます。

機能は異なり、ベンダーはすでにAIOpsやAIネットワーキング、5GベースのWANリンクのサポート、行動およびコンテキストベースのセキュリティ機能などの高度な機能に投資しています。

SASE導入について

ガートナーによると、2025年までに少なくとも80%の企業がSASE導入に向けた具体的な戦略とタイムラインを持つようになるとのことです。これは、2021年のわずか20%からの急激な増加になります。

多くの企業にとって、SASEの導入は大規模なデジタルトランスフォーメーション(DX)の一環であり、多くのベンダーが階層化されたサービスプランを提供しているため、導入はWAN契約やレガシーファイアウォール、VPNなどのセキュリティライセンスの期限切れとともにSASEが最適な選択肢になります。

SaaSの大きなセールスポイントの1つは、そのシンプルさです。これはSASEにも当てはまり、クラウドネイティブサービスとして複数の物理的なネットワークおよびセキュリティアプライアンスよりもはるかに簡単に展開および管理できます。SD-WANの元々のセールスポイントの1つは、MPLSなどのレガシーWANサービスと比較して短い導入サイクル、すなわち数ヶ月ではなく数日または数週間であったことです。統合サービスが含まれているにもかかわらず、SASEの導入タイムラインはSD-WANと同様です。

サービスへの接続も簡単です。一部のベンダーは、エッジユーザーやデバイスを近くのPoPに接続してSASEネットワークに参加させるためのハードウェアアプライアンスを提供していますが、ほとんどのベンダーはソフトウェアクライアントや仮想アプライアンスを通じて接続を処理しています。

SASEは通常、単一のサービスとして消費されますが、一部の機能はパートナーから提供される場合があります。

SASEには継続的なサポートが組み込まれていますが、サービスレベルは異なります。SASEの魅力の大部分は、保守および管理の負担をサービスプロバイダーに移す能力にあります。

SASEの代替手段

SASEの代替には、ネットワーキング側ではMPLS、SD-WAN、5G、セキュリティ側ではスタンドアロンのファイアウォール、VPN、DLPソリューションなどが含まれます。今日では、多くの企業がMPLSを1つのベンダーから、SD-WANを別のベンダーから、そしてVPNをさらに別のベンダーからという複雑なサービスの混合を持っています。

ほとんどのSASEおよびSD-WANベンダーの目標はオールインワンプラットフォームを構築することですが、多くは現在、SASEスタックを補完するためにパートナーシップやホワイトラベリングに依存しています。

注目のSASEベンダー

ガートナーやデルオロ・グループなどの調査会社によると、主要なSASEベンダーにはCato Networks、Cisco、Cloudflare、Forcepoint、Fortinet、HPE、Juniper、Netskope、Palo Alto Networks、Versa Networks、Zscalerが含まれます。

SASEベンダーに尋ねるべき5つの質問

  1. 貴社のコア専門分野はネットワーキングですか、それともセキュリティですか?
    つまり、ベンダーがネットワーキング会社として始まった場合、セキュリティスタックをどのように開発したのか、またはパートナーから取得したのかを調査してください。

  2. 貴社のサービスはどれほど柔軟ですか?
    つまり、新しいサイトへの拡張、帯域幅の増加、追加サービスの追加が必要な場合、どのように対応しますか?同様に、ペナルティを受けずに減速することが可能ですか?

  3. 貴社のPoPのフットプリントは、当社の場所および主要なクラウドおよびSaaSプロバイダーの場所とどの程度一致していますか?

  4. AIOpsおよび自動化機能をプラットフォームに統合していますか?

  5. 貴社のSLAおよびサービス保証は競合他社と比べてどうですか?

避けるべき5つの落とし穴

  1. PoCやパイロットフェーズでの手抜き。実際のサイトやエンドユーザー/アプリケーションでサービスをテストすることが重要です。パイロットを手抜きすると、以下の他の落とし穴に陥る可能性があります。

  2. レガシーアプリケーションを考慮しない。特殊なミッションクリティカルアプリケーションは、SASE環境ではうまく機能しない場合があります。

  3. 間違ったモデルの採用。SASEには、シングルベンダーSASE、マルチベンダーSASE、マネージドSASEの3つの基本モデルがあります。SASEはハードウェアベースのネットワーキングおよびセキュリティほど複雑ではありませんが、SASEの管理にはスキルが必要です。例えば、社内のIT能力が限られている場合は、マネージドSASEが最適です。

  4. 統合の不良。SASEスペースはサービスの収束だけでなく、スペース内のベンダーについても同様です。一部はネットワーキング企業としてスタートし、他はサイバーセキュリティ企業として立ち上げられました。そのため、多くのベンダーは専門外のスタックの側面を取得、提携、ホワイトラベリングすることでSASEに到達しました。他の機能がコアサービスにどれだけうまく統合されているかを調査してください

  5. クラウドロック。SaaSの利点の1つはサイロやベンダーロックの打破でしたが、現実はそれほどバラ色ではありません。サービスプロバイダーの変更、他のベンダーからのベストインブリードサービスの統合、不必要になった機能の減速やオフにするのがどれほど容易かを調査してください。

以上が、sdxcentral の記事の意訳になります。

記事に関する考察

SASE(サッシー)についてはいくつかの記事を掲載していますので、そちらを是非ご覧ください。

SASEは、ネットワークとセキュリティが統合されクラウドで提供されるサービスですので、複数のベンダーソリューションを組み合わせたマルチベンダーSASEではなく、シングルベンダーSASEを選択すべきです。
マルチベンダーSASEは、ソリューション連携が行われておらず、管理ポータルも別々で、SASEの最大のメリットとも言えるシンプルさがなくなり、運用管理負荷が低減できないからです。

シングルベンダーSASEは、SASEを言葉を生んだガートナーの定義においては、以下の8社となります。

  1. Cato Networks(Cato Cloud/Cato SASE Cloud)

  2. Palo Alto Networks(Prisma Access)

  3. Versa Networks (Versa SASE)

  4. Fortinet (Forti SASE)

  5. Cisco (Cisco Secure Connect)

  6. Force Point(Forcepoint ONE)

  7. VMware(現 : Broadcom)(VMware SASE)

  8. Juniper Networks

しかしながら、上記8社の内、VMware のSASEは(もともと Velocloud ですが)すでにVMware自体がBroadcomに買収され、先行きが不透明になっているので、実質は7社になりますが、現時点でまともに評価できるレベルのシングルベンダーSASEという意味では、4、5社程度になると思います。

少し話はそれますが、最近では日本国内でのみ提供されているSASE(?)も出てきています。

アライドテレシス株式会社は、マネージドサービス“AlliedSecureWAN”とプラットフォームサービス“クラウドUTM”を組み合わせたマルチベンダーSASEを提供しています。
クラウドUTMは、FortiGateを基盤にしたもののようです。
FortiGateを基盤としたクラウドUTMのファイル無害化CDR(Contents Disarm and Reconstruction)機能を自治体で初めて石川県加賀市が活用し、LGWAN接続系でのSaaS利用を開始 (fortinet.com)

株式会社網屋(AMIYA Corporation)のフルマネージドSASE Verona (ヴェローナ)もあります。なんと4,800社以上 の企業が導入しているとのことで、日本国内の4,800企業がSASE導入しているとすると驚くべき事実です!SWG、CASB、FWaaSを提供しているようです。

ともに、PoP数や場所、提供するセキュリティ機能等の詳細情報が一切開示されていないので、果たしてSASEなのかどうかも不明です。

日本国内でSASE導入がイマイチ進まない理由

2023年よりSASE普及期になり、SASEのお問い合わせが非常に増えてきていますが、やはりSASEの概念自体は理解されているのですが、SASEが、ネットワークとセキュリティのDX(デジタルトランスフォーメーション)であることを理解されていない情報システム部の方が殆どです。

あくまでも、既存のオンプレミスのProxy(i-Filter)やクラウドProxy(Zscaler)、CASB(Netskope)、NGFW(Palo alto)、IPS(IDS)、リモートアクセス機器(各種VPN製品)のリプレースがメインになることが殆どです。

つまり、現行機能一覧を作成し、〇×△を付けて、コスト(初期/ランニング費用)を比較することが主な目的となっており、エンドユーザの利便性は愚か、レスポンス評価すらポイントが低く、DXとしてのSASEの評価は全くされていないケースが殆どです。

SASEを導入することで、将来的に(あるいは次のステップで)、既存の通信キャリアの高い専用線が無くせる、オンプレミスのProxyサーバが無くせる、各拠点で致し方なく実施しているローカルブレイクアウトが無くせる、ドメイン単位(M365/BOX)で出口を変更する負荷分散装置が無くせる、終わることのないセキュリティパッチ適用・バージョンアップ作業が不要になる等々と言ったトータルのコストが大きく削減できることすら考慮されません

あくまで現行のポイントソリューション機能で〇×をつけ「現行の〇〇の入れ替えだけでは、コストがあまり変わらないので、移行の手間やコストを考えると、既存のままで行きましょう!」という訳の分からない判断をする情報システム部が多く、日本国内でDX(SASE)が進まないのがよーくわかります。

根本的に、日本でUberタクシーが導入されないのと同じです。
もし日本でUberタクシーが導入されても、情報システム部が導入判断をするとなると「タクシー運転手が二種免許を持っていない」→×、「請求書が発行されない(個人のカード決裁である)」→×、「事故があった時のリスク」→×、「価格」→△などと言ったくだらない評価をして、エンドユーザの利便性や業務の効率化等は一切考慮されずに、導入の見送りになると思います。

タクシー運転手不足もそうですが、国内企業のIT要員がそもそも圧倒的に不足しており、特に、インフラであるネットワークやセキュリティについては、まともに要員すらアサインできない現状ではないでしょうか?

企業のSASE導入は不可欠であると言えます、とっととSASE導入しましょう。

この記事が気に入ったらサポートをしてみませんか?