企業に必要な包括的なプラットフォームである

ネットワークセキュリティフレームワーク（システムの仕組みをまとめた雛形）のなかでも、とりわけ新しく、注目されているのがSASEです。SASEは、これまで別々に使われていたセキュリティソリューションと、ネットワークソリューションを1つにまとめた「ネットワーク&セキュリティのクラウドサービス」という新しいソリューションフレームワークです。

これまでは、1つのセキュリティ問題に、1つのセキュリティアプライアンス（例えば、ファイヤーウォールなど）を利用することが一般的でした。
しかしこれには大きな問題があります。複数のセキュリティアプライアンスが、データセンターにツギハギに導入され、セキュリティソリューションが増えるごとにコストが増えるだけでなく、運用負荷、通信品質の劣化などの問題も発生します。
そんな中、2019年に米国の大手調査会社であるGartner（ガートナー）社がSASEを提唱します。
近年の在宅勤務・リモートワークによって自宅のインターネット回線から、SaaSに接続することが急増した背景もあり、SASEはリモートアクセスを積極活用する企業において特に注目されるネットワークセキュリティサービスとなりました。

SASEの仕組み

SASEは、多くのセキュリティ機能とネットワーク機能を統合した製品です。1つのプラットフォーム上で複数の機能を一元的に管理運用することが出来ます。

搭載される機能はとても多く、そして製品ごとに異なります。ここでは、主たる機能をネットワークとセキュリティの2種類に大別し、代表的な機能をピックアップしてご紹介します。

• ネットワーク機能（WAN Edge）
• 1. SD-WAN
  2. グローバルバックボーン
  3. WAN 最適化・高速化
  4. 拠点間ルーティング

• セキュリティ―機能（Security Service Edge)
• 1. SWG（WEBアクセスの保護）
  2. CASB（SaaSの可視化・制御）
  3. FWaaS（非WEB通信の制御・保護）
  4. SDP/ZTNA（リモートアクセス）

これ以外にもデータ漏洩防止（DLP）、ブラウザ分離（RBI）などの機能が含まれるソリューションもありベンダーによって提供される機能は異なります。

メリット

SASEを導入しセキュリティソリューションとネットワーク機能を1つにまとめると、多くのメリットがあります。以下で特に大きなメリットを3つご紹介します。

1.コスト削減

SASEを導入してネットワークとセキュリティソリューションを1つにまとめることで、物理的なアプライアンスの削減コスト、集中的な管理実現による運用コストの削減を実現できます。WAN機能も集約化すれば、回線コストも劇的に削減することも可能です。
具体的にどれくらいのコスト削減機能があるか、興味深いデータをご紹介します。
アメリカの調査会社Forrester Research社が2022年に公開したデータによると、「Cato SASEクラウド」を使用して6ヶ月以内に、246％のROIが達成されたことを明らかにしました。旧来のネットワーク機器の撤廃、パフォーマンス向上、セキュリティ体制強化、ITチームメンバーの士気を高めたことも言及されています。この驚異的な数字を達成した「Cato SASEクラウド」については、後に詳しくご紹介します。

2.生産性とセキュリティの両立

従来のネットワークは、データセンターを中心にネットワーク構造が作られて来ていました。
しかし、このデータセンター中心のネットワーク構造は、大量のクラウド向けのデータ通信に耐えられないこともあります。さらに近年はzoomなどのWEB会議や、高画質な資料の共有など、動画を含んだデータ通信量は増加傾向です。通信量に耐えきれずネットワークに遅延が生じた場合、自社システムの使用や外部とのコミュニケーションが難しくなり、企業のデジタルビジネスに大きな損失を生みます。SASEは、クラウドネイティブなスケーラブルなインフラを持っており、データ通信量に応じてインフラが自動的にスケールし遅延が起こらないような仕組みが採用されており、数千・数万人のアクセスも耐えることが可能となっており、セキュリティと従業員の生産性を両立することが可能です。

3.セキュリティ脅威への自動的な対応

従来のバラバラなセキュリティポイントの組み合わせでは、セキュリティポリシーもバラバラになります。漏れ・抜けがないと思った設定でも、脆弱性が生まれることもあります。また、その脆弱性対策に要する時間も膨大になっていきます。

SASEは複数のセキュリティサービスとネットワーク機能を1つに包括し、1つのシンプルなセキュリティポリシーで運用管理します。不正な通信も監視でき、より強固なセキュリティになります。

SASEはクラウドとして提供されるため、最新のランサムウェア・マルウェア対策も、クラウド側が自動でバージョンアップを行います。拠点ごとにパッチをあてる手間もなく、グローバルで抜け漏れのない一元的なセキュリティガバナンスの強化が可能です。

デメリット

SASEは万能なサービスではないため、デメリットもあります。

導入前に確認しておきたい、SASEのデメリットについてご紹介します。

1.管理画面の複雑性

SASEは1つに多くのセキュリティサービスやネットワーク管理機能がまとめられています。機能が多い分、それぞれの管理画面は複雑になりがちです。実際に各SASEベンダーのデモなどを通じて、管理画面の使いやすさを確認しておくことが重要となります。導入前のデモを体験できるなら、ぜひ一度体験しておき、管理画面が使いやすいかどうか、操作感を調べておきましょう。

2.クラウドサービスの堅牢性

企業のネットワークは基本的にSASEを通ってクラウドやデータセンター、拠点の間をアクセスします。その回線が落ちていては業務が停止してしまい、ビジネスに悪影響を与えてしまいます。SASEインフラの可用性や冗長性についても事前に調査しておくことをおすすめします。Cato Networks社のクラウドの場合SLA 99.999%と高可用性を保証しています。メンテナンスの頻度や方法、ダウンタイムなども事前に計算しておけば安心です。また仮にSASEインフラが落ちてもバックアップ回線で回避する仕組みが設けられているかどうかも併せて確認することを推奨します。

3.SD-WANが内蔵されているかどうか

FWベンダーを始め多くのセキュリティベンダーが、SASEソリューションをリリースしていますが、その多くがセキュリティ機能だけにフォーカスしておりSD-WANを搭載していないソリューションが多いです。SD-WANを別途導入して連携することも可能ですが、これはSASEではなく、このようなセキュリティサービス機能だけに特化したものを最近はSSE（Secure Service Edge)と呼びSASEと明確に区別して呼ぶようになっています。拠点間通信も統合したい場合は、SD-WAN機能が内蔵されたSASEを選択するようにしましょう。

※SD-WANは拠点間通信であるWANを効率よく一元管理する次世代ルーター機能です。主にL4-7レベルでアプリごとに通信を制御し、閉域網だけでなくインターネット等のハイブリッドな回線の上で企業ネットワークを柔軟に構成することが可能となります。

ゼロトラストとSASE

SASEと一緒に語られることが多い「ゼロトラスト」はソリューションや機能の名称ではなく新しいセキュリティのコンセプト・フレームワークです。これまでは信頼できる社内ネットワークと、信頼できない社外ネットワークという形で社内と社外を分ける『境界防御』の考え方が主流でした。

ただし社内ネットワークにアクセスできるユーザがデータを持ち出す内部不正事例や、クラウドなどの社外ネットワークに重要なデータを保存することも多くなってきたため従来の「境界型防御」ではこういった課題に対応しにくくなってきました。

「ゼロトラスト」ではVerify and Never Trust（決して信頼せず必ず確認せよ）を基本に、社内・社外の境界をなくして、あらゆる通信を信用せず、リソースへの接続前に必ず検証を行います。ゼロトラストの考え方を取り入れることで、内部不正によるデータ持ち出しや、境界を通らないクラウド間のデータ漏洩などに対処することが可能となります。

ゼロトラストを実現するためには、リソース・データへのアクセスを一元的に可視化・検証することが必要となりますが、この時にあらゆる通信経路をクラウド上に統合し共通経路化することが可能となるSASEは、ゼロトラストのコンセプトを体現するのに相性が大変良く、SASEを利用しようというお客様が増えているのです。

CASBとの違い

CASB（Cloud Access Security Broker　読み方：キャスビー）は、クラウドサービス・SaaSへのアクセス制御に特化したセキュリティゲートウェイソリューションです。クラウドサービス・SaaS環境において、非常に細かいセキュリティ設定が可能なのが特徴です。

CASBの主な機能は、クラウドサービスへのアクセスを可視化すること、データ中心のセキュリティ対策を施すこと、マルウェアなどの脅威から防御すること、コンプライアンスに違反する利用を防止するなどがあります。

2012年にGartner社が提唱し、クラウドサービスの普及とともにCASBの需要も増加しています。
とくに、リモートワークの需要が急増した昨今では、セキュリティ担当者が把握していないクラウドサービスを利用する事例（シャドーIT）も起こりやすくなり、CASBはなくてはならない存在になってきました。

そんなCASBは、もとは1つの独立したセキュリティソリューションでしたが、SASEのセキュリティ機能の1つに含まれることが多くなっています。

SASEに関連するキーワードは専門用語が多く、混同してしまいがちです。SASE製品を選ぶ際は、サービスをしっかり比較し、細かく検討しましょう。
次章からは、マクニカおすすめのSASE「Cato Networks」についてご紹介します。

「Cato Networks」の特徴や料金

2015年に設立されてから、ネットワークセキュリティ、SD-WAN、SDP/ZTNAを自社開発し、ワンストップなセキュリティ対策を提供しています。

そんなCato Networks社が開発したSASE製品「Cato SASEクラウド」は、すべての拠点や、テレワーク、SaaS、IaaS、モバイル端末まで包括して保護します。最大の特徴は、すべてクラウドで、ソフトウェアスタックで構築されているところです。

クラウドなので、もちろん専用サーバーの設置は不要です。仮想アプライアンスでもありません。Cato SASEクラウド上でグローバルのセキュリティ対策を一元管理し、セキュリティ機器の脆弱性チェックやバッチ適用などの手間もありません。ランサムウェア対策なども、クラウド側で自動的に行われます。

実は、先にご紹介した「6ヶ月以内に246％のROIが達成された」ことも、クラウドで動作するCato SASEクラウドならではの数字です。他社製SASEだと、機器設置で費用回収できず、246％ほどの大きな業務改善をするのは難しくなります。

また、リモートワークにもおすすめです。
SASEはリモートアクセスの管理機能も統合されており、リモートアクセスについても一元管理でき、搭載されるSDP／ZTNAクライアントソフトは、WindowsやmacOSだけでなく、iPhoneやAndroid、LinuxなどのマルチOSに対応。在宅勤務をしながらも、従業員の生産性を向上します。

SASEへの接続デバイス、Cato Socketもすべて保守費用込みの年間費用となるため、初期投資を抑えながらSASE導入を開始することができます。PoC（Proof of Concept 概念実証）の後そのままデバイスをお使い頂く事もできます。

スモールスタートの後、帯域、拠点、モバイルユーザの追加も随時スケールアウトして更新が可能ですので、予測できない時代の災害対策や持続可能な企業経営のデジタルビジネス基盤として準備しておく事が可能なのです。

CATO SASEクラウドの金額体系はエディションなどの分類がなく、とてもシンプルです。

• サイトライセンス：国ごとの拠点数、ラストワンマイルの帯域、HW（Catoソケット）
• モバイルライセンス：国ごとのモバイルユーザ数。1ユーザあたり３端末まで同時接続可能
• CASBなどのセキュリティオプション、MDRなどの監視サービスオプション

上記のお客様の仕様をお聞きし、構成を元にお見積りをさせて頂いています。随時サイトの追加、増速、モバイルライセンスの追加が可能となっているので、スモールスタートや複数年契約もご対応しております。

Cato SASEクラウドを詳しく知りたい方はこちら

個別相談会のお申込みはこちら