SASEとは、「Secure Access Service Edge」の略で、ガートナーが2019年に提唱したネットワークとセキュリティを包括的に扱うことのできる新しいフレームワークだ。

「Secure Access Service Edge」の最後に登場するEdge（エッジ）とは、ネットワークの接続先に設置する機器のこと。具体的には企業ネットワークの接続拠点、工場や店舗に設置されているデバイスの接続先、サービスプロバイダーのアクセスポイントなどが該当する。

SASEの目的は、ユーザーやデバイスがオフィスや自宅など場所によって変化することなく、常に最適なネットワークとセキュリティ環境を提供することにある。

そのためにSASEは、クラウド上でネットワーク機能（Network as a Service）とセキュリティ機能（Network Security as a Service）を統合し、必要な機能をエッジに提供する。これにより従来型のデータセンターを介したアクセスとは異なり、エッジや接続デバイスが増減しても柔軟にネットワークトラフィックの負荷を軽減し、統一的なセキュリティポリシーが適用される仕組みを構築できるのだ。

これからのビジネスは、常にデジタルテクノロジーを利用することが当たり前となっていく。そのためには、いつでも、どこからでも必要なサービス、アプリケーション、データにアクセスできる環境が必要であり、その接続先はクラウドになる。そこで重要となるのがSASEなのだ。

クラウドへの移行、働く場所を選ばないテレワークの常態化、IoTデバイスの普及などにより、企業の情報システムの分散化は一気に加速した。その一方で、ネットワークのパフォーマンス低下や、セキュリティの一元管理ができない、といった新たな課題を抱える企業が増加している。

これまで企業のネットワークは、データセンターを中心に構成されており、全てのネットワークトラフィックはデータセンターに集約されていた。そのため、ネットワークやセキュリティの管理は、データセンターという城を囲うように城壁を作って外側と内側とに分け、出入口となる接続拠点を監視して危険なアクセスを遮断し、アクセスの集中などのネットワークトラフィックで渋滞が発生したときに対応していれば良かった。

しかし近年Microsoft 365やSales forceなどのSaaS利用が増え、さらには企業システムそのものもクラウドに移行するようになった。このように城壁の外側にアプリケーションやデータが配置されるようになったことで、内部だけ安全に保っていれば良いという従来型の管理方法では対応しきれなくなってしまったのだ。

さらにこの状況に追い打ちをかけたのが、コロナ禍によるテレワーク需要の増加だ。オフィスの外側から安全にアクセスする手段を提供する必要に迫られたことで、多くの企業がVPN接続のポイントを増やし、SaaSにもデータセンター経由でアクセスするようにした。

しかしその結果、ネットワークに大きな負荷がかかって遅延が発生するというケースが急増した。また、パフォーマンスの低下にエンドユーザーが耐えられず、管理できていない危険な経路を使ってSaaSに直接アクセスするというリスクも起きてしまう。

こうした課題を持つ企業や組織にSASEを念頭においたソリューションを導入すると、ネットワークやセキュリティの性能を向上しつつ管理負荷を低減できる。さらにエンドユーザーの利便性を向上できるというメリットもある。

SASEはクラウドから提供されるセキュリティゲートウェイであり、全てのアクセスをクラウドに集約し、クラウドから各エッジに機能を提供するフレームワークとなる。

そこに含まれるSASEの中核機能には「SWG（Secure Web Gateway）」「CASB（Cloud Access Security Broker）」「ZTNA（Zero Trust Network Access）」「SD-WAN（Software-Defined Wide Area Network）」などがある。

SWGは、URL/IPアドレスのフィルタリング、暗号化されたWebトラフィックへのSSLインスペクション、サンドボックスなど防御機能を提供する。SASEの提唱以前から広く利用されている仕組みでもあり、提供されているソリューションも多い。

CASBもガートナーが2012年に提唱したクラウドセキュリティフレームワークの一つで、一般的には「キャスビー」と呼称されている。複数のデータセンターやクラウド間に単一のコントロールポイントを設け、全てのアクセスをそのコントロールポイントに集約させることで利用状況を可視化し、一元的にコントロールする。

ZTNAはアプリケーションやデータをネットワークから完全に分離させることで、承認されたユーザーのみがアクセスできるようにする仕組みだ。すでにMicrosoftのAzure Active Directory（AAD）をはじめ、さまざまなベンダーやプロバイダーがZTNA関連ソリューションを提供している。仮にいずれかのアカウントが乗っ取られても、被害はそのユーザーがアクセス可能なアプリケーションやデータのみに留めることができる。また、ネットワークそのものを信頼していないため、VPNのような「信頼されたネットワーク」を必要としないことも特徴だ。

SD-WANは、「Software-Defined」つまりソフトウェアでネットワーク全体を管理するという考え方だ。プラットフォームに依存することなく、アプリケーション、データ、デバイス、ユーザーを識別し、ポリシーに沿ってネットワークのトラフィックを管理することができる。ここ数年でSD-WANの関連ソリューションが多数リリースされていることから、既に導入している、あるいは導入を検討している顧客企業も多いのではないだろうか。

このようにSASEは、以前から提唱されている技術を中心に構成されたネットワークとセキュリティの管理フレームワークである。SASEが重視しているポイントは、分散環境において一貫したセキュリティポリシーを適用するために、ネットワークとセキュリティを包括的に管理すること、管理機能がクラウドから提供されていること、そしてSoftware-Definedであることだ。

SASEはまだ新しいフレームワークであり、今後も新たな構成要素が追加されることは十分に考えられるが、方向性として現在提唱されているSASEの考え方から大きく逸れることはないだろう。さらにSASEは企業がDXを推進するうえでは不可欠な考え方であり、今後も大きな需要が見込める分野であることは間違いない。

ただし、どのようにDXを推進し、ネットワークやセキュリティをどのように管理していくかは企業ごとに異なるため、顧客のビジネスを正しく理解していなければ、効果的な提案につなげることはできない。今すぐ導入した方が良いソリューションは何か、将来的には何が必要になるのかを顧客と一緒になって考えることが重要である。