2023年は本格的なSASE/SSEの導入が進むと思っています。

SB C&Sでも、たくさんのSASE/SSE製品を取り扱っており、製品の紹介、製品どうしの比較、更にPoCやPoVといった評価導入までを支援させていただく機会が増えてきています。

今回はその中でもあらためて、"SASE"を導入することはどういうことか振り返ってみます。

オンプレミスにデータが存在する想定のネットワーク

今でも多くの企業で採用されている、ネットワーク設計というのは以下のような構成ではないでしょうか？
このネットワークにおける、主体はまさに会社の中に存在する、データやサーバーとなります。

私自身も初めて、ネットワークエンジニアを志したときから継承されている、階層構造におけるL2/L3構成や、アクセススイッチや無線LANによる802.1X認証、そして社内と社外を境界によって分離した、ファイアウオール（ペリメター）による保護です。

このネットワークの思想としては、社内にあるデータに対して、効率よく制御するために特化したデザインだと思っています。

ユーザーや端末に近い場所で、認証（主に802.1X認証）を行い、階層化されたL2/L3スイッチでトラフィックを柔軟にコントロールし、マルチキャスト、ブロードキャストをなるべく少なく行いながら、不要なトラフィックをデータやサーバーへ到達させない設計でしょう。

問題は、このネットワークが昨今のクラウドを中心としたSaaSやプライベートクラウドを利用する前提において、最適なアクセス環境をコントロールできるかという問題において、残念ながら今では非効率なデザインになっているような気がしています。

またリモートアクセスユーザーのセキュリティを考えても、社内で802.1Xのような高度なユーザーやデバイス認証を行っていても、リモートアクセスはSSL-VPNやIPSecのような方法となるため、社内のセキュリティとは異なる方法での管理となり、せっかくの社内で構築したセキュリティシステムの恩恵を受けていないのがこのネットワークの特徴だと思います。

この先5年/10年を見越したネットワークデザインとは？

今日/明日すぐに新しいデザインを取り込むことは難しいかもしれませんが、しかし近い将来にネットワークを更新/更改する予定がある場合、ぜひ取り込んでいただきたい要素としては、SaaSやプライベートクラウドへのアクセスを想定した、クラウドアクセスを中心としたネットワークの再設計です。

多くの企業では、社内チャットなどを採用していると思いますが、今会社のとなりの方とチャットで会話する場合も、社内でブロードキャストやマルチキャストを使った方法で、メッセージを送ることはほとんど無いと思います。

クラウドのチャットのサーバーにメッセージを送信し、メッセージを受信した方も、クラウドへデータを取りに行きます。

今多くの企業において、データの所在が、オンプレミスからクラウドへ大きく転換している時期であり、データをクラウドへ移行することで、場所を問わず、コミュニケーションができるようになりました。

データは、クラウドに対してユニキャストで通信が行われて、通信環境も昔に比べてとても良く、帯域幅を気にせず利用できます。

そう考えると、従来のように、ユーザーのデバイスのような、ユーザーに近いところでアクセス制御するより、データに近いところで通信をコントロールする仕組みのほうが、効果的でより便利な制御ができるようになりました。

この形が私は、SASE（Secure Access Service Edge）の採用だと考えています。

ユーザーは、どんなネットワーク（環境）を使うかは、ユーザー次第ですが、クラウドサービスへアクセスする際は、必ずインターネットを経由するため、インターネットにゲートウェイを設置し、そこで制御することができれば、場所にとらわれずに、企業が望んだ形でのセキュリティ制御ができるようになります。

SASEによるネットワークの再設計

今まで社内のネットワークを使って、多少強引に、クラウドへのアクセス制御をしていたところも、SASEをゲートウェイとして考えて、SaaSやプライベートクラウドへのアクセスを行うととてもスムーズなアクセス制御ができるようになります。

社内や社外など、場所に関わらず一貫したセキュリティポリシーの適用によって、すべてのユーザーは完全に可視化、コントロールが可能です。

更に、社内で構成していた、複雑なネットワークアクセスコントロールも、不要となるため、社内LAN自体が簡素化されて、よりシンプルでフラットなネットワークによって、調達コストや設計コストを大幅に下げることもできます。

従来どおり、社内のオンプレミスデータへのアクセスを確保することもできるため、既存システムを残しながら移行することも可能です。

この仕組は"ゼロトラスト"に通じるものがあります。（まさにネットワーク環境をゼロトラスト化することです。）

今までは、システムを利用するユーザーが自身の場所や環境を理解し、社内Wi-FiやVPNを使い分けていました。社内の規定として、会社が認めていないWi-Fiを使うことを禁止したりすることもあります。

SASEの世界では、ネットワークシステムがユーザーの状況を把握し、最も最適な経路とセキュリティを担保する仕組みです。

そのため、ユーザーに意識をせずとも、インターネットへ接続するだけで、もれなく企業ポリシーに準拠することができます。（ユーザーセキュリティリスクを押し付けなくても大丈夫な世界です。）

SASEの採用とはネットワークの評価と再設計

住宅でも、時代とともに間取りに対する要件が変わります。

同じように、ネットワークもクラウドやアプリに応じたデザインを取り込むべきですが、基礎デザインを変えず、帯域速度を上げること、多層型セキュリティで保護するアプローチを取られることが多くあります。

ここ2年間ほど、たくさんのお客さまと対話してきた中で、SASEの採用に至るケースとして多かったのが、上記でお話したようなネットワークの再設計に価値を感じられる方がとても多くなって来ていることを感じます。

社内にサーバーやデーターがないにも関わらず、社内LANを増設やUTMによる保護、拠点間接続のための専用線など既存のネットワークを"無意識"に引き継いでいるケースが多くあります。

SASEの構築自体は実はそれほど難しいというものではありません。
サービス自体はメーカーがすでに作成したネットワークを利用するために、従来のオンプレミスシステムに比べて簡単でかつ強力な可用性を持った製品が多くあります。

しかし、SASEの導入において最も気をつけなえればならないのは、良い製品を選ぶ（製品の比較など）よりも、今あるネットワーク環境をいかにスムーズにSASE化していくかという、移行を伴う設計やプロセスが重要だと考えています。

移行の方法が決まれば、自ずと採用するべきSASE製品が見えてきます。その過程で、SASEなのかSSEなのかなどアーキテクチャによる違いが重要になってきますが、逆に機能ありきで考えてしまうと、移行がとても複雑なものになってしまいます。

この後に続く、SASEの最適な製品選びとは

SASEを採用したいという企業は年々増え続けます。

今回は私たちがSASEの提案をする際によくお話している、冒頭の資料を抜粋し、なぜSASEを採用するべきかというお話を取り上げてみました。

1つ確実に言えるのは、日頃私たちが使っているITシステムは、アプリによって進化し、そのアプリの多くがクラウドアクセスによって行われるというロジックを理解していることが必要です。

この点がとても重要で、アプリは日々通信に対する要件がどんどん変わってきます。

オンプレミスのWebプロキシやUTMがクラウドのオフィススイート利用におけるセッション数に耐えることが出来なくなり、ローカルブレークアウトと呼ばれる方法が採用され始めました。

通信環境がよくなればなるほど、アプリに必要とされる通信要件もリッチになるため、ネットワークとネットワーク・セキュリティもその要件に追従できる形を取ることができれば、企業にとって快適なアプリアクセスをユーザーに提供し続けることができます。

これを実現するのことがSASEの役割であり、その中でも正しいSASE製品選びが重要となります。

実はこの続きのお話があり、本ブログでは書ききれませんので、気になる方は直接SB C&Sとお取引のある販売パートナー様、SB C&Sまでお問い合わせいただければ、SASEの提案や製品紹介、製品の比較などを交えてお話することが可能です。