前回までの記事で、インターネット上の分散型エッジコンピューティングにより、「集約されているが、分散している」状態を作れるものがSASE(Secure Access Service Edge)だと解説してきた。
SASEを実現する上でそのユーザーとなる企業は、多くの機能をクラウドエッジの側で持つことが必要になる。SASEをどう実現すれば良いのか、どこから手を付ければ良いのか。そして、現行システムからどう移行して行くべきか――最終回となる本稿では、SASEの始め方を解説する。
SASEの市場は立ち上がったばかりだ。完全な最終形を提供しているベンダーはまだない。多くは、SASEで言及されている幾つかの機能提供から始めて、足りない部分は自社で開発中だったり他社との連携で補ったりしている状態だ。例えば、ファイアウォールベンダーがSD-WANベンダーを買収して、その機能を統合するといった業界再編の動きが続いている。
ユーザーにとって大切なのは、これら限定的な製品や機能の提供の中から5~10年後に自社のSASEを完成させるのに適切なベンダーを選び、二人三脚で進めていくことだ。そのSASEの計画立案において、最初に考えるべき3つの要素を以下に記載する。
1.複数ベンダーか、単一ベンダーか
SASEで言及されている多くの機能をどう調達するべきか。結論から言うと、SASEのプラットフォームとして多くの機能を単一(もしくは少数)のベンダーから調達することが良いとされている。
つまり、セキュアウェブゲートウェイ(SWG:Secure Web Gateway)、ファイアウォール、ゼロトラストネットワークアクセス(ZTNA:Zero Trust Network Access) など、多岐に渡る機能群をそれぞれに異なるベンダーから調達、それらをユーザーが組み合わせて自社なりのSASEを作るというのは推奨されていない。機能をまとめて提供されるものがSASEだ。
少数ベンダーに絞るべき理由として、分散基盤とセキュリティ運用の複雑化が挙げられる。まず分散基盤の複雑化だが、SASEでは場所から解放されてさまざまなところから接続してくるクライアントを、分散型エッジコンピューティングで処理する必要がある。例えば、これがSWG用の分散エッジ、ファイアウォール用の分散エッジ、ZTNA用の分散エッジといったように、それぞれに分散して存在したら通信経路はとても複雑になる。
次に、セキュリティ運用の複雑化も避ける必要がある。言い換えると、現在もオンプレミスで発生しているセキュリティ運用の複雑さをSASE導入のタイミングで改善することが望まれている。現在の企業のセキュリティ対策システムでは、少ないところで数十種類、多いところでは百種類以上に及ぶセキュリティ製品を導入している状態が珍しくない。
日本では数年前から情報セキュリティ人材の不足が課題視されているが、その一因として、セキュリティシステムの複雑化(多ベンダー化)も挙げられている。筆者も多くのシステム管理者と会話する中で、この問題を多く聞いている。企業がセキュリティシステムをオンプレミスからSASEへ移行する際には、この行き過ぎた多ベンダー化の状態をそのままにせず、単一もしくは少数のベンダーに統合することが望ましい。