クラウド/モバイル時代のセキュリティをエッジ指向で提供するアーキテクチャ「SASE」とは？

　パロアルトネットワークス株式会社（以下、パロアルト）は30日、クラウドおよびモバイルセキュリティに関するプレスセミナーを開催。

　クラウド時代に求められるセキュリティアーキテクチャとして2019年から注目されつつある「SASE（Secure Access Service Edge）」の概念と、SASEに関連するパロアルト製品アップデートについて説明を行った。

　本稿では同セミナーの内容をもとに、クラウドとモバイルが企業ネットワークの主役となった時代に求められるセキュリティモデルについて概観してみたい。

従来のデータセンター型のネットワークとセキュリティが抱える問題

　いまとなっては「Office 365」や「G Suite」などのSaaSアプリケーションを日常的に業務に利用している企業は少なくないが、10年ほど前までは決してあたりまえの光景ではなかった。同様にスマートフォンやタブレットの業務利用に関しても、現在ほど自由度は高くなかったといえる。

　だが世の中がクラウドやモバイルへと急激にシフトしているにもかかわらず、それを支えるバックボーンネットワーク、そしてネットワークセキュリティが時代のニーズに必ずしも追いついてないという現状がある。

　「これまでの企業ネットワークは、基本的にデータセンターにすべてのトラフィックを集約し、その後、トラフィックを分散するという設計で運用されてきた。したがってセキュリティも“（企業ネットワークの）中は安全、外は危険”という白か黒のスタティックな世界観をベースに構築されていた。しかしアプリケーションがクラウドへと移行し、クラウドリソースへのアクセスが企業活動においても一般的になると、従来のデータセンター集約型のネットワークとセキュリティでは対処できない課題が増えてくる」（パロアルト チーフサイバーセキュリティストラテジストの染谷征良氏）。

パロアルト チーフサイバーセキュリティストラテジストの染谷征良氏

　従来のアプリケーションと同様に、SaaSなどのクラウドアプリケーションを、データセンターを一度経由してから利用しようとすると、アプリケーションごとに異なるポリシーを適用する必要が出てくる。そのため帯域増加や大幅な遅延などが生じやすく、ユーザーエクスペリエンスや生産性に多大な影響が出てしまう。

　例えばリアルタイム性が重要なビデオ会議アプリケーションで発言に大幅なタイムラグが生じたり、接続が途切れがちになったりすれば、そのフラストレーションは想像に余りある。

　また、海外出張など本社（データセンター）のセキュリティコントロールが効きにくい場所からモバイルで作業しようとすると、現地から社内ネットワーク（VPN）に入れないといったケースもよく見聞きする。

　こうしたトラブルは、染谷氏の説明にあるように、従来のデータセンター型のネットワークとセキュリティでは、クラウドとモバイルが主役であるデジタル時代のニーズに応えることが難しくなっているのだ。

ネットワークとセキュリティをサービスとしてエッジに提供

　こうした“ズレ”――従来の企業ネットワークとデジタル時代に求められるネットワークのギャップを埋めるコンセプトとして、2019年8月にGartnerのアナリストが提唱したフレームワークが「SASE（Secure Access Service Edge）」である。

SASEが企業ネットワークにもたらす新たなメリット

　“Edge”という単語が含まれていることからもわかるように、SASEではネットワーク機能（Network-as-a-Service）およびネットワークセキュリティ機能（Network Security-as-a-Service）を1つのクラウドプラットフォームに統合し、各機能をサービスとしてエッジに提供する。

　すべてのアプリケーションはデータセンターではなくクラウドプラットフォームに集約されてからエッジにデプロイされる、というアプローチだ。アクセスポイントとしてのエッジの負荷は可能な限り小さくし、ほとんどの機能をクラウドにオフロードすることで、企業はエッジやデバイスの数がどれだけ増えても、一貫したセキュリティポリシーのもと、パフォーマンスを落とさずにサービス（アプリケーションへのアクセス）を提供できる。

企業ユーザーがSaaSアプリケーションを利用する頻度が増えても、ネットワークやセキュリティは既存のモデルであるデータセンター集約型であるため、レイテンシや帯域に影響が出やすく、結果としてユーザーエクスペリエンスや生産性が阻害されることになりやすい

　ポリシーや設定項目に変更があれば、クラウド側でのみコンテキストを変更すればよく、エッジごとにいじる必要はない。加えてクラウド→エッジというシンプルなネットワーク構成により、運用負荷もオペレーションコストも軽減することが可能になる。

SASEはこれまでのデータセンター集約型モデルから、クラウド→エッジへのセキュアで一貫性のあるサービスデプロイを指向するアーキテクチャ。複雑さやレイテンシを排除し、暗号化された通信とその復号および検査を実現するため、ネットワークとセキュリティサービスを統合することを提唱する

　ここ1、2年ほど、重要なITトレンドの1つとして“エッジコンピューティング”が語られる機会が増えているが、エッジコンピューティングへのニーズは低遅延へのニーズと置き換えてもいい。

　プライベートでモバイルからさまざまなサービスにアクセスできているユーザーが、企業ネットワークにつながるときだけは遅い世界で我慢することは難しい。そうした低遅延のニーズに対して、エンドポイントのできるだけ近くにアクセスポイントを用意し、機能としてのサービスをスピーディに提供するエッジコンピューティングへの注目度が高まった。

　このようなエッジへのトレンドに追随するように、ネットワークセキュリティを担保する新しいアプローチを体系化したSASEのようなコンセプトが登場したことも、自然な流れだといえる。

従来の主張が、SASEという概念によって正しいと証明された

　パロアルトはSASEというキーワードが登場する前から、包括的なクラウドプラットフォーム上からエンドツーエンドなネットワークセキュリティを提供する「Prisma Access」を提供している。すでにグローバルの大企業を中心に採用が進んでいるが、染谷氏は「われわれの従来の主張が、SASEという概念によって正しいと証明された」としている。

　Prisma Accessの最大の特徴は、SASEプラットフォームのセキュリティサービス層とネットワークサービス層を分離し、それぞれにおいて提供するサービスを明確に分けている点だ。SaaSやパブリッククラウド、インターネット、本社データセンターなどから提供されるすべてのアプリケーションはセキュリティサービス層を通じて集約され、ネットワークサービス層を介してエッジロケーションやモバイルデバイス（エンドポイント）にデプロイされる。

　Prisma Accessはすでにグローバルに数多くの支社や店舗、従業員を抱える大企業で採用が進んでいるが、IPsec VPN、SSL VPN、クラウド型マルウェア分析、DNSセキュリティ、URLフィルタリングといった包括的なネットワーク/セキュリティ機能に加え、SaaSアプリケーションのインライン可視化/制御、「Prisma SaaS」とのAPI連携なども提供する。

　そして今回、1月30日付けで

・SD-WAN
・クラウド管理UI
・SaaS SLA
・DLP機能

といったアップデートが発表された。特にSD-WAN機能は同社が提供する次世代ファイアウォールと組み合わせることで、シンプルで信頼性の高い、エンドツーエンドのSD-WANインフラストラクチャを構築できるとしている。

SASEのコンセプトを製品化した「Prisma Access」は、セキュリティとネットワークのサービスレイヤを分けることで、セキュアでシンプルなエッジデプロイを実現。今回のアップデートでDLPとSD-WANが機能として加わった

＊＊＊＊＊

　私見ではあるが、SASEというコンセプトは“ありそうでなかった”セキュリティアプローチだといえるかもしれない。

　前述した通り、エッジコンピューティングへの注目度は高まっているものの、話題の中心はレイテンシを低減するコンピューティングパワーであり、ネットワークセキュリティの担保にまで踏み込んだ議論は決して多くなかった。

　そうした中にあってSASEはある意味、既存のネットワークおよびセキュリティを大幅に書き換えたモデルであり、クラウドとエッジの新しい関係性を提示したフレームワークと見ることができる。データセンター集約型からクラウド、そしてエッジ指向へとシフトしつつあるITトレンドともに、ネットワークセキュリティの世界も大きな転換点を迎えているようだ。