セキュアアクセスサービスエッジ

セキュアアクセス サービス エッジ( SASE ) (セキュア アクセス セキュア エッジとも呼ばれる) は、データセンターではなく接続元 (ユーザー、デバイス、モノのインターネット(IoT) デバイス、またはエッジ コンピューティングの場所)に、クラウド コンピューティングサービスとしてワイド エリア ネットワーク( WAN ) とセキュリティ制御を直接提供するテクノロジーです。^[1]クラウドおよびエッジ コンピューティング テクノロジーを使用して、分散したユーザーとそのアプリケーションのオフプレミスでの移動の増加により、1 つまたは少数の企業データセンターに長距離のすべての WAN トラフィックをバックホールすることで発生する遅延を削減します。[ 2 ^]これは、組織が分散したユーザーをサポートするのにも役立ちます。

セキュリティは、ファイアウォールのようなセキュリティアプライアンスではなく、デジタルアイデンティティ、リアルタイムコンテキスト、企業および規制遵守ポリシーに基づいています。デジタルアイデンティティは、個人からデバイス、クラウドサービス、アプリケーションソフトウェア、IoTシステム、あるいはあらゆるコンピューティングシステムまで、あらゆるものに付与される可能性があります。 ^[2]

この用語は、2019年にガートナーの市場アナリストであるニール・マクドナルドによって造られました。^[3]

SASEは、SD-WANと、クラウド・アクセス・セキュリティ・ブローカー（CASB）、セキュアWebゲートウェイ（SWG）、ウイルス対策／マルウェア検査、仮想プライベート・ネットワーク（VPN）、サービスとしてのファイアウォール（FWaaS）、データ損失防止（DLP）などのネットワークセキュリティ機能を組み合わせ、 すべてネットワークエッジの単一のクラウドサービスによって提供されます

SASE SD-WAN機能には、トラフィックの優先順位付け、WANの最適化、統合バックボーン、人工知能プラットフォームAIOpsを使用した自己修復などがあり、信頼性とパフォーマンスを向上させます。^{[4] [5]}

WANとセキュリティ機能は通常、分散したSASEのPoP（Point of Presence）において単一のサービスとして提供されます。PoPは、分散したユーザー、ブランチオフィス、クラウドサービスに可能な限り近い場所に設置されます。^[2] SASEサービスにアクセスするために、エッジロケーションまたはユーザーは最も近いPoPに接続します。SASEベンダーは、複数のバックボーンプロバイダーやピアリングパートナーと契約し、長距離PoP間接続において高速で低遅延の WANパフォーマンスを顧客に提供します。 ^[2]

SASEという用語は、ガートナー社のアナリストであるニール・マクドナルド氏とジョー・スコルパ氏によって造られ、2019年7月29日のネットワークハイプサイクル^[6]と市場動向レポート^[7]、および2019年8月30日のガートナーレポート^{[2]で説明されました。}

2021年、ガートナーはSASE機能のサブセットであるセキュア・サービス・エッジ（SSE）を定義しました。^[8] SSEは、SD-WANなどのネットワークサービスと組み合わせて実装することで完全なソリューションを提供できるSASEセキュリティサービスの集合体です。^[8]

SASEは、企業におけるモバイル、エッジ、クラウドコンピューティングの台頭によって推進され、LANや企業データセンターが縮小しています。ユーザー、アプリケーション、データが企業のデータセンターからクラウドやネットワークエッジに移行するにつれて、遅延やパフォーマンスの問題を最小限に抑えるためには、セキュリティとWANもエッジに移行する必要があります。^[9]

クラウドコンピューティングモデルは、SD-WANとセキュリティ機能の提供を複数のエッジコンピューティングデバイスと拠点に委任し、簡素化することを目的としています。ガートナーによると、ポリシーに基づいて、SaaSアプリケーション、ソーシャルメディア、データセンターアプリケーション、パーソナルバンキングなど、同一のエンティティからの異なる接続やセッションに、異なるセキュリティ機能を適用することも可能です。^[2]

クラウド アーキテクチャは、弾力性、柔軟性、俊敏性、グローバルな範囲、委任管理などの一般的なクラウド拡張機能を提供します。

SASEの主な要素は次のとおりです。

• WANとネットワークセキュリティ機能の統合
• すべてのクラウドサービスに共通する拡張性、弾力性、適応性、自己修復機能を備えたサービスとして、統合 WAN とセキュリティを提供するクラウド ネイティブ アーキテクチャです。
• グローバルに分散されたPoPファブリックは、ビジネスオフィス、クラウドアプリケーション、モバイルユーザーがどこにいても、低遅延で包括的なWANおよびセキュリティ機能を提供します。あらゆる場所で低遅延を実現するには、SASE PoPは一般的なパブリッククラウドプロバイダーが提供するものよりも数が多く、規模も大きくする必要があり、SASEプロバイダーは広範なピアリング関係を構築する必要があります。
• アイデンティティ主導型サービス。アイデンティティは、個人やブランチオフィスから、デバイス、アプリケーション、サービス、IoTデバイス、接続元のエッジコンピューティング拠点まで、あらゆるものに付与できます。アイデンティティは、SASEセキュリティポリシーに影響を与える最も重要なコンテキストです。しかし、接続デバイスとアプリケーションの場所、時間帯、リスク/信頼状況、データの機密性といったリアルタイムのコンテキストも、各WANセッション全体を通して適用されるセキュリティサービスとポリシーを決定する重要な要素となります。
• 物理的な拠点、クラウドデータセンター、ユーザーのモバイルデバイス、エッジコンピューティングなど、すべてのエッジを平等にサポートし、すべての機能をエッジロケーションではなくローカルPoPに配置します。ローカルPoPへのエッジ接続は、ブランチオフィス向けのSD-WAN、モバイルユーザー向けのVPNクライアントやクライアントレスWebアクセス、クラウドからの複数のトンネル、グローバルデータセンター内の直接クラウド接続など、多岐にわたります。^[9]

ガートナーをはじめとする企業は、モバイル／クラウド対応企業 向けにSASEアーキテクチャを推進しています。そのメリットには以下のようなものがあります。

SASEは、クラウドコンピューティングモデルと、すべてのWANおよびセキュリティ機能を単一のベンダーで提供することで、各拠点に複数のベンダーのセキュリティアプライアンスを設置する必要がなくなり、複雑さを軽減します。また、複数の検査サービスを連鎖させるのではなく、トラフィックストリームを復号化し、複数のポリシーエンジンで一度検査するシングルパスアーキテクチャによっても複雑さが軽減されます。^[10]

SASEアーキテクチャは、企業のデータセンターを主な基盤としたアクセスとは対照的に、あらゆる場所のあらゆるエンティティからあらゆるリソースへの一貫した高速で安全なアクセスを提供するように設計されています

クラウドモデルのコスト効率は、初期資本コストを月額サブスクリプション料金に転換し、プロバイダーとベンダーを統合し、IT部門が社内で購入、管理、保守しなければならない物理および仮想ブランチアプライアンスとソフトウェアエージェントの数を削減します。コスト削減は、保守、アップグレード、ハードウェア更新をSASEプロバイダーに 委託することでも実現します

遅延最適化ルーティングによって強化されたアプリケーションとサービスのパフォーマンスは、遅延の影響を受けやすいビデオ、VoIP、コラボレーションアプリケーションに特に効果的です。SA​​SEプロバイダーは、キャリアやピアリングパートナーと契約した高性能バックボーンを介してトラフィックを最適化およびルーティングできます。また、すべてのセキュリティ機能を単一のPoP内にシングルパスアーキテクチャで実装することで、不要なルーティングを回避することでパフォーマンスが向上します。^{[10]実装によっては、SASEはデバイスに必要なアプリとエージェントの数を1つのアプリに減らし、}ユーザーがどこにいても、何にアクセスしているかに関係なく、一貫したエクスペリエンスを提供します。 ^[10]

すべてのWANセキュリティ機能とWAN接続に対して、単一のクラウドサービスによる一貫したセキュリティを提供します。セキュリティは同一のポリシーセットに基づいており、アプリケーション、ユーザー、デバイスの場所、接続先（クラウド、データセンターアプリケーション）を問わず、あらゆるアクセスセッションに対して同一のクラウドサービスから同一のセキュリティ機能が提供されます。SASEプロバイダーが新たな脅威に適応すると、その適応はすべてのエッジで利用可能になります。^[2]

SASEに対する批判は、 IDCやIHS Markitなど、複数の情報源から出ており、2019年11月9日のTobias Mannによるsdxcentralの記事で引用されています。^[11]両アナリスト企業は、SASEをガートナーの用語であり、新しい市場、技術、製品ではなく、既存の技術と単一の管理ソースの統合であると批判しています

IHS Markitのクリフォード・グロスナー氏は、SASEコンセプトにおける分析、人工知能、機械学習の不足、そして企業がSD-WANとセキュリティ機能を単一ベンダーからすべて入手することを望まない可能性を批判しています。ガートナーは、セキュリティとSD-WAN機能を複数ベンダーから提供するサービスチェーニングは「一貫性のないサービス、管理性の低さ、そして高いレイテンシ」をもたらすと反論しています。^[11]

IDC アナリストの Brandon Butler 氏は、SD-WAN は複数のブランチ オフィスの拠点における仮想化 SD-WAN とセキュリティ機能の集中的な展開と管理と定義される SD-Branch に進化するという IDC の見解を引用しています。

SD-WANは、WAN全体のトラフィックを誘導するネットワークハードウェアまたはソフトウェアを集中管理することで、広域ネットワークを簡素化するテクノロジーです。また、組織はプライベートWAN接続をインターネット ブロードバンド、LTE、5G接続と統合または置き換えることができます。中央コントローラはポリシーを設定し、WANトラフィックの優先順位付け、最適化、ルーティングを行い、最適なリンクとパスを動的に選択して最適なパフォーマンスを実現します。SD-WANベンダーは、通常データセンターまたはブランチオフィスに導入されるSD-WAN仮想アプライアンスまたは物理アプライアンスで、いくつかのセキュリティ機能を提供する場合があります

通常、SASE は、モバイル アクセスとローカルPoPから配信される完全なセキュリティ スタックも提供するクラウド サービスの一部として SD-WAN を組み込みます。

NGFWは、従来のファイアウォールと、仮想化データセンター向けのセキュリティおよびネットワーク機能を組み合わせたものです。セキュリティ機能には、アプリケーション制御、ディープ・インスペクションおよび暗号化パケット・インスペクション、侵入防止、ウェブサイト・フィルタリング、マルウェア対策、アイデンティティ管理、脅威インテリジェンス、さらにはWANのサービス品質（QoS）および帯域幅管理などが含まれます。^[12]

NGFWはSASEが提供するセキュリティスタックのサブセットを提供し、通常はSD-WANサービスは含まれません。NGFWはオンプレミスまたはクラウドサービスとして導入できますが、SASEは定義上クラウドアーキテクチャです。SA​​SEがWAN接続のセキュリティに重点を置いているのに対し、NGFWはデータセンター内を含むあらゆる場所に導入できます。

FWaaSは、オンプレミスのソフトウェアまたはハードウェアではなく、クラウドサービスとして提供されるファイアウォールです。ほとんどのFWaaSプロバイダーはNGFW機能を提供しています。通常、組織全体が単一のFWaaSクラウドに接続され、独自のファイアウォールインフラストラクチャを維持する必要はありません。SASEは、エッジFWaaSを他のセキュリティ機能やSD-WANと組み合わせたものです。^[2]

SASEとNaaSは概念的に重複しています。NaaSは、クラウドサブスクリプションビジネスモデルを使用して仮想化されたネットワークインフラストラクチャとサービスを提供します。SASEと同様に、複雑さと管理コストを削減します。通常、NaaSプロバイダーごとに、WANと安全なVPNのサービスとしてのパッケージ、オンデマンド帯域幅、ホスト型ネットワークのサービスとしてのパッケージなど、異なるサービスパッケージが提供されています。一方、SASEは、ブランチオフィス、モバイルユーザー、データセンター、その他の安全なエンタープライズWAN要件 に対応する、単一の包括的な安全なSD-WANソリューションです

調査会社フォレスターは、 SASEのような統合ネットワークとセキュリティスタックをゼロトラスト・エッジ（ZTE）と呼んでいます。^[13]フォレスターは、そのモデルをガートナーのものと類似しているが、ユーザーの認証と認可にゼロトラストの原則を組み込むことに重点を置いていると述べています。^[13]

ガートナーは、SASEソリューションの市場が2025年に150億ドルに成長すると予測しており、購入者は単一ベンダーのソリューションと複数ベンダーのソリューションのどちらを採用するかに分かれています。^[14]一部のベンダーはネットワークの側面に重点を置いていますが、他のベンダーはセキュリティの側面に重点を置いており、現在はセキュア・サービス・エッジ（SSE）と呼ばれています。^[14]

MEF は、元々メトロ イーサネット フォーラムとして知られていましたが、サービス プロバイダー、テクノロジー メーカー、エンタープライズ ネットワーク設計向けのソフトウェア定義ネットワークとセキュリティ インフラストラクチャ サービスに幅広く重点を置く次世代の標準化団体になりました。「ベスト オブ ブリード」ソリューション間の相互運用が可能な未来を創造するために、MEF はトレーニングと統合に活用できる業界標準を多数作成することを目指しました。MEF SASE サービス定義 (MEF W117) 委員会が設立され、公開用の技術仕様草案が提供される予定です。この仕様は、多数のテクノロジー メーカーと複数のサービス プロバイダーによって作成され、MEF 70.1 ドラフト リリース 1 SD-WAN サービス属性およびサービス フレームワークなどの現在の MEF 技術仕様に基づいています。

MEF は、2021 年 8 月にワーキング ドラフト「MEF W117 ドラフト 1.01 SASE (Secure Access Service Edge) SASE サービス属性およびサービス フレームワーク」をリリースしました。このドキュメントは、MEF 参加企業およびメンバーが入手できます。

• ネットワーク機能仮想化
• ゼロトラスト・セキュリティモデル