セキュアアクセスサービスエッジ

SASEは、SD-WANと、Cloud access security broker(CASB)、セキュアウェブゲートウェイ(SWG)、アンチウイルス/マルウェア検査、サービスとしてのファイアウォール(FWaaS)、データ損失防止(DLP)などのネットワークセキュリティ機能を組み合わせ、これらすべてをゼロトラストネットワーク(ZTN)のエッジと単一のクラウドサービスとして提供する。

SASEのSD-WAN機能には、信頼性とパフォーマンスを向上させるために、トラフィックの優先順位付け、WAN最適化、集約されたインターネットバックボーン、およびAIプラットフォームであるAIOpsを使用した自己修復機能が含まれる場合がある^[4][5]。

WANおよびセキュリティ機能は通常、分散したユーザー、支店、クラウドサービスにできるだけ近い場所に配置された、分散型のSASE Point of Presence(PoP)を通じて単一のサービスとして提供される^[2]。SASEサービスにアクセスするために、エッジ拠点またはユーザーは最も近い利用可能なPoPに接続する。SASEベンダーは、PoP間の長距離接続において高速で低レイテンシなWANパフォーマンスを顧客に提供するため、複数のインターネットバックボーンプロバイダーやピアリングパートナーと契約することがある^[2]。

SASEという用語は、ガートナーのアナリストであるニール・マクドナルドとジョー・スコルパによって生み出された。2019年7月29日のネットワーク分野のハイプ・サイクル^[6]、市場動向レポート、および2019年8月30日のガートナーレポートにおいて詳細が記述された^[2]。

2021年、ガートナーはSASEの機能の一部を抜粋したセキュアサービスエッジ(SSE)を定義した^[7]。SSEは、SD-WANのようなネットワークサービスと組み合わせて完全なソリューションを提供できる、SASEのセキュリティサービスの集合体である^[7]。

SASE普及の背景には、企業におけるLANや自社データセンターの重要性が低下し、モバイル、エッジ、クラウドコンピューティングが台頭していることがある。ユーザー、アプリケーション、データが企業データセンターからクラウドやネットワークエッジへ移動するにつれ、レイテンシやパフォーマンスの問題を最小限に抑えるためには、セキュリティとWANも同様にエッジへ移動させる必要が生じている^[8]。

クラウドコンピューティングモデルは、SD-WANやセキュリティ機能の提供を、複数のエッジコンピューティングデバイスや拠点へ委任し簡素化することを目的としている。ガートナーによれば、ポリシーに基づき、SaaSアプリケーション、SNS、データセンターアプリケーション、個人用オンラインバンキングなど、同一のエンティティからの異なる接続やセッションに対して、異なるセキュリティ機能を適用することも可能である^[2]。

クラウドアーキテクチャは、弾力性、柔軟性、俊敏性、グローバルな到達範囲、管理の委任といったクラウド特有の利点を提供する。

SASEの主な要素は以下の通りである。

• WAN機能とネットワークセキュリティ機能の統合。
• 統合されたWANとセキュリティをサービスとして提供する、クラウドネイティブなアーキテクチャ。すべてのクラウドサービスに典型的なスケーラビリティ、弾力性、適応性、自己修復機能を提供する。
• 世界中に分散されたPoPの基盤。ビジネス拠点、クラウドアプリケーション、モバイルユーザーがどこにいても、低レイテンシで広範なWANおよびセキュリティ機能を提供する。あらゆる場所で低レイテンシを実現するため、SASEのPoPは一般的なパブリッククラウドプロバイダーよりも多数かつ広範囲である必要があり、SASEプロバイダーは広範なピアリング関係を構築しなければならない。
• アイデンティティ主導のサービス。アイデンティティは、接続元の個人や支店から、デバイス、アプリケーション、サービス、IoTデバイス、エッジコンピューティング拠点まで、あらゆるものに紐付けられる。アイデンティティは、SASEのセキュリティポリシーに影響を与える最も重要なコンテキストである。ただし、場所、時間帯、接続デバイスのビジネスリスク/信頼状態、データやアプリケーションの機密性といった他のリアルタイムコンテキストも、各WANセッションに適用されるセキュリティサービスやポリシーを決定する。
• 物理拠点、クラウドデータセンター、ユーザーのモバイルデバイス、エッジコンピューティングなど、すべてのエッジを等しくサポートする。すべての機能はエッジ拠点ではなくローカルPoPに配置される。ローカルPoPへのエッジ接続は、支店用のSD-WANから、モバイルユーザー用のVPNクライアントやクライアントレスWebアクセス、クラウドからの複数のトンネル、またはグローバルデータセンター内の直接クラウド接続まで多岐にわたる^[8]。

ガートナーなどは、モバイルやクラウドを活用する企業向けにSASEアーキテクチャを推奨している。主なメリットは以下の通りである。

SASEに対する批判は、Tobias Mannによる2019年11月9日のsdxcentralの投稿で引用されているように、IDCやIHS Markitを含むいくつかの情報源から上がっている^[10]。両アナリスト企業は、SASEはガートナーによる造語であり、新しい市場や技術、製品ではなく、既存技術を単一の管理ソースに統合したものであると批判している。

IHS Markitのクリフォード・グロスナーは、SASEの概念に分析機能、人工知能、機械学習が含まれていないことや、企業がすべてのSD-WANおよびセキュリティ機能を単一のベンダーから導入することを望まない可能性を指摘している。これに対しガートナーは、複数のベンダーによるセキュリティとSD-WAN機能のサービスチェイニングは「一貫性のないサービス、低い管理性、高いレイテンシ」を招くと反論している^[10]。

IDCのアナリストであるブランドン・バトラーは、SD-WANは「SD-Branch（複数の支店拠点における仮想化されたSD-WANおよびセキュリティ機能の集中展開と管理）」へと進化するというIDCの見解を示している。

ガートナーは、SASEソリューションの市場が2025年までに150億ドルに成長すると予測しており、購入者は単一ベンダーのソリューションを採用するか、マルチベンダーのソリューションを採用するかで分かれると見ている^[13]。ネットワーキングの側面に焦点を当てるベンダーもあれば、現在はセキュアサービスエッジ（SSE）と呼ばれるセキュリティの側面に焦点を当てるベンダーもある^[13]。

もともとMetro Ethernet Forumとして知られていたMEFは、サービスプロバイダー、技術メーカー、企業ネットワーク設計向けのソフトウェア定義ネットワークおよびセキュリティインフラサービスを幅広く扱う次世代の標準化団体となっている。「ベスト・オブ・ブリード」ソリューション間の相互運用が可能な未来を創造するため、MEFはトレーニングや統合に活用できる多数の業界標準の策定に着手した。MEF SASE Services Definition (MEF W117) 委員会が設立され、公開用の技術仕様草案を提供している。この仕様は、多くの技術メーカーや複数のサービスプロバイダーの協力によるものであり、「MEF 70.1 Draft Release 1 SD-WAN Service Attributes and Service Framework」などの既存のMEF技術仕様に基づいている。

MEFは、2021年8月に作業用草案「MEF W117 draft 1.01 SASE (Secure Access Service Edge) SASE Service Attributes and Service Framework」をリリースした。このドキュメントは、MEFに参加している企業およびメンバーが利用可能である。

• ネットワーク機能仮想化
• ゼロトラスト・セキュリティモデル
• SD-WAN
• Cloud access security broker（CASB）
• 仮想プライベートネットワーク（VPN）