全2918文字
PR

 統合型のサービスであるSASEには、さまざまなベンダーが参入している。SWGやCASBなどセキュリティーのクラウドサービスを提供する事業者のほか、ネットワーク機器やCDNが主力のベンダーもある。

 各社は得意な機能を訴求しているが、それ以外の機能は徐々に拡充している段階だ。このためサービスごとに得手不得手がある。SASEの導入を検討する際は、どの要件を重視するのか、要件をどれだけ満たせるのかをチェックしておきたい。

 また、SASEはクラウドサービスの一種のため、オンプレミスを前提に整備したネットワークでは設定や運用を大幅に変更しなければならないケースがある。各社のサービスの大まかな傾向や、ネットワークの運用で変更が発生しやすいポイントを確認しよう。

大きく2つのタイプがある

 4社のSASEのマネージドサービスを手がけるNRIセキュアテクノロジーズ MSS事業開発部 エキスパートセキュリティコンサルタント 中山 潤一氏によると、SASEのサービスには大きく2つのタイプがある。プロキシーサーバーをベースにした「プロキシー型」と、ファイアウオールなどのネットワーク機器をベースにした「ネットワーク型」だ(図3-1)。タイプによって得意分野が異なる。

図3-1●「プロキシー型」と「ネットワーク型」のサービスがある
図3-1●「プロキシー型」と「ネットワーク型」のサービスがある
プロキシーをベースに発展したタイプと、ファイアウオールなどのネットワーク機器から発展したタイプがある。得意な機能やアプリケーションの扱いやすさに違いが見られる。
[画像のクリックで拡大表示]

 プロキシー型はHTTP通信の制御が中心になる。アプリケーション層の情報を検査して、Webアクセスを細かく制御するのが得意な傾向がある。

 例えば、企業向けと個人向けを同じURLで提供しているクラウドストレージのサービスがあるとする。個人向けサービスへのアクセスだけを制限したい場合、単純なURLフィルタリングでは難しい。

 プロキシー型はHTTPに含まれるユーザーIDなどの情報を利用して企業向けと個人向けを識別できる。「ログインIDに使われるメールアドレスのドメイン部分などを識別している」(ネットスコープソリューションエンジニアマネージャーの小林 宏光氏)。

 拠点との接続には専用ソフトを用意するサービスが多い。拠点側でソフトを導入した仮想マシンを用意すれば、SASEとの間にVPNトンネルを自動で設定する。利用企業にネットワークを意識させないようにしている。

 ネットワーク型は、ファイアウオールなどのネットワーク機器をクラウドサービスで実現するイメージだ。主にパケット単位で通信を制御する。

 HTTPに依存しないため、「利用できるアプリケーションの種類を選ばない」(パロアルトネットワークス プリンシパルソリューションアーキテクト,SASE&Zero Trustの石橋 寛憲氏)点が特徴だ。FTPやファイル共有のSMBなど、HTTP以外のプロトコルを使うアプリケーションを扱いやすい。

 拠点とSASEを接続する際は、拠点側のVPN装置とIPsecなどでトンネルを設定する。設定作業を省きたい利用企業向けに、自動で接続する専用アプライアンスを用意するサービスもある。