SASEがもたらす企業
ネットワークへのインパクトテクニカルレポート

SASEは、米国のIT調査会社Gartner（ガートナー）が2019年に提唱した概念で、以下2つの要素群で構成されます。

NSaaSの構成要素については、多くの解説記事がインターネットに溢れていますので本稿では割愛し、今回はNaaSを中心に解説します。SASEにおけるNaaSは、企業ネットワークのアーキテクチャを大きく変える可能性を秘めています。

一定規模の企業であれば、複数の事業拠点（本社、支社、支店、営業所など）を持っていることでしょう。
従来、事業拠点間の接続は、セキュリティの観点から専用線が選ばれてきました。専用線というだけあり、その企業しか使用しない／できないネットワーク回線なので、侵入されたりのぞき見られたりというリスクが非常に低いことが特徴です。この事業拠点間ネットワークを「閉域網」とも呼びます。
閉域網にはそのようなメリットがある代わりに高価であり、必要な距離や帯域幅などによってかかるコストが増加するのが一般的です。

拠点数が多くなればなるほど専用線にかかるコストは増え、また拠点（臨時的なものを含む）の新設／統廃合などが頻繁にあると管理も煩雑化します。

この状況に対し、個々の企業が独自に閉域網を構築するのではなく、通信事業者が提供するネットワークを活用しようという考えが生まれてきました。今回取り上げたSASEを提供するベンダーも、セキュリティ機能だけではなくネットワークも提供しています。
SASEベンダーは世界規模のネットワーク（以降、便宜上「SASEネットワーク」と呼びます）とそれへのアクセスポイント「POP（Point of Presence）」を提供しています。SASEを利用する企業の各事業拠点は一番近いPOPへ接続します。

こうすることで、専用線の敷設距離を、従来の各事業拠点間を専用線で結ぶ閉域網より短く抑えられます（事業拠点とPOP間のみ）。
POPを経由してSASEネットワークを流れる通信は、他の企業の通信とは相互に独立した仮想的な回線を流れます。広く分散した多数の拠点を持つ企業ほど、SASEベンダーが提供するこの仕組みの恩恵をより多く受けられます。

多くの企業では、閉域網とインターネット接続回線の境界にファイヤーウォールなどのセキュリティ機器／機能を配置してきました。これは「境界防御」と呼ばれるセキュリティモデルです。
しかしSASEを利用するなら、SASEネットワークとインターネットの境界に置く=SASEに持たせることが合理的です。わざわざSASEネットワークからPOPを介してデータセンターなどのセキュリティ機器が設置された事業拠点に入り、またSASEネットワークに戻ってからインターネットに出ていくのは非効率だということが、お分かりいただけると思います。
従って、SASEベンダーがNSaaSを提供するのは必然と言えます。図1にて、SASEはセキュリティ関連機能を提供するNSaaSとネットワーク関連機能を提供するNaaSの2つの要素群で構成されていることをご覧いただきましたが、その構成になっている大きな理由がこれです。
SASEは、セキュリティ関連のサービスに注目が集まりがちですが、このように企業ネットワークのアーキテクチャやセキュリティモデルに対するインパクトも非常に大きいものがあります。

本稿では、SASEが企業ネットワークのアーキテクチャへ大きなインパクトを与える可能性について説明しました。
従来型の企業ネットワークアーキテクチャとコスト特性、そしてSASEを活用したネットワークではそれらがどう変わるかをセキュリティ機器／機能の配置も含めて見てきました。
今回はSASEの導入方法や運用に触れませんでしたが、キヤノンITソリューションズ（以下、キヤノンITS）はSASEソリューションの導入支援ならびに運用サービスを提供しています。SASEならびにキヤノンITSが提供するサービスについて関心をお持ちいただけましたら、ぜひご相談ください。