SASE(Secure Access Service Edge)市場が活況だ。SASEとは「Secure Access Service Edge」の略称で、2019年8月にGartner（ガートナー社）が提唱した、新しいセキュリティの概念である。

　境界型セキュリティからゼロトラストセキュリテイモデルに移行するにあたって、様々なセキュリティ技術が登場し、複雑化する一方のネットワークとセキュリティを統合したプラットフォームが必要という概念だ。

■Covid-19感染拡大で導入が加速

　SASE導入企業が急増するきっかけとなったのがCovid-19感染拡大だ。Covid-19感染拡大により、世界全体でテレワークが常態化し、企業を取り巻くITの環境が大きく変化した。

　1万人を集約するオフィスを管理するセキュリティから、1万人が自宅で勤務する、言わば1万個のオフィスを管理するセキュリティへと急速に変化しなければならない事態となった。

　この緊急事態に主にクラウドで提供されるCASBやSWG、ZTNA、FWaaSといったセキュリティ技術を包括するSASEは「テレワーク対応におけるセキュリティ対策」として、注目を集め市場が急速に拡大している。

　日本市場だけに限定してもSASEが要求する機能の一部だけを取り入れている企業は既に2～3割に到達していると言われている。

■十徳ナイフのようなSASEソリューションも

　このような市場拡大に多くのベンダーが参入を急いでおり、SASEに必要とされる機能の充足度を競い合っている。

　自社で開発した機能や、買収によって組み入れたもの、古くからその道で独自に機能を拡張してきたベンダーと手法は様々だが「SASE機能の充足度」を競い合っている。

　その結果SASEで求められる「大項目レベルの機能」、例えばCASB、SWG、ZTNA、SD-WAN等の主要機能に対して大項目レベルで「○」が付く「SASEソリューション」が乱立している。

　しかし、その中身を良く見ると特定のカテゴリを中項目、小項目レベルまで分解していくとそのカテゴリの標準レベルに到達していないという「十徳ナイフ」のような、一見便利そうだが使い勝手の悪いSASEソリューションも出てきている。

　導入しようとしているSASEソリューションが「十徳ナイフ」か?それとも実用性のある製品を統合した「統合型」タイプなのか?見極めるスキルが選定企業に求められている。

■失敗と評されるSASE導入事例も

　既に筆者も幾つかの「失敗」と評されるSASEプロジェクトを目にしている。幾つかの失敗パターンを紹介しよう。

1)　風呂敷を広げすぎて導入が頓挫する

　これは、導入が失敗というより、導入前に構想やコストが広がりすぎ、風呂敷を広げすぎて畳めなくなって「検討自体が頓挫」してしまうパターン。

　今はベンダーにとってもSASE商戦が活況な時期ということもあり、セキュリティ企画担当者のメールボックスには毎日何通かは「SASEセミナー」や「ゼロトラストセミナー」の案内が届いているのではないだろうか。

　こういったセミナーでは各ベンダーが「他社との差別化」ポイントを強調して話すため、様々なベンダーの「良いとこ取り」をした「機能要件表」を作成してしまうと、誰も機能を満たせない、複数の製品が混在して誰も作れない、コストも高くつく、「非現実的なSASE全体像」が完成する。

　全てのベンダーの良い所を全て実装していてかつ「安い」といった「幻のSASEソリューション」は実在しないのだ。そのような「幻のSASEソリューション」を求めてどれだけ検討を重ねても、時間だけが過ぎてしまうことになるだろう。

2)　SASEへの期待が大きすぎ、現実とのギャップに失望する

　前述したように今各社が「SASE機能の充足度を競い合っている」状態であり「弊社のソリューションならSASEの要件をどこよりも満たせます」とアピールしているため、そのセールストークを真に受けてしまうと「SASEを導入すればセキュリティ課題の全てが解決する」と錯覚してしまう導入企業も中には存在している。

　そういった「SASEへの期待が大きすぎた」ケースでは、導入後にセキュリティの検討漏れや、運用上の課題にぶつかり「失敗した」となってしまう。

　筆者が知る限りSASEソリューションは未だ黎明期であり、十分なレベルに達している「機能カテゴリ」もあれば、そうでないカテゴリも存在する。メーカーの描くバラ色の世界を鵜呑みにしてしまうと、現実とのギャップに苦しむことになるだろう。

3)　フレームワークに固執し、仏作って魂入れず

　SASEは難しそうだからSASEの検討をコンサルファーム等の「専門家」に相談している場合でも「失敗する」こともある。

　「専門家」が陥りやすい失敗は「フレームワーク等の充足度」に固執してしまう点だ。ガートナーが定義しているSASEはこれだから、これらの全ての機能を満たせば良いであったり、NIST等のゼロトラスト・セキュリティモデルのフレームワークを充足させようとする。

　ある意味教科書通りと思われるかもしれないが、SASEは「複雑な複数のソリューションを一体化したソリューション」である。どれだけ「機能を教科書通りに充足させた」としても、それを「どう使うか」が重要なのだ。

　SASEを導入した瞬間にAIで企業の状態を分析し、数千個のクラウドを安全に利用可能な状況を作り出してくれるようなことはなく、「数多くの機能を手作業で有効化」する必要がある。

　SASEの概念はまだ新しく、必要とされる機能群の中には古くからあるものも有れば、市場に登場してから数年しかたっていないものもある。SASEが求める機能群を全て網羅的に熟知しているセキュリティエンジニア等存在しない状況で「フレームワークだけを充足させた」所で、本当にサイバーセキュリティのリスクは軽減されるのだろうか?

　「仏作って魂入れず」。SASEをフレームワーク通りに導入したから安全と思い込んでいる状態が「最も危険」な失敗例かもしれない。

■何のリスクを軽減するために導入するのか?

　では、SASE導入を失敗しないためにはどうすれば良いか?全ての失敗パターンに共通するのは「そもそも何のリスクや課題を解決するためにSASEを検討しているのですか?」という視点が欠如している点だ。

　SASEが求められる背景にはCovid-19感染拡大によるIT環境の変化に対応を迫られているケースが大半だ。自社内でSASE検討が始まった場合には、まずIT環境がどのように変化し、そこで想定されるリスクは何なのか?をまず検討すべきだ。

　そして、そのリスクに対してSASEを導入すべきか?あるいは既存のセキュリティソリューションのポリシー等を見直すことで対処出来るケースも出てくるかもしれない。もしくは、ゼロトラストセキュリティモデルへの全体像を見据えた上で、現状優先度の高いリスクに対してSASEの機能を段階的に導入していくアプローチでも良いだろう。

　もっとも重要なポイントは「何のリスクを軽減するためにSASEなのか?」を具体化し、そのリスクを軽減出来ることを確認した上でSASE導入を進めることだ。

　しかし、現実的には「SASEブーム」は盛況であり、機能比較だけで導入が進むケースも少なくない、むしろ多いくらいだ。

　もし、自社の検討がそのような状況に陥りそうになったら?是非「何のリスクに対処するためにSASEが必要でしょうか?」と、製品を紹介してくるメーカーやSIerにぶつけてみて欲しい。

　もし明確な回答を準備出来ていない「セールスマン」は経験や知識の点で信用に値しないかもしれない。

　「SASEが求められる背景」や「SASEで軽減可能なリスク」をきっちり説明してくれるメーカーやSIerであれば、「失敗」を回避する確率がグッと向上するだろう。

　SASE市場はまだ黎明期。「いきなり機能比較でSASE導入」を進める前に、一呼吸置いて、信頼できるセキュリティ相談役を見つけるのが、ゼロトラストセキュリティモデル構築の近道かもしれない。