大企業はSASEをゴールに大企業では従来から、トラフィックが多い一部の拠点にローカルブレイクアウト機能を目当てにSD-WANを導入するケースが多かったが、最近は新たな効果を期待している企業が増えた。それはクラウドセキュリティとの連携である。

まず、本社／DCにFW等を一極集中させていた構成でローカルブレイクアウトする場合、直接インターネットに接続することになるため、そのままではセキュリティリスクが増大する。

この課題を解決するため、例えばフォーティネットはサンドボックス、IPS/IDS（不正侵入検知／防御）、URLフィルタリングなどの機能が一体となったSD-WANエッジ装置を提供している。「各拠点のSD-WANエッジ装置でセキュリティ対策を適用した上でインターネット回線を利用することで、特に運用の負荷を変えることなくブレイクアウトを利用できる」と野口氏は語る。

それ以外の方法として有力なのがクラウドセキュリティの活用だ。セキュアWebゲートウェイ（SWG）や、CASBなどとSD-WANを連携させることで、トラフィックをベンダーの提供するクラウド経由とし、そこでセキュリティ対策を適用した上でインターネットなどにつなぐ仕組みだ。この仕組みを利用して、通信をすべてクラウドで検査してセキュリティ対策を適用させる動きが相次いでいる。

これを実現する具体的なソリューションとして今、注目を集めているのがSASE（Secure Access Service Edge）であり、「多くの企業がSASEを最終的なゴールとして意識している」とパロアルトネットワークスの技術本部 スペシャリストシステムズエンジニアの石橋寛憲氏は言う（図表3）。

図表3　基盤ネットワークのゼロトラスト化、SASE移行のステップ（画像クリックで拡大）

調査会社のガートナーが提唱した概念であるSASEは、クラウドでネットワーク機能とセキュリティ機能を包含するもので、これらの機能を提供する複数ベンダーの製品・サービスを組み合わせて実現される。

ネットワークをSD-WANで制御し、クラウド上で包括的にセキュリティポリシーを管理・適用することで、企業インフラ全体を抜け目なく制御することが可能になる。「クラウドへの移行で、オンプレミスの各セキュリティ装置などの管理から解放される点もメリットだ」と金子氏は解説する。

「商談のうち、クラウドセキュリティと統合させてSASEのような構成になるケースが半分ほどある」と横山氏は明かす。

なかには、SASEを前提としてSDWANの導入を提案するベンダーも出てきている。SASEベンダーであるCato Networksのソリューションを取り扱うマクニカ ネットワークス カンパニー 第2営業統括部 第6営業部 第1課 担当の小森谷翼氏は「クラウド、セキュリティ、SDP/ZTNAなどのリモートアクセス、SD-WANなどの商材がオールインワンで入っているソリューション」だと紹介する。

拠点に設置する同社のエッジ装置は基本的にCato Networksが世界中に展開するPoP（Point of Presence：接続拠点）へ接続するための機能となっており、WANの制御やセキュリティ対策はクラウドで一括して行う仕組みになっている。