SASE 判定チェックシート
いつもご覧いただきありがとうございます。
SASE(Secure Access Serivce Edge、"サッシー"と発音) は、2019年にガートナーが提唱したものの、SASE の各要素がきちんと定義されたものが存在しなかったため、以下の MEF のような業界団体が独自に標準化を行い、その準拠に対し認定(認証)まで行うことになっています。
また、海外を始め、日本国内においても、でたらめな SASE ソリューションや、誇張されたマーケティングが繰り広げられており、皆さんの混乱を招いている要因になっていると思います。
一方、ガートナーは、マジッククアドランドで選定基準・除外基準は明確にしていますので、それをもとに「SASE 基準・定義」のとりまとめを行い、その基準をもとにした「SASE 判定チェックシート」を作成しました。
選定基準と除外基準
以下は、2024年7月に発表したガートナーのシングルベンダーSASE マジッククアッドランドにおけるGeneral(全般)とProduct(製品)となります。
全般(General)について
2024年3月1日時点での一般提供(GA)
シングル(単一)ベンダーによる SASE のソリューションを、2024年3月1日時点で一般提供(GA)していることが条件です。すべてのコンポーネントは公に利用可能で、出荷されており、該当ベンダーの価格表に記載されている必要があります。
この日以降に出荷される製品は「ビジョンの完全性」軸にのみ影響を与えます。グローバルな商用サポートとメンテナンスの提供
複数大陸にわたる展開をサポートするために、エンタープライズ向けSASEソリューションに対し24時間365日の商用サポートとメンテナンスを提供していることが求められます。
このサポートには以下が含まれます。ハードウェア/ソフトウェアサポート
ソフトウェアアップグレードへのアクセス
セキュリティパッチの提供
トラブルシューティング
技術支援
SASE市場への参入
エンタープライズ市場向けにSASEソリューションを積極的に販売し、公開マーケティングを行っていることが条件です。「一般提供(GA)」の定義
ガートナーは「一般提供(GA)」を、すべての顧客が利用できる製品のリリースと定義しています。GAに達した製品は、企業の一般的な販売チャネルを通じて提供され、限定的または管理されたリリース、GA前リリース、ベータ版とは異なります。
製品(Product)について
ベンダーは、以下のすべての機能を含むSASEソリューションを提供しなければなりません。
この機能は2024年3月1日現在で一般提供(GA)可能である必要があります。
Webアクセスのプロキシ経由によるセキュリティ確保の能力
SaaSアクセス制御をインラインで実施する能力
インラインのマルウェアスキャンおよびデータセキュリティをサポートする必要があり、少なくとも3つのSaaSエンタープライズスイート(例: Microsoft 365、Salesforce、Google Workspace)を対象とします。
IDとコンテキストに基づくセキュアなリモートポリシーベースアクセスの提供能力
これは、ネットワークレベルのアクセスではなく、ゼロトラストネットワークアクセス(ZTNA)と呼ばれる、プライベートアプリケーションへのアクセスを指します。
上記すべての機能は「サービスとして」運用されて、主にクラウドサービスとして顧客に提供されること
ネットワーク間のトラフィックを双方向に保護するファイアウォール機能
ブランチ(支社・拠点)用アプライアンスのサポート
複数の物理的に接続されたWANインターフェイス間で動的なトラフィックのステアリングを可能にすること。
よく知られたアプリケーション(IPやポートではなく)に基づいたトラフィックスティアリング。
顧客の物理的な支社拠点で展開可能で、直接接続を終了できるアプライアンス。
顧客が機密データ検査ポリシーを定義し、インラインネットワークデータ検査を通じて適用する能力
SASEソリューションへの接続を可能にするエンドポイント用ソフトウェアエージェント
上記すべての機能を網羅する集中管理機能
GUIおよびAPIを備え、プロビジョニング、可視化、トラブルシューティング、レポート作成、詳細な構成およびポリシー変更を可能にする。
顧客がソリューション全体を直接管理・運用できる能力(すべてのSASE機能の詳細な構成およびポリシーを含む、いわゆるDIY)
マルウェアおよび機密データのシングルパススキャン(並列処理可能)
サードパーティのIDプロバイダーとのシングルサインオン(SSO)統合のサポート
以下の要件を満たすPOP(Point of Presence)インフラストラクチャの維持
15の異なる地理的都市圏に配置されていること(うち2つの異なる大陸にそれぞれ少なくとも3つの都市圏が含まれること)。
高度にセキュアな施設にPOPを配置し、以下のサービスをローカルで提供可能(POP内処理)であること:ファイアウォール、ウェブプロキシ、プライベートアクセス、インラインSaaS制御。これらは高可用性であること。
全エンタープライズ顧客に一般的に利用可能であること。
公開されたPOP監視/ステータス機能およびPOP SLA(サービスレベル契約)を文書化して提供すること。
ガートナーから読み解く「SASE基準・定義」について
上記の選定基準・除外基準から、ガートナーの SASE 基準・定義を整理すると以下になります。
セキュリティ機能
□ SWG機能を有していること。
□ CASB機能を有し、少なくとも3つ以上のエンタープライズ SaaS(M365、Salesforce、Google Workspaceなど)が制御できること。
□ DLP機能を有していること。
□ ZTNA機能を有していること。
□ ZTNA機能では、あらゆるOSにエージェントを提供していること。
□ IDaaS(Idps)とSSO連携ができること。
□ 上記、SWG/CASB/DLP/ZTNAがサービスとして提供されていること。
□ マルウェアおよびDLPは、シングルパスで並列処理されていること。
ネットワーク機能
□ SD-WAN機能を有していること。
□ 拠点間のFirewall機能を有していること。
□ 拠点用のアプライアンス機器を提供していること。
□ 以下の要件を満たす PoP を有すること。
□ 15以上の異なる地理的都市に PoP が配置されていること。
□ 各PoP のローカルで、SWG/CASB/DLP/ZTNA機能が提供されており、それぞれが高可用性が確保されていること。
□ すべての顧客へ等しく すべての PoP が提供可能であること。
□ PoP SLAを公開していること。
マネジメント機能
□ 上記機能をすべて集中管理できる統合されたひとつのポータル機能を有していること。
□ 顧客自身で、直接管理・運用ができること。
SASE判定チェックシート
上記をもとに作成したSASE 判定チェックシートになります。
【改定履歴】
・2024年11月24日 Ver1.0 新規作成
SASE判定
それでは実際に各ソリューションについて SASE 判定していきましょう。
Cato Networks - Catoクラウド
まずは、ガートナーのシングルベンダーSASEのリーダで、かつ世界初 SASE プラットフォームベンダーである Cato Networks社 の Catoクラウド で判定しました。
判定結果は当たり前ですが満点です。
Cato Networks社は世界初のSASEプラットフォーム提供ベンダーとされていますが、ガートナーが SASE を検討する際に、Cato Networks社へ何度もヒアリングを実施していたので、Catoクラウド=SASEです。
さて、このように以下のソリューションについて、SASE 判定を実施し、この記事にどんどん追加していこうと考えています。
つまり、似非(えせ)SASE、SASEモドキが浮き彫りになります。
シングルベンダーSASE
Palo Alto Networks - Prisma Access【済】
Netskope【済】
Fortinet - Forti SASE
Versa Networks - Versa SASE
Cisco - Cisco Secure Connect
Cloudflare
Forcepoint - Forcepoint ONE
HPE Aruba - UnifiedSASE【済】その他(SSE、SD-WAN)※マルチベンダーSASE
Zscaler
Bradcom(旧:VMware)
Juniper Networks
Akamai
Aryaka国産SASE
アライドテレシス(Allied SecureWAN)【済】
網屋(Verona SASE)【済】
IIJ(IIJセキュアアクセスサービス)【済】
これ以降は有償記事とします。記事を購入されると本記事の更新都度に購入者に案内(通知)が行きます。
Palo Alto Networks - Prisma Access
次は、同じくガートナーのシングルベンダーSASEのリーダである Palo Alto Networks の Prisma Access の判定を実施しています。
ここから先は
¥ 1,000
Amazonギフトカード5,000円分が当たる
この記事が気に入ったらチップで応援してみませんか?