2025年度 GigaOm Radar Report for SASEが公開、各SASEベンダーの評価は?
いつもご覧いただきありがとうございます。
先日、GigaOm Radar Report for Secure Access Service Edge (SASE) の2025年度版が発表され、Cato Networks社 Catoクラウドが、2年連続でリーダーとして選出されましたが、その他の主要なSASEベンダー、ソリューションについても比較評価が行われていたので、それらについて記事にしました。
Cato Networksは、2025年度のGigaOm Radar Report for SASEにおいて、2年連続で業界をリードする実行力と価値を実証しました
GigaOm(ギガ・オム)について
まず、ガートナーやフォレスターと比較すると、日本国内では、それほど知名度が高くないですが、"GigaOm(ギガ・オム)"についてです。
GigaOmは、テクノロジー業界に特化した独立系の調査会社で、ネットワークオペレーティングシステム(NOS)、オブジェクトストレージ、クラウドサービスなど、多岐にわたるテクノロジー分野における詳細な分析とインサイトを提供しており、毎年、さまざまなテクノロジー分野の "Radar Report(レーダーレポート)"を発表しています。
実行能力、製品ロードマップ、イノベーションなど、さまざまな指標を用いたベンダーの比較評価をしており、テクノロジー業界では非常に高く評価されており、多くの企業がGigaOmの分析結果を、自社で採用を検討するベンダー、ソリューションの評価や比較検討を行うための指標として利用しています。
ガートナーやフォレスターと比較すると評価対象のベンダー、ソリューションの数が多いことも特徴のひとつとなっており、SASE、SSEなどベンダー、ソリューションが多い分野では、非常に有効な評価指標であると言えます。
実際のGigaOm Radar Reports(SASE Radar)2025年度版については、以下のCato Networks社のサイトを経由することで、無料で見ることが可能です(2025年2月時点)
Cato Named a Leader in the GigaOm 2025 SASE Radar | Cato Networks
GigaOm Radar for SASE v2.0
GigaOm Radar for SASEは、v.2.0にある通り、昨年2024年に引き続く、第2版となります。
昨年のGigaOm Radarについては、以下の記事をご覧ください。
上図が、GigaOm Radar for SASE のメインチャートとなります。
今回の GigaOm Radar for SASE v2.0 は、全19社のベンダーソリューションが評価対象となっています。
ここで注意が必要なのは、あくまでも GigaOm は、"SASE"のレーダーであり、ガートナーが提唱する単一のベンダーでSASEを提供することができる"シングルベンダーSASE"だけではなく、"ハイブリッドSASE"、"マルチベンダーSASE"も含まれており、いわゆる SSE も含まれていることはご注意ください。
GigaOm Radarは、一つの同心円上に、ベンダーソリューションをプロットし、より中心に近いプロットされたものが、評価が高いことになります。
まずは、GigaOmの4象限について理解する必要があります。
このチャートは、成熟度(MATURITY)とイノベーション(INNOVATION)軸と、機能プレイ(FEATURE PLAY)とプラットフォームプレイ(PLATFORM PLAY)軸という2軸で各ベンダーを特徴づけています。
まず最初に、直近でベンダーソリューションの採用を前提としている企業においては、"成熟度"として評価されている上段の象限から検討すべきということになります。
下段の象限については、"イノベーション"とありますが、要するに、企業買収(M&A)で新機能を拡充したばかりで、まだソリューションとしては統合されておらずバラバラの状態で、今後洗練(統合)されるまでにはかなりの時間を要するということを意味しています。
同心円状の中心は、Cato Networks、Cloudflare、Fortinet、Netskope、Versa Networks の5社となり、このレポートで評価された決定基準全体で高いスコアに基づいてリーダーとして位置付けられています。
GigaOm Radar リーダーは、Cato Networks、Cloudflare、Fortinet、Netskope、Versa Networks の5社である。
次に、各ベンダーソリューションの"矢印"は、今後12か月~18か月にわたる各ソリューションの進化(予測)を表現しています。
Aryaka、Cato Networks、Ericsson、Fortinet、HPE Aruba Networking、Netskope、Versa Networksの7社がアウトパフォーマーに位置づけられており、ベンダーが包括的なセキュリティ機能と統合した堅牢で高性能なネットワーク需要へのイノベーションの対応の早さを表現しています。
GigaOm Radar アウトパフォーマーは、Aryaka、Cato Networks、Ericsson、Fortinet、HPE Aruba Networking、Netskope、Versa Networksの7社である。
各ベンダーソリューション評価について
SASEの導入検討を前提とすると、"成熟度"評価されている上段の象限のベンダーソリューションとしては、以下の8社が該当します。
成熟度/プラットフォーム 象限
リーダ・・・Cato Networks、Fortinet、Netskope、Versa Networks
チャレンジャー・・・Palo Alto Networks、iboss、Zscaler
成熟度/機能 象限
リーダ・・・(該当なし)
チャレンジャー・・・Cisco
一方で、"成熟度"ではなく、直近の導入検討にはまだ値しないが、今回 GigaOmでリーダまたはアウトパフォーマーとして評価されたのは、以下の4社が該当します。
リーダ・・・Cloudflare
アウトパフォーマー・・・Aryaka、Ericsson、HPE Aruba Networking
そのため、成熟度の8社と、リーダ・アウトパフォーマーの4社の計12社について、SASEソリューション比較として、GigaOm評価をもとに記事にすることにしました。
それぞれのGigaOmの詳細な評価については、GigaOmのレポートを参照ください。
1. Cato Networks - Catoクラウド
2015年設立。ネットワークとセキュリティの機能を単一のグローバルクラウドサービスに統合することに特化したクラウドネイティブのSASEプラットフォーム、Catoクラウドを提供。全世界 85以上の自前のPoPで有し、PoP間は独自のグローバルプライベートバックボーンでフルメッシュで接続されており、99.999%の稼働率を実現。管理の簡素化と一貫した機能を提供しています。主要なコンポーネントとして、SD-WANデバイスである Cato Socket があります。
GigaOm SASE Radarの成熟度/プラットフォーム象限でリーダー、さらにアウトパフォーマーとして位置づけされており、SASE導入を検討されているのであれば、Catoクラウドは外せないソリューションであると言えます。
GigaOmレポートで、IoT統合やローカル L7 Firewall機能が課題として改善余地を指摘されていますが、IoTについては2024年12月、L7 Firewallは2025年2月に機能リリースされており、すでに課題解決されています。
2. Fortinet - Unified SASE
2000年設立。ネットワークセキュリティアプライアンス、セキュアアクセス、統合セキュリティプラットフォームを保有。2024年8月にLacework(CNAPP)とNext DLP(データセキュリティ)を買収。2022年発売の”Unified SASE”は、自社で所有するインフラとGCPとの戦略的パートナーシップを通じて、世界中150以上のPoPで運用され、99.999%の稼働率を実現。
FotiGateを、Secure Internet Access(FortiSASE)に接続することで、Secure Private Accessを可能とする。コンポーネントは、FortiAI、FortiAnalyzer、FortiAuthenticator、FortiClient、FortiGuard Labs、FortiManager、FortiTokenと多岐に渡ります。
GigaOm SASE Radarの成熟度/プラットフォーム象限でリーダー、さらにアウトパフォーマーとして位置づけされていますが、Next DLP(DLP)は統合されておらず、また、それぞれ機能にて別々のコンソールを利用する必要があります。GoogleのPoPについても150すべてを利用できる訳ではなく、最大4つのPoPを指定する必要があります(200ユーザ以下は最大2つ)
3. Versa Networks - VersaONE Universal SASE
2012年設立。ネットワーキングとセキュリティサービスを1つのソフトウェアソリューションへ統合。2012年に Versa SASE製品の基盤を形成するVersaオペレーティングシステム(VOS)をリリース。VersaONE Universal SASE Platform(旧:Versa Unified SASE)は、世界中90以上のPoPを有し、グローバルにSASEを提供していますが、PoP間の専用プライベートバックボーンは有しておらず、トラフィックは、主にピアリング(Peering)によるIXやクラウドへの分散となり、ネットワークパフォーマンスの制御機能がなく、エンドツーエンド(SD-WAN)における SLAを維持する機能はありません。
GigaOm SASE Radarの成熟度/プラットフォーム象限でリーダー、さらにアウトパフォーマーとして位置づけされていますが、SD-WANを含むSASEとして、導入検討を行う場合には注意が必要です。
4. Netskope - Netskope One SASE
2012年設立。CASBソリューションとして包括的クラウドセキュリティとWeb保護ソリューションを提供。2022年8月にInfiot(SD-WAN)を買収し、2024年9月に75を超えるPoPのNewEdge Networkを介して220を超える国と地域で運用されているNetskope Oneプラットフォームをリリース。2023年9月にKadiska(DEM) 、2024年10月にDasera(DSPM)を買収していますが、まだ機能統合は十分に行われていません。
Netskopeアーキテクチャは、クラウドが中心であり、エッジ機能に重点を置いていません。日本国内では、エッジデバイスであるNetskope One Gatewayは提供しておらず、SSEではなく、SASEとしての評価は難しい状況です。また、一部のPoP(中国等)においては専用プライベートバックボーンを有しておらず、Versa 同様ピアリングに頼る構成となっています。
GigaOm SASE Radarの成熟度/プラットフォーム象限でリーダー、さらにアウトパフォーマーとして位置づけされていますが、SD-WANを含むSASEとして、導入検討を行う場合には注意が必要です。
5. Palo Alto Networks - Prisma Access
2005年設立。次世代ファイアウォールを元にしたクラウドベースのソリューションを提供。2021年9月に、AWSとGCPのインフラストラクチャを活用し、全世界150カ国以上で利用できる Prisma Accessをリリース。様々な企業を買収し、2024年9月には、IBMのQRadar(SIEM)を買収。
Palo Alto Networks は、言わずと知れたM&A企業です。SASE として、Prisma Accessの機能の元となった企業は今では数え切れません。
Palo Alto のアーキテクチャは、ビジネスのDNAと一致しています。設備投資/不動産投資に多額の費用をかけません。多くの場合、社内で機能を開発/構築するのではなく、社外から取得することを選択します。そのため、Palo Alto は、柔軟性と変化する要件に迅速に適応できるようアーキテクチャであるように見えますが、他のソリューションと比較するとそれほど柔軟性はなく、多くの制御が不足し、コストがかかります。
Prisma Accessにはマルチテナントのアーキテクチャが存在しません。次世代ファイアウォールの仮想インスタンス(VM-Series)に依存したソリューションです。セキュリティプレーンとネットワーキングプレーンが統合されておらず、レガシーなトラフィック検査であるため遅延が発生します。ソリューションが、エッジロケーションに実装されたアプライアンスを中心に設計されているため、構成が複雑で、変化する顧客ニーズに柔軟性に適応することができません。M&Aで機能拡充を行っているため、コンソールもバラバラで、設定は非常に複雑となり、セキュリティポリシーの維持に多大な労力が必要となります。PoPはGoogle(GCP)の利用しているため、サービス提供できる地域が限定されます(中国は提供不可)また、すべてのPoPに同一の機能が実装されていないことから、新たなセキュリティ機能を利用する際、無駄な通信経路が発生する場合があり、さらに遅延が発生します。
GigaOm SASE Radarの成熟度/プラットフォーム象限でチャレンジャー、さらにファストムーバーとして位置づけされていますが、これから Prisma Accessの導入を検討される場合には十分注意が必要です。
最近では、Prisma Access(SASE)の弱点を隠すように、Cortexシリーズ(XDR/XSOAR/Xpanse/XSIAM)をセットにした販売手法を盛んに展開していますが、SASEの効率性の悪さ(GoogleのPoP利用等)、多くM&Aにより企業統合コストがあり、契約更新時の値上げが、Broadcom(VMware)のように問題になってきており、契約更新時の顧客離れが進んでいます。Cortexブランドへの統合も行われているため、今後 Prisma Accessは、Cortex AccessやCortex SASEになる可能性が高いです。
6. iboss - Zero Trust SASE
2003年設立。クラウドベースのSSE(Zero Trust SSE)からスタートし、2024年5月に Zero Trust SD-WANをリリースし、SSEと統合することで"Zero Trust SASE"をリリース。100を超えるグローバルPoPを通じ、100か国以上でサービス提供。コンテナ化されたクラウドアーキテクチャ上に構築されています。パブリックやプライベートなど、さまざまなクラウドリソースに接続ができますが、マルチクラウド統合機能はなく、複雑なマルチクラウドアーキテクチャを持つ組織においては、より複雑性が増し、管理工数が大幅に増加する可能性があります。
もともとコンテナをベースとしたシングルテナントSSEを最大の売りとしており、利用企業毎にサービス基盤のバージョンを選択できることを差別化要素としていましたが、アーキテクチャが複雑で、様々なトラブルが発生しています。全世界4,000社で採用されているとのことですが、日本国内での導入実績は不明で、実名の導入事例は殆どありません。
GigaOm SASE Radarの成熟度/プラットフォーム象限でチャレンジャー、さらにファストムーバーとして位置づけされていますが、これから iboss を、SSE ではなくSASE として導入を検討される場合には、十分注意が必要です。
7. Zscaler - Zero Trust SASE
2008年設立。いわゆるクラウドプロキシ(インターネットプロキシ)としてスタート。代表的なSSEプラットフォームでしたが、2024年3月にAvalor Technologiesを買収、2024年4月にAirgap Networks(SD-WAN)を買収し、2024年1月に、Zero Trust Exchange(ZTE)プラットフォームとして、世界150以上で運用する"Zero Trust SASE"を発表。
"ゼロトラスト"好きが高じて、iboss と同じソリューション名になっています。
もともとの クラウドプロキシを構成するZscaler Client Connectorと、Zscaler Internet Access(ZIA)を中心に、ローカル接続を行う Zscaler Private Access(ZPA)から構成されており、M&Aで、拠点(ブランチ)接続用のアプライアンスの提供も開始していますが、まだまだ過去のZIAをアーキテクチャとしたクラウドベースの処理に焦点をおいており、SSE中心で、SSE+SD-WANは十分に機能していません。SD-WANがないため、グローバルバックボーンを保有していません。
また、そもそもクラウドプロキシであったため、日本国内においては大手通信事業者(例、NTT、KDDI、ソフトバンク等)との協業の販売体制が長く、通信事業者の専用線(閉域網)と、Zscaler(SSE)の組み合わせの実績が多く、今更この協業体制を打ち切って、自社のSD-WANを販売することが困難になっているのが、日本国内でSASE展開できない理由のひとつです。
また、通信事業者と協業しないケースでは"マルチベンダーSASE"として、SD-WANに、Velo Cloud(VMware)をセットで販売することもありましたが、Velo Cloudの品質が悪く、管理も別々で煩雑になることから、企業での採用は進みませんでした。
Velo Cloud(VMware)がBroadcomに買収されたことから、今後はVelo Cloudのリプレースが進むものと考えられます。
GigaOm SASE Radarの成熟度/プラットフォーム象限でチャレンジャー、さらにファストムーバーとして位置づけされていますが、これから Zscaler を、SSE ではなくSASE として導入検討される場合には、十分な注意が必要です。特に、通信事業者から提案を受けている場合は、本当にSASEなのかどうか確認が必要です。もし専用線(閉域網)が残っている構成は、SASEではありません。
また、Palo Alto Networks社同様に、契約更新時の値上げが問題になってきており、契約更新時の顧客離れが進んでいます。
8. Cisco - Cisco+ Secure Connect
1984年設立。LAN を使用したマルチプロトコル ルーターを介し、離れたコンピューターを接続するという概念を開拓しました。2023年6月に全世界30 を超える PoP を介したSASE、Cisco+ Secure Connect リリース。M&Aが多く、直近では、2024 年 3 月にSplunk を買収。
もともと買収したMeraki(SD-WAN)、Viptela(SD-WAN)、OpenDNS(DNS)、Cloudlock(クラウドセキュリティ)、Umbrella(SSE)等を統合したものです。SD-WANは、特定機能がハードウェアアプライアンスに依存するため、理想的SASEモデルとは言えません。
それ以外にも、リモートブラウザ分離(RBI)機能が無い、企業専用のグローバルIPアドレスの確保ができない(確保すると高額)、SD-WAN接続用プライベートバックボーンが無いなど、SASEの基本機能も欠如しています。
もちろん、コンソールは、すべてバラバラで統合されていません。
SASEとして後発のため、現時点では安価な価格設定にしていますが、複数ソリューション(Cisco AnyConnect、Meraki、Umbrella)が統合されていることから、実際のライセンス体系は複雑極まりない状態です。
GigaOm SASE Radarの成熟度/機能象限でチャレンジャー、さらにファストムーバーとして位置づけされていますが、これから Cisco を、Meraki(Meraki SASEを含む)、Umbrella、Duoなどの個別ソリューションの導入ではなく、Cisco+ Secure Connect (SASE)として導入検討される場合には、十分な注意が必要です。
これより先は、"成熟度"ではなく"イノベーション"の評価となりますので、直近で SASE の採用を検討している場合には、除外されることをお勧めします。
9. Cloudflare - Cloudflare One
2009年設立。世界最大のCDN企業、DDoS保護に強み。120ヵ国、330以上の都市で世界人口の約95%にリーチし、遅延は50ミリ秒未満。2024年3月にNefeli Networks(マルチクラウドネットワーク)、2024年5月にBastionZero(ゼロトラストアクセス制御)、2024年10月にKivera(クラウドセキュリティ機能)を買収し、一応、SASE として位置づけが行われています。
SASEは、2020年10月に"Cloudflare One"としてリリースされていますが、実態は、CDNをベースとした SSE ソリューションで、リバースプロキシベースであるため構成が複雑になり、SD-WANの機能は不十分と言わざるを得ません。また、DIY SASEソリューションとして位置付けられており、企業の自己管理の柔軟性・利便性を謳っていますが、企業が必要とするマネージドサービスを日本国内で提供できるパートナーは存在しません。
また、既存CDNと同じプラットフォームを利用しているため、一般コンシューマ向けのトラフィックが急増した際に、企業ネットワークの遅延が余儀なくされることも大きな懸念事項のひとつです。
GigaOm SASE Radarのイノベーション/プラットフォーム象限でリーダー、さらにファストムーバーとして位置づけされていますが、この象限のベンダーソリューションは、現時点では導入検討すべきソリューションではありません。
10. Aryaka - Unified SASE
2009年設立。SD-WANおよびSASEに特化したソリューションを提供。2024年3月にリリースした"Aryaka Unified SASE as a Service"は、Aryakaテクノロジーをベースに、RBI用クラウドコネクタを介してMenlo Cloud Security Platformと統合したものです。CASB、RBIの機能はありますが、DLP とクライアントレス ZTNA は未提供です。
多様な地理的地域にわたる複雑なコンプライアンスとパフォーマンスニーズに対応する広範なサービスを提供していないため、多国籍企業での利用が制限されます(中国でのサービスは提供していません)
GigaOm SASE Radarのイノベーション/プラットフォーム象限でチャレンジャー、さらにアウトパフォーマーとして位置づけされていますが、この象限のベンダーソリューションは、現時点では導入検討すべきソリューションではありません。
11. Ericsson - NetCloud SASE
2006年設立。2020年からエリクソンの事業部門として運営されているエリクソン・エンタープライズ・ワイヤレス・ソリューションズ(旧:クレードルポイント)は、クラウド配信型LTEおよび5Gワイヤレスネットワークのリーダーです。2023年4月にクラウドベースのセキュリティスペシャリストであるEricomを買収し、2024年4月にプロバイダーに依存しない50を超えるグローバルPoPで実行されるNetCloud SASEをリリース。
現時点で利用者向けのセルフサービス機能は開発中で存在しません。まだ、サービスとしては確立されておらず、GigaOm SASE Radarで比較すべきベンダーソリューションなのかどうかが疑問です。
GigaOm SASE Radarのイノベーション/機能象限でチャレンジャー、さらにアウトパフォーマーとして位置づけされていますが、この象限のベンダーソリューションは、現時点では導入検討すべきソリューションではありません。もちろんですが、日本国内での導入事例はありません。
12. HPE Aruba Networking - Unified SASE
2002年設立。2015年にHewlett Packard Enterprise(HPE)が無線/有線/SD-WANテクノロジー企業であるAruba Networks(現:HPE Aruba Networking)を買収。2020年9月にSilver Peak(SD-WAN)、2023 年 2 月にAthonet(プライベート 5G )、2023 年 3 月に Axis Security(SSE)を買収。
2023年に、これらを組み合わせて"Unified SASE”をリリース。ハイパースケーラー(AWS、Azure、GCP)のPoPおよびバックボーンを活用し、500を超える地域でサービスを提供。ただし、日本国内のPoPは東京のみ。
"Unified SASE"は、Fortinetと同じソリューション名となります。
利用企業向けの統合されたセルフサービスポータルがありません。今後12ヵ月~18ヵ月以内に統合ポータルを開発・リリースする計画が発表されていますが、現時点では、ネットワークセキュリティ設定とアクセス制御を個別に管理、構成、または監視するためのツールが提供されていないため、設定が非常に煩雑となり、運用負荷も増加します。
また、HPEについては、ジュニパーの買収で、現在アメリカ司法省(DOJ)の訴訟へ発展しており、Unified SASEの統合ポータルは、Silver PeakやAxis Securityではなく、Arubaの管理ポータルである Central へ統合される計画でしたが、ジュニパー買収によって、Central ではなく、ジュニパーのAIプラットフォームである Mist へ統合されると予測されており、当面の間、統合ポータルを開発を進めるのは困難な状況になっていると思われます。
GigaOm SASE Radarの成熟度/プラットフォーム象限でチャレンジャー、さらにアウトパフォーマーとして位置づけされていますが、この象限のベンダーソリューションは、現時点では導入検討すべきソリューションではありません。日本国内での導入事例も見当たりません。
最後に「Zero Trust SASE」「Unified SASE」は、ソリューション名が同じでややこしいので、ぜひ変更して欲しいものです。
以上となります、1万文字以上になりました。
最後に、この記事を気に入ったら「♡(スキ)」をぜひお願いします!