SASEを構成する「ネットワーク」とは？

SASEはセキュリティ対策のイメージが強いですが、ネットワークも必須の機能です。SASEはクラウドサービスとして提供されるので、SASEにアクセスできなければ意味がありません。どこからアクセスしても、安定したネットワークを提供できる必要があり、トラフィックの影響を受けないことも重要です。今回は、SASEに含まれるネットワーク機能について紹介します。

SASEにネットワーク機能が統合される理由

新型コロナウイルスのパンデミックの際には、短期間でのリモートワークへの移行によって、VPNの回線が足りなくなるという事態が多発しました。その結果、VPNの使用を時間で割り振るなどの対応を行うケースもありました。これではリモートワークによる効率化は望めません。また、VPNに脆弱性が発見され、対策に追われたケースもありました。

インターネットへの接続が安定していないと、SASEも正常に機能しない可能性が考えられます。また、たとえセキュリティ機能が充実していても、アクセスする回線にホテルやコーヒーショップなどの公衆無線LAN（Wi-Fi）を使用すると、情報漏えいやマルウェア感染などのリスクが高まります。こうしたWi-Fiサービスの中には、通信が暗号化されていなかったり、攻撃者が勝手に危険なWi-Fiルーターを設置してしまったりする可能性があるためです。

そこでSASEでは、セキュリティ機能だけでなくネットワーク機能も提供されます。これにより、どこからでも安全な通信を実現し、利用者が急激に増えても通信帯域を確保できるようになります。さらに、ネットワークを常に監視することで、ネットワーク障害の予兆を捉えて対応するほか、デバイスなどに潜んだ脅威を洗い出すことも可能になります。

SASEに含まれるネットワーク機能には、次のようなものがあります。以降は、それぞれの機能を解説していきます。

SASEを構成するネットワーク機能：SD-WAN

SD-WANは「Software Defined Wide Area Network」の略で、「ソフトウェアで定義されたWAN」と訳すことができます。WANはインターネットとほぼ同義ですが、主に企業の本社と海外子会社のLAN同士をつなぐ場合などに使われます。SD-WANは、こうした拠点間接続などにおいて、柔軟なネットワーク構成やトラフィックコントロールなどを実現する技術やサービスのことを指します。

SD-WANを使用することで、通信を行うアプリケーションを識別し、その重要度などに合わせて回線を使い分けることが可能になります。拠点間で重要なデータをやり取りする際には専用線を使用し、重要性の低い通信にはインターネット回線を使用するといったことができます。また、拠点にある通信機器は遠隔から設定できるので、拠点ごとに担当者を配置する必要もありません。

SASEにSD-WANを組み込むことで、常に安定した通信環境を維持し、重要な通信はより信頼性やセキュリティの高い回線を自動的に選ぶことができます。ソフトウェアで制御できるため運用や管理のコストも低くなり、単一のコンソールから一元管理が可能になるというメリットもあります。

SASEを構成するネットワーク機能：CDN

CDNは「Content Delivery Network：コンテンツ・デリバリー・ネットワーク」の略で、コンテンツを迅速に配送するための仕組みです。人気の高い商品やコンサートチケットなどの発売日にはWebサイトにアクセスが集中し、帯域が圧迫されて表示が遅くなったり、Webサイトのコンテンツが表示されなかったりします。こうした状況を解決するのがCDNです。

一般的にWebサイトは１つのWebサーバーで公開されていますが、CDNではもともとのWebサーバー（オリジンサーバー）のコピーを別の複数のサーバー（キャッシュサーバー）に置くことができます。これによりオリジンサーバーへのアクセスをキャッシュサーバーに振り分け、負荷を分散させることができ、アクセスしてきたユーザーにWebサイトを安定して表示することが可能になります。

また、海外からのアクセスが多く、インターネットの遅延が問題になっている場合には、より近い場所にキャッシュサーバーを置くことで、遅延のないアクセスを可能にします。SASEにCDNを組み込むことで、安定したアクセスを提供できるほか、大量のアクセスを分散できるため、DDoS攻撃にも有効な対策となります。

SASEを構成するネットワーク機能：WAN optimization

WAN optimizationは、「WAN最適化」や「WAN高速化」と呼ばれる複数の帯域保護技術を指します。リモートワークやWebアプリケーションの利用の増加によって、WANの通信量も増大しています。WANでは自由に広帯域を確保することが難しく、帯域が制限されてしまうため、通信速度が低下しがちになります。遠距離間では遅延が発生しやすく、大量のデータが流れると輻輳も起きやすくなります。

そこで、主にIPネットワークで使用されるTCPに対し、その上位レイヤーのセッション層のデータを圧縮したり、キャッシング（一時保存）などを活用してWANトラフィックを削減したり、データの重複排除や画像最適化などを行ったりします。これらの技術をWAN optimizationといいます。

SASEにWAN optimizationを組み込むことで、WANにおけるデータ転送の高速化や効率化を実現し、遅延やパケットロスを防ぎます。また、帯域を有効活用するとともに、重要な通信を優先制御することもできます。結果として、アプリケーションの高速化も実現します。

SASEを構成するネットワーク機能：Bandwidth aggregators（帯域集約）

Bandwidth aggregatorsには「帯域集約」の意味があります。具体的には、複数のISPからの帯域幅を１つにまとめることで、帯域に余裕をもたせる技術です。これにより、複数のISPを利用しつつ帯域を最低限に抑えることができます。常にインターネットに接続でき、ダウンタイムをゼロにすることが可能です。すべての機能をクラウドで提供するSASEにおいては、必須の機能と言えるでしょう。

SASEを構成するネットワーク機能：Network service provider（NSP）

ISP（インターネット・サービス・プロバイダー）は、インターネットに接続するサービスおよび関連するサービスを提供するプロバイダーですが、NSP（ネットワーク・サービス・プロバイダー）は、ネットワークインフラそのものを提供するプロバイダーのことを指します。

いわゆるインターネットのバックボーンとなる回線を管理・運用しており、ISPに提供しています。NSPはまた、企業や個人に直接インターネット接続などのサービスも提供しています。つまり、多くのNSPはISPも兼ねているのです。SASEを利用するには、当然ながらインターネット回線が必要になるのでNSPも組み込まれているわけです。

このように、ネットワーク機能はSASEが提供するサービスの大きな柱となります。現在、これらのネットワーク機能とセキュリティ機能をすべて提供できているベンダーはありません。そのため、製品連携などのエコシステムによって統合管理が可能なSASEとしてラインアップを用意しています。