SASE選びの難しさ

SASE製品を選ぶ際どのような基準で選ぶべきなのか多くの議論が行われます。
私は日々多くのお客様とSASE選びについてディスカッションを行いますがSASEは機能が多いだけにどこに着目して提案を進めるべきか、またどういった製品を選ぶべきかで案件自体がなかなか進まないケースもあります。

昨今のSASEの機能比較

	Cato Networks	A社	B社	C社
Single Vendor SASE	◯	◯	◯	◯
SWG	◯	◯	◯	◯
ZTNA	◯	◯	◯	◯
Inline CASB/DLP	◯	◯	◯	◯
API CASB	◯	◯	◯	◯
DEM	◯	◯	◯	◯
SD-WAN	◯	別途ソリューション組み合わせ	オンプレ製品連携	◯

さて、昨今のSASEを機能別に大きく比較すると実はほとんどのベンダーでは差がかなり少なくなってきています。
設定やパラメーター、方式などを細かく見ていくとその違いはあるのですが、RFI(Request for Information)の段階では詳細な機能を縛ることが難しくベンダー絞りは難しくなってきています。

機能がこのようにコモディティ化されるのは、急速にSASEニーズが高まってきていて、各ベンダー間の機能開発が激しくなってきており、数年前に比べてどのメーカーの製品も機能における完成度はかなり高くなっています。
そのため、正直な話をすると、ある程度のエンジニアがメーカーの特徴を踏まえてSASEの導入設計をすればおそらく概ね満足いただけるような構成が取れるのでは？というところがあります。

価格で選ぶべきなのか？

価格はベンダーや製品を選ぶ上でもっとも重要視されるファクターの1つです。そのためある程度の価格感というのはとても重要です。
いくら理想的な製品があったとしても、予算からかけ離れた場合や、いくつかの製品の見積もりを取得した際に明らかに高い製品は検討が難しくなります。

ただ、SASEの価格というのは非常に難しいところがあり、単にライセンス価格だけでSASEベンダーが決まるもの実はかなり危険な場合があります。
価格自体は導入構成や導入方法によって異なることが多く、あるメーカーはアラカルト方式、ユーザーライセンス方式、更にパッケージ方式など、そもそも決まった構成で見積もること自体が難しく、更にユーザー規模、時期、キャンペーンの利用など場合によってはディスカウントによって大きな価格変動があるかもしれません。

ほとんどのSASE導入は既存環境からのリプレースという形が多く、最初からすべてのライセンスを契約する必要がありません。
いくつかの段階導入を経て、徐々に既存のネットワークをSASE化することができるのもメリットの一つです。

更にSASE導入はSASE製品のライセンスだけで金額が決まるわけではなく、導入に必要な設計・構築費用、さらに管理・運用などのランニング費用なども合わせて考えると、SASEライセンスが占める金額も重要ですが関連するコストによっても金額が変わってきます。

ある案件例の場合、全体的な価格感（パッケージ一括のほうが安いのは当たり前だけど）で考えた場合A社のほうが安く契約できるけれど、Catoを選んだ理由としては初期段階の価格を最小構成で抑えながら、ユーザーのSASE化の進捗に合わせて都度ライセンスを拡張したほうがトータルで安くなるというケースも最近では多く見られました。ライセンス自体はCatoのほうが高かったけれど、初期の移行作業はシステムインテグレーターと一緒に進めながら初めて徐々にその割合を減らしながら自社で移行を行いながら、最終的にシステム運用まで行うという企業も出始めています。SASEは単に既存のシステムを入れ替えるというだけではなく、管理・運用を見直すチャンスでもあり、自社でシステム運用がしやすくなる仕組みを上手く使った方法です。

SASE選びの新しいポイントは管理・運用の視点

大前提としてSASEのリプレースにはとても時間がかかります。ほとんどの組織（企業・団体）では既存のネットワークから大きく形を変える必要があるため、SASE自体の設定（ポリシー設計、ユーザー登録など）ができたとしても、ネットワーク移行、エージェントの展開さらに既存のアプリケーションとの互換性確認など1年以上のスパンが必要なケースが多いです。

SASEとは導入が始まるとその後の管理と運用がすぐに始まります。多くのユーザーがSASEのようなシステムははシステムインテグレーターにお任せする前提でSASEのライセンス以外の管理・運用費用も別途予算として考えているケースがあるかもしれませんが、もし価格を重視されるなら自らSASEを管理することで大幅なコストダウンを図るという手段も考えられます。

言い換えるなら、システムインテグレーターにすべてをお任せするなら、正直SASEベンダー選びはそこまで重要視されないのかもしれません。

抑えておきたいポイントとしては当たり前ですが以下の点は抑えながら特に管理と運用について見ていきましょう。

• 価格　→　構成によって大きな差異
• 機能性　→　ベンダーの発展により差異が少ない
• 管理性能　→　今回のポイント
• 運用性能　→　今回のポイント
• サポート　→　日本国内でのSASEとしての導入実績

SASEの設定は難しい？の事実

SASEへ初めて移行されるユーザーの多くがSASE製品の製品や機能をデモで見た際、とても驚かれることが多いです。

洗練されたダッシュボードに多くのネットワークとネットワーク・セキュリティ機能の設定項目が整然と並んでいる様を見た時、到底自社では管理できないと考えてしまうケースもあります。
この反応は本当に多くのユーザーにデモを見せると見られる反応で、良さそうな製品だけど自分たちにはちょっと早いかな？というフィードバックが多く返ってきます。

SASEの設定は正直難しいです。すべての機能を把握・理解して、すべての機能のパラメーターの調整を完璧に行おうとすると高度なスキルと経験が必要です。
そして、機能が多くなればなるほど設定のパラメーターが増えて、結果的に良いSASEとは設定の難しいSASEのことであると勘違いが起こってしまいます。

SASEとは自動車の運転と同じようなもの

自動車を選ぶ場合どのように選ぶでしょうか？エンジン構造、排気量、トルクなどのスペック的な要件でしょうか？それとも見た目（外観、ブランド）でしょうか？
個人の自動車を選ぶなら、自分の嗜好にあった自動車を選べばよいですが、例えばその自動車に大事な人を乗せると考えると選び方が変わってきます。

そして、もしタクシーに乗るならどんな自動車が良いでしょうか。

こちらはWaymoの自動運転タクシー、サンフランシスコ市内　乗り心地も抜群

自動車の運転は自動車のすべての機能を理解しなくても安全、快適に運転、乗車ができます。そして最近では自動運転という画期的な方法でドライバーの運転技術をサポートすることもできるようになりました。
もちろん、自動車の構造からすべてを把握している方がより良いでしょう。ただタクシーに乗るとなると、車のスペックよりも社内での乗り心地（シート、静寂性、目的地までの時間）が最も重宝されます。

SASEに話を戻すと、SASEは組織の中で全員が使うものであり、いろんな人がユーザーであり、管理・運用に関わってきますが、すべての方が安全・快適に運用できる必要があります。

Cato Networksの管理・運用を支援する2つのおすすめ機能

Cato Networksのベストプラクティス機能

CatoではSASEの安全な運転を支援するかのように、ベストプラクティス機能というのが備わっています。

この機能は24時間ごとにCato上で設定された各種ポリシーをチェックしてセキュリティ脅威になりそうな設定漏れなどを気づかせてくれる機能です。

機能はたくさんありますが、ベストプラクティスを都度チェックすれば、不慣れからくる甘いセキュリティルールを見逃すことなく、経験の浅いエンジニアが導入しても基本設定ができるということにも繋がります。

自律的ファイアウォポリシーインサイト

こちらもベストプラクティスから派生した新しい取り組みで、設定されたファイアウォールからポリシーのCatoが自律的に評価をしてくれる機能です。

この例では使われたことのないルールが追加されている（つまり不要なルール）などを指摘しています。

ポリシーのレビュー機能

設定されているポリシーをCatoでスキャンすることができるようになっています。

こういったシステム自体がユーザーの設定に対してある程度介入（自律的な支援）を行うことで設定の明らかな不備を解消してネットワーク・セキュリティ管理をしやすくする機能の搭載が始まっています。
SASE化する際、ポリシーの見直しは必ず必要です。過去どういう経緯で導入していたかわからないルールもこの機能によって最適化されて、不必要なルールをなくすくことでルール管理をシンプルにすることができます。

現在利用できるのは、インターネットファイアウォール、WANファイアウォールです。

設定の方法を教えてくれるAIチャットボット

CMA（Cato Management Application）のヘルプ画面から直接日本語で設定したい内容を入力するとその内容に合わせて回答してくれるようになっています。

これはほんとに便利です！ベンダーのマニュアルは仕様に従って間違いない内容ですが、表現が難しかったり、自分のやりたい内容にマッチしていないケースが多くそこから理解して設定に落とし込むまでが難しいんです。

それをAIチャットボットによって、KB（ナレッジベース）の中から内容を組み合わせて、人間にわかりやすい形で要約・簡単な導入手順的なものを生成してくれるのでちょっとした設定だけなら誰でもできてしまいます。

もちろんサードパーティチャットボットに聞いてもいいですが、このチャットボットはCatoのKBの内容をすべて把握しているので、Catoに関する問い合わせはプロフェッショナルな回答をしてくれます。

このチャットボットだけですべての設定ができるというわけではありませんが、ちょっとしたわからないを解消するだけでも、日々のフラストレーション解消、管理者の運用をサポートしてくれる良いAIの使い方でしょう。

まとめ

今回はSASE選びのポイントとして管理・運用という点で書いてみましたが、SASEはおそらく今後組織のネットワーク、ネットワーク・セキュリティのプラットフォームとしてとても重要な役割になってくると考えています。もちろん各機能の優れたところを探し出して、自社でガチガチにチューニングできるような組織であれば、SASE選びは機能で選びましょうと案内することができます。

だた、冒頭申し上げた通り、SASEの機能はある程度の点まで進んだと考えると、簡単な機能の良し悪しでは判断が難しくなっています。さらにコストだけで考えるとシンプルに機能が多く安価な製品を選ぶというのが一つジェネリックな考え方とも言えます。

とはいえ、SASEは先進的なアプローチであり、組織の重要なプラットフォームでもあり、機能を満たせばよいというわけではありません。搭載されている機能はすべて必要な機能であり、それらが正しく設定されていて、調和が取れていない限り安全性と快適性を得られることができないソリューションでもあります。

中でもCato NetworksはネイティブSASE製品であり、すべての機能がアーキテクチャとして最適化されているという点を始め、新たにベストプラクティス機能、自律的ファイアウォールそして、AIチャットボットといった、ユーザーフレンドリーな機能を多数搭載し始めています。実際これらの機能はSASEのスペック競争とは関係のない話なのかもしれませんが、実はとても重要で、誰でも安全に快適にSASEを乗りこなせるというのはすごく重要な視点であると考えています。

ますますSASE市場が国内で盛り上がりを見せているので、各社から素晴らしい機能が提供されていますので、ぜひこういった視点も見ていただけると幸いです。