SASEの限界を超えるーFortinetが提唱する「ハイブリッドSASE」とは

―― まずは、SASEが注目される背景について教えてください。

登坂氏（フォーティネットジャパン） 「SASE」は2019年にGartnerが提唱した概念で、ネットワークとセキュリティの機能をクラウド上で統合的に提供する技術です。従来は、社内ネットワークの境界にファイアウォールなどを設置して外部からのアクセスを防ぐ境界型セキュリティが主流でした。しかしクラウドサービスの利用が拡大し、働き方も多様化する中で、境界防御という考え方が通用しなくなってきています。

SASEはこうした変化に対応するために、ネットワークとセキュリティをクラウドベースで一体化し、ユーザーがどこからアクセスしても安全に業務ができる環境を提供するアーキテクチャとなっています。

SASEの要素

その中で注目されているのが「ゼロトラスト」という考え方です。これは、「決して信用せず、常に検証せよ」という原則に基づき、ユーザーや端末がどこからアクセスしているかに関係なく、全てのアクセス要求に対して都度検証を行うべき、というものです。これにより、社内外を問わず安全なアクセス環境を構築できます。

佐々木氏（東芝ITサービス） 特にリモートワークやスマートデバイスの活用が進む中で、社外（リモート）からのアクセスをどう守るかが重要な課題です。SASEは、柔軟な働き方を支え、ゼロトラストを実現する一手段として、今後ますます必要とされる技術だと感じています。

吉武（SCSK） 市場の成長も顕著です。国内SASE市場は2023年度の783億円から、2029年には1,640億円に達すると予測されています。年平均成長率は13.1%と高く、今後も多くの企業が導入していくことが予想されます。（※）

※参考：富士キメラ総研「2024 ネットワークセキュリティビジネス調査総覧 市場編」より

―― 実際にSASEを導入している企業の状況について教えてください

登坂氏（フォーティネットジャパン） 弊社が実施したユーザー調査では、約4割の企業が既に導入済みで、さらに3割強が導入を予定しています。特にリモートワークを実施している企業の導入率が高いです。リモートワークが定着している今、今後も導入が加速すると考えられます。

そんな中、導入企業から最も多く挙げられた不満点として「保守運用コストの高さ」があります。SASEはSSE（Secure Service Edge）やSD-WANといった色々な技術・要素から成り立っているため、複数ベンダーの製品を組み合わせて構築しているケースが多く、その分だけ運用負荷が増しているのが現状です。

SASEを自社運用している企業は約4割にとどまり、半数以上がマネージドサービスを利用しています。しかもその利用率は、採用しているベンダー数に比例して高くなります。これは、複雑なSASEの運用に必要なスキルや人材が社内に不足していることを示しています。

ちなみに自社運用を選択している企業からも、運用負担やコスト、ネットワーク遅延などが課題として挙げられました。つまり導入企業全体として、SASEを同一システムで手軽に運用できる仕組みが求められていると言えます。

佐々木氏（東芝ITサービス） 実際にお客様からは、「導入したはいいけど運用が追い付かない」「設定が複雑で社内で対処しきれない」といった声をよく耳にします。そうした企業には、導入から運用までを一括して支援する体制が求められていると感じています。

―― コストやリソース不足のほかに、企業が抱える課題にはどういったものがあるのでしょうか？

吉武（SCSK） まず前提として、現在多くの企業が導入しているSASEは「クラウド集約型」です。これは、ネットワークとセキュリティの機能をすべてクラウド上に集約し、ユーザーや拠点からの通信を一度クラウドのPoP（Point of Presence）に送信して、セキュリティチェックを行うというものです。Gartnerが初めに提唱したSASEの概念に基づくことから、Gartnerモデルとも呼ばれます。

クラウド集約型SASE

この方式は、導入のしやすさや一元管理のしやすさといったメリットがありますが、すべての通信がクラウドを経由するため、通信遅延や負荷の増大が発生しやすくなるという課題もあります。特に、Web会議や大容量ファイルの送受信が日常化している現在では、トラフィックの増大化やSSL復号処理などの負荷がバックエンドに集中し、パフォーマンス低下を招くケースも少なくありません。

さらにPoPがダウンした場合には業務全体が停止するリスクもあります。また、すべての通信がセキュリティチェックの対象となるため、例えばWindowsアップデートやパッチ配信といった、セキュリティチェックが不要な通信にもクラウド利用の課金が発生することで、多くのコストがかかってしまうデメリットがあります。

松田氏（東芝ITサービス） すべての通信がクラウドに依存するため、社内リソースへのアクセスやオンプレミス環境との連携が難しくなるという声もあります。実際には、クラウドだけで完結する業務は少なく、社内システムとの接続が必要なケースが多いため、構成の柔軟性が求められます。

登坂氏（フォーティネットジャパン） 企業の規模や業務内容によっては、こうしたクラウド集約型SASEが、過剰あるいは非効率になる可能性もあるのです。

―― つまり、クラウド集約型SASEは万能ではなく、企業の実態に応じた見直しが必要ということですね

吉武（SCSK） その通りです。SASEはあくまでアーキテクチャの考え方であり、どのように実装するかが企業ごとの課題に直結します。クラウド集約型が適しているケースもありますが、全ての企業に最適とは限りません。こうした課題を乗り越える新たな選択肢としてFortinetが提唱するのが、「分散処理型SASE」いわゆる「ハイブリッドSASE」です。

―― ハイブリッドSASE（分散処理型SASE）とはどういったものなのでしょうか？

登坂氏（フォーティネットジャパン） まず、Fortinetが提供するSASEソリューションとして、「FortiSASE」というものがあります。これはクラウドベースのSASEプラットフォームであり、それ単体でもクラウド集約型SASEとして機能します。

しかし前述の通り、すべての通信をクラウドに送る構成では、企業によってはパフォーマンスやコスト面で課題が生じることもあります。そこで私たちが提唱しているのが、分散処理型SASE、つまりクラウドとオンプレミスの両方を活用するSASEです。通信の種類や利用シーンに応じて、クラウドとオンプレミスで処理を分担することから、ハイブリッドSASEとも呼んでいます。

ハイブリッドSASE

―― 詳しく教えてください

吉武（SCSK） ハイブリッドSASEは、FortiSASEとFortiGateを組み合わせて構成されます。

例えば、社内（拠点）からインターネットやクラウドサービスにアクセスする場合はFortiGateが活躍します。FortiGateは、アンチウイルス、アプリケーション制御、IPS、URLフィルタリング、SSLインスペクションなどのセキュリティ機能をローカルで実行し、必要に応じてSD-WAN（※）で最適な経路を選択します。これにより、トラフィックをクラウドに送らずに済むため、クラウド集約型よりもコストを抑えることが可能です。既存設備を活用できるため、新たな投資を抑えつつスムーズなSASE導入が実現できます。

一方、リモートユーザーがインターネットやクラウドサービスにアクセスする場合は、FortiClientというエージェントソフトウェアやWebブラウザを介してFortiSASEに接続します。

ユーザー認証やZTNA（Zero Trust Network Access）タグによる端末検証（ポスチャチェック）を行ったうえで、 FortiGateと同じFortiOSで提供されるセキュリティ機能によるアクセス保護、インラインCASB（Cloud Access Security Broker）によるSaaSアクセスのテナント制御やAPI CASBによるクラウドアプリの可視化とデータ保護などを、クラウド上で処理します。SASEに必要な機能はすべて基本ライセンスに含まれており、コスト面でも優位性があります。

松田氏（東芝ITサービス） FortiSASEはリモート環境に最適なセキュリティ機能を提供するだけでなく、FortiClientによるエンドポイント保護や、FortiGuardによるAIベースの脅威検知など、多層的な防御を低コストで実現できるのが特徴です。FortiGateとの連携により、リモートユーザーが社内リソースにアクセスする際も、誰がどの端末からどのアプリケーションにアクセスするかまで制御できます。一般的な（クラウド集約型）SASEにエンドポイント保護は含まれていませんが、ランサムウェアなどエンドポイントへの攻撃が深刻化する中で欠かせないポイントです。

このように、社内の通信はFortiGate、社外はFortiSASEで網羅することで、どこからでも安全に業務が行える環境が整います。

―― つまり、アクセス元や通信内容に応じて最適な場所で処理を行うことで、低コストでSASEが実現できるということですね

吉武（SCSK） メリットはコストだけではありません。先ほどお話しした通り、クラウド集約型ではすべての通信をPoPに集約して処理するため、遅延や障害リスクが発生しやすくなります。一方、分散処理型では、必要な通信だけをクラウドに送信し、それ以外は拠点で処理することで、通信の効率化とセキュリティの確保を両立できます。例えば、Windowsアップデートのような大容量通信は拠点で処理し、インターネットやクラウドサービスなどセキュリティが必要な通信だけをFortiSASEで保護する、といった使い分けが可能です。

また、FortiGateとFortiSASEは同じOS（FortiOS）を使用しているため、社内と同じセキュリティポリシーをリモートアクセスにも適用できます。運用の一貫性が保たれることで、管理の手間も大幅に低減されます。

さらに、もしクラウド側に障害が発生した場合でも、リモートユーザーの通信を拠点経由に切り替えることで、業務を継続することが可能になります。これは、クラウド集約型では難しい対応であり、分散処理型ならではの柔軟性が企業のBCPに貢献します。

各SASEの比較

――ハイブリッドSASEの導入にあたって、どのような支援を提供されているのでしょうか？

碓井（SCSK） SASEは単なる製品導入ではなく、ネットワークとセキュリティの運用体制そのものを見直すプロジェクトです。SCSKはFortinetの国内ディストリビューターとして、製品の技術支援はもちろん、販売パートナーとの連携体制も強固に構築しています。

中でも、2次店である東芝ITサービス様との連携は非常に密接で、導入から運用までを一貫してサポートできる体制が整っています。SCSKが全体設計と技術支援を行い、東芝ITサービス様が現場での導入・運用を担うことで、お客様にとってはワンストップでの導入が可能になります。

―― 東芝ITサービスさんとの連携について、詳しく教えてください

松田氏（東芝ITサービス） 東芝ITサービスでは、全国に112の拠点を展開し、24時間365日対応のサポート体制を有しています。オンサイト対応やキッティング、保守運用までを一貫して提供できるため、導入後も安心してお任せいただけます。特にFortinet製品に関する技術力も高く、FortiGateをはじめとする各種製品の設定・展開においても豊富な実績があります。SCSK様が「CarePlus（※）」の名で提供するワンストップサービスの一部を弊社が担っており、お客様のご要望に応じた細かな設定や常時監視を行っています。

※CarePlusについて詳しく知りたい方は、こちらをご覧ください。
CarePlus ｜ SCSK株式会社

―― 導入後の運用支援についても、安心できる体制が整っているということですね。

碓井（SCSK） はい。SASEは導入して終わりではなく、継続的な運用と改善が求められる領域です。SCSKではFortinet社とも連携し、最新の技術情報やベストプラクティスをいち早く取り入れています。SCSKと東芝ITサービス様、そしてFortinet様の三社が連携することで、製品・設計・導入・運用のすべてを安心して任せられる体制が整っています。お客様のセキュリティ課題に対して、三位一体で最適なソリューションをご提供できるのが、私たちの最大の強みです。

左から、吉武・碓井（SCSK）、登坂氏（フォーティネットジャパン）、佐々木氏・松田氏（東芝ITサービス）

――最後に、SASEの今後の展望や、導入を検討している企業へのメッセージをお願いします。

登坂氏（フォーティネットジャパン） SASEは単なるセキュリティ製品ではなく、企業のIT戦略に深く関わる重要な要素です。ゼロトラストの考え方が広がる中で、ネットワークとセキュリティを一体で考える必要性はますます高まっています。その中で、ハイブリッドSASEは、柔軟性と実効性を兼ね備えた選択肢として、今後さらに注目されると考えています。

碓井（SCSK） 導入にあたっては、「どの製品を選ぶか」だけでなく、「どう運用するか」「どう社内に定着させるか」が非常に重要です。自社で全て運用する、マネージドサービスを利用する、いずれの場合も、継続的な運用・改善までをしっかり考慮した仕組みを作ることで、SASEのメリットを最大化できます。

佐々木氏（東芝ITサービス） 「導入が大変そう」「運用負担が増えるのでは」といった懸念をお持ちの企業も多いですが、私たちが導入から運用まで責任を持ってサポートします。セキュリティに関して少しでも気になることがあれば、ぜひご相談ください。SCSK様、Fortinet様と三位一体で、お客様のセキュリティ課題の解決を全力で支援いたします。