SASEのCato Networks、CEOによるセミナーとインタビューを紹介

SD-WAN（Software Defined WAN）とクラウドベースのセキュリティソリューションを組み合わせた「SASE（Secure Access Service Edge）」と呼ばれる新しいセグメントが登場した。これはGartnerが2019年に作り出した新しいエンタープライズ向けのソリューションに対する用語で、SD-WANなどのコネクティビティとクラウドベースのセキュリティを合体させたソフトウェアベースのソリューションを指す。今のところ、ZscalerやCato Networksなどがそれを担うベンダーとして挙げられている。今回はそのCato NetworksのCEOによるセッションとインタビューをお届けする。

これは2020年2月17日に都内にて行われたセミナー（マクニカネットワークス株式会社主催）の後にテレビ会議にてインタビューを行ったものだ。このレポートでは、セミナーの内容も同時に紹介したい。

Cato Networksの創業者兼CEOのShlomo Kramer氏

Kramer氏は本来なら本社があるイスラエルのテルアビブから来日して直接セッションを行う予定だったが、コロナウイルスの影響でアジア地域への海外出張が禁止となったために、Zoomによるテレビ会議でセッションを実施した。

Cato Networksの概要

Kramer氏はFirewall-1、VPN-1などを開発したCheck Pointを1993年に創業し、2002年にWeb Application FirewallのImpervaを創業、その後、2015年にCato Networksを創業したという起業家だ。イスラエルのセキュリティベンダーの多くがIDF（イスラエル国防軍）での経験をベースに起業しているように、Kramer氏もIDFに5年ほど従軍した後にCheck Pointを起業している。

今回のセミナーは日本での代理店であるマクニカネットワークスが主催し、CEOのKramer氏によるZoomによるプレゼンテーションの後、営業担当の四方洋行氏、エンジニアリング担当の桜井勇亮氏が登壇し日本語で解説とデモを実施した。そして最後に、日本での導入企業であるJUKI株式会社の情報システム部の担当部長が登壇し、自社での導入について解説するという形式となった。

SASEの定義。コネクティビティとセキュリティをクラウドの上で融合したもの

Kramer氏は最初にGartnerが提唱するSASEの定義について解説し、「SD-WANなどのコネクティビティとセキュリティが融合したものである」と語った。ここではSD-WAN、WAN Optimizationなどと並んでCDN（Content Delivery Network）が挙げられているのが興味深い。なぜならセミナー後のインタビューで「Cato NetworksのソリューションはAkamaiのようなCDNベンダーがやっていることをSD-WANとセキュリティのために応用したという理解で良いか？」という筆者の質問に「それは正しい理解だ」と回答してくれたからだ。

Cato Networksのソリューションの具体的な構成例を見れば、CDNの発想に似ていることがわかる。次のスライドは事例の紹介で登壇したJUKI株式会社のプレゼンテーションで使われたものだが、通常は構内に設置するルーターやファイアウォール、IPSなどがすべてCato Networksが実装するソフトウェアで置き換えられていることがわかる。

JUKI株式会社の構成例

筆者がCDNと似ていると感じたのは、ISPや企業のデータセンター、支社などにPoP（Point of Presence）が設置され、そのPoPがメッシュ状にネットワークされることでWANの最適化や冗長化を実現しているというその構造だ。代表的なCDNであるAkamaiの場合、世界中のISPやテレコムキャリアーのデータセンターに設置された約30万台のEdge Serverが有機的にメッシュネットワークを構成し、ビデオ配信やゲーム配信などを低遅延で行うことが特徴だ。Cato Networksのソリューションは、その構造をエンタープライズ向けに仕立てたものと言える。Akamaiがビデオなどのソースを持つ企業からユーザーのモバイル端末や家庭へのNorth-Southの通信をEdge Serverが最適化して行っているとすれば、Cato Networksは企業の持つデータセンターやパブリッククラウドからのデータ通信を支社や従業員のモバイル端末に対して行うEast-West間のデータ通信と言えるだろう。そこにファイアウォールやIPSなどの機能をクラウドからのSaaSとして提供することで、個別にファイアウォールやルーターなどを設置する場合と比べて、運用管理の工数は大きく減ることになる。

またJUKI株式会社の事例紹介では、Office 365の導入に合わせてCato Networksの導入が行われたという説明があった。大量のセッションを消費するOffice 365による従来型のファイアウォールやUTM、IPSなどへの負担を軽減するという意味でも、インターネットブレイクアウトなどの対処療法を使わずに、抜本的なクラウドへのシフトを可能にするCato Networksという選択は正しかったと言えるだろう。

Cato Networksの概念図

CDNとの比較という意味では、AkamaiがEdge Serverとして設置するラックマウントのサーバーとは異なり、Cato Networksがユーザーに設置するPoP（Catoの呼び名ではSocketと呼ばれるアプライアンス）は「ゼロタッチSD-WANデバイス」という説明が正確にその内容を示していると言える。X1500と呼ばれるエントリーモデルは、Atomプロセッサに4GBのメモリ、ストレージは16GBのMicroSDカードというケーブルテレビのセットトップボックス並みの構成で実装されるということからもわかるように、PoP側では最低限の処理だけを行い、ほぼすべての処理をクラウド側に設置されたソフトウェアが担当するという構造だと言えるだろう。なおこのX1500には上位機種も存在し、企業のデータセンターでの大量のトラフィックを捌く需要にも対応できるようになっていることは明記しておきたい。

企業内に設置されるSD-WANアプライアンス

実際に日本でのPoPはエクイニクスのデータセンター内に配備されており、東京の他に大阪にも配置される予定であるという。PoPの数は全世界で52箇所に配備されており、四半期に4つというペースで増加しているとKramer氏は説明を行った。

またダッシュボードもよく作り込まれており、トラフィックの状況の監視やアプリケーションごとの優先順位、Web Application Firewallの設定やMalwareなどの発見などが包括的に運用可能になっていることも特筆するべきだろう。日本語化はされておらず英語表記であるが、システム管理者にとっては使いやすいユーザーインターフェースと言える。

Cato Networksの管理用ダッシュボード

Cato Networksの社内のネットワークを使ったデモ画面では、複数のISPを使ってクラウドへの接続が行われていることも紹介され、複数のISPを束ねてActive/Active、Active/Standbyでインターネット接続が運用できることも紹介された。

Cato Networksのイスラエルオフィスの接続状況

Kramer氏はCato Networksの特徴を、以下の4つのキーワードで説明した。

• Convergence
• Cloud Native
• Global PoP
• Any Edge

コンバージェンスはSD-WANなどのコネクティビティとセキュリティとの融合、クラウドネイティブはSaaS型のソリューションであることと自律型のネットワークであることを表す。グローバルPoPは全世界をカバーするPoPを配備すること、そして最後のAny Edgeは、サーバーだけではなくスマートフォンなどのエンドポイントもカバーするソリューションであることを示しているのだろう。

今後の開発計画に入っているとして紹介されたエージェントレスについては参加者からも質問が出たポイントで、AWSなどのパブリッククラウドベンダー側のようにアプライアンスを入れられないような環境においてもセキュリティを実現する予定であるという。こういう部分でもAny Edgeというコンセプトは活きていると言える。

インタビューでKramer氏が語ったのは、これからのチャレンジとしてフットプリントを増やすことを挙げ、PoPをさらに増加させ多くのユーザーのトラフィックをセキュアに守ることが最優先だと語った。

課金モデルについては「データ転送量ではなくSocketを通過するデータの帯域幅によって段階的に課金するというサブスクリプションモデルである」と回答した。これはクラウドベンダーがよく採用するユーザー数やCPUのコア数、データ転送量などではなく、どのくらいの帯域を利用するのか？　に応じて課金されるということだ。また日本の営業担当である四方氏は「各国のインターネット接続の価格帯に応じた課金システムになっており、日本は他の国に比べて異常にアクセス料金が安いのでそのレベルにアジャストしている」と説明し、営業担当としての悩みが垣間見えた回答となった。

Cato Networksの日本人社員、桜井氏（左）と四方氏（右）

GartnerがSASEという新しいジャンルを作らなければいけないように、企業が利用するネットワーク環境はクラウドの応用をきっかけに進化が加速している。これまでの本社～支社間のWAN接続を専業ベンダーやキャリアに任せるという発想を一度捨てて、クラウドをベースにしたCDN的発想のトラフィックの制御とセキュリティの実現を検討するのであれば、Cato Networksは最有力候補だろう。