クラウドサービスの急速な普及とリモートワークの定着により、従来のデータセンター中心のセキュリティモデルは限界を迎えています。ユーザーはオフィス外からクラウドアプリケーションに直接アクセスし、データは複数のクラウド環境に分散しています。この新しい現実に対応するために登場したのがSASE(Secure Access Service Edge)です。
本記事では、SASEについて以下の内容を解説します。
- SASEの定義とGartnerが提唱した背景
- SASEを構成する5つのコアコンポーネント(SD-WAN、SWG、CASB、ZTNA、FWaaS)
- SASEとSSE(Security Service Edge)の違い
- クラウドネイティブなセキュリティ統合のメリット
- SASEベンダーの選定ポイントと段階的な導入アプローチ
この記事を読むことで、SASEの概念を理解し、組織のネットワークセキュリティ近代化の方針を検討できるようになります。
前提知識
本記事を理解するために、以下の知識があることを前提としています。
- ネットワークの基本概念(VPN、ファイアウォール、プロキシ)を理解している
- ゼロトラストの基本原則を把握している
- クラウドサービス(IaaS、PaaS、SaaS)の違いを理解している
ゼロトラストの基本原則については、ゼロトラストセキュリティ入門 - 基本原則と7つの柱を理解するを、ZTNAについてはVPNからZTNA(ゼロトラストネットワークアクセス)への移行ガイドを先に読むことをお勧めします。
期待される学習成果
本記事を読み終えると、以下のことができるようになります。
- SASEの定義と必要性を説明できる
- SASEを構成する5つのコンポーネントの役割を理解できる
- SASEとSSEの違いを明確に説明できる
- SASEベンダー選定の評価基準を把握できる
- 段階的なSASE導入計画を策定できる
SASEとは何か
SASE(Secure Access Service Edge、「サシー」と発音)は、2019年にGartnerが発表したレポート「The Future of Network Security is in the Cloud」で初めて定義されたフレームワークです。WANの機能とネットワークセキュリティ機能を単一のクラウドデリバリー型サービスに統合し、企業に対してより高いアジリティ、強力で信頼性の高いネットワークパフォーマンス、異種IT環境全体にわたる詳細な可視性と制御を提供します。
SASEが生まれた背景
従来のエンタープライズネットワークは、データセンターを中心としたハブ・アンド・スポーク型のアーキテクチャで構築されていました。リモートオフィスや支社からのトラフィックは、専用線(MPLS)を通じてデータセンターに集約され、そこで一元的にセキュリティ検査を受けた後、インターネットやクラウドサービスにアクセスしていました。
flowchart TB
subgraph traditional["従来のアーキテクチャ"]
direction TB
subgraph locations["拠点"]
branch1["支社A"]
branch2["支社B"]
remote["リモートユーザー"]
end
subgraph datacenter["データセンター"]
vpngw["VPN Gateway"]
fw["ファイアウォール"]
proxy["プロキシ"]
end
subgraph destination["接続先"]
cloud["クラウドサービス"]
saas["SaaSアプリ"]
internet["インターネット"]
end
branch1 -->|"MPLS"| datacenter
branch2 -->|"MPLS"| datacenter
remote -->|"VPN"| vpngw
vpngw --> fw
fw --> proxy
proxy -->|"ヘアピン"| destination
endしかし、このモデルには現代のビジネス環境において重大な問題が生じています。
| 環境の変化 | 従来モデルの問題点 |
|---|---|
| クラウドサービスの普及 | トラフィックの大半がデータセンターではなくクラウドへ向かう |
| リモートワークの増加 | VPNの帯域不足とバックホール(迂回)による遅延 |
| SaaSアプリケーションの利用拡大 | データセンター経由のアクセスがボトルネックに |
| 機密データの分散 | クラウド上のデータに対する可視性と制御の欠如 |
Gartnerの調査によると、2025年時点でワークロードの92%以上が何らかのクラウドプラットフォーム上でホストされており、オンプレミスのみで稼働しているワークロードはわずか8%にとどまっています。この劇的な変化が、データセンター中心のセキュリティモデルを時代遅れにしました。
SASEの基本コンセプト
SASEは、「セキュリティをユーザーの近くに持っていく」というパラダイムシフトを実現します。従来のように「ユーザーをセキュリティのある場所(データセンター)に連れてくる」のではなく、クラウド上に分散配置されたPoint of Presence(PoP)を通じて、ユーザーがどこにいても一貫したセキュリティポリシーを適用します。
flowchart TB
subgraph sase["SASEアーキテクチャ"]
direction TB
subgraph users["ユーザー"]
mobile["モバイル"]
home["在宅勤務"]
branch["支社"]
hq["本社"]
end
subgraph sasecloud["SASEクラウド"]
pop1["PoP 東京"]
pop2["PoP 大阪"]
pop3["PoP シンガポール"]
subgraph security["統合セキュリティ"]
ztna["ZTNA"]
swg["SWG"]
casb["CASB"]
fwaas["FWaaS"]
end
subgraph network["ネットワーク"]
sdwan["SD-WAN"]
end
end
subgraph resources["リソース"]
saas["SaaS"]
cloud["パブリッククラウド"]
dc["データセンター"]
end
users -->|"最寄りのPoPに接続"| sasecloud
sasecloud -->|"最適化されたルーティング"| resources
endこの設計思想の核心は、Gartnerが述べているように「セキュリティ境界はデータセンターのエッジにある箱の中に閉じ込められているのではなく、企業が必要とする場所に動的に作成されるポリシーベースのセキュアアクセスサービスエッジにある」という点です。
SASEを構成する5つのコンポーネント
SASEは、5つの必須テクノロジーで構成されています。これらのコンポーネントが統合されることで、包括的なネットワークセキュリティを実現します。
flowchart LR
subgraph sase["SASE"]
direction TB
subgraph sse["SSE(Security Service Edge)"]
swg["SWG<br/>Secure Web Gateway"]
casb["CASB<br/>Cloud Access Security Broker"]
ztna["ZTNA<br/>Zero Trust Network Access"]
fwaas["FWaaS<br/>Firewall as a Service"]
end
subgraph wan["WAN"]
sdwan["SD-WAN<br/>Software-Defined WAN"]
end
end
sse --- wanSD-WAN(Software-Defined Wide Area Network)
SD-WANは、ソフトウェアによってWANを制御するオーバーレイネットワーク技術です。複数の接続タイプ(ブロードバンド、MPLS、LTE/5G)を抽象化し、アプリケーションのニーズに応じて最適な経路を動的に選択します。
SD-WANの主な機能は以下の通りです。
| 機能 | 説明 |
|---|---|
| インテリジェントルーティング | アプリケーション要件に基づいた最適経路の自動選択 |
| 帯域幅の集約 | 複数回線を束ねて総帯域幅を向上 |
| QoS(Quality of Service) | 重要アプリケーションの優先制御 |
| 自動フェイルオーバー | 回線障害時の自動切り替え |
| 一元管理 | クラウドベースのオーケストレーション |
従来のMPLS専用線と比較して、SD-WANはコスト効率が高く、展開も迅速です。MPLSの導入には数週間から数ヶ月かかることがありますが、SD-WANは数日、場合によっては数時間で導入可能です。
SWG(Secure Web Gateway)
SWG(Secure Web Gateway)は、ユーザーのWebセッションに対してセキュリティを提供するコンポーネントです。インターネットへのアクセスを仲介し、悪意のあるコンテンツやポリシー違反からユーザーを保護します。
SWGの主な機能には以下のものがあります。
- URLフィルタリング: カテゴリベースまたはレピュテーションベースでWebサイトへのアクセスを制御
- SSL/TLS復号化: 暗号化されたトラフィックを検査し、隠れた脅威を検出
- マルウェア検出: ダウンロードファイルや悪意のあるスクリプトをリアルタイムでスキャン
- アプリケーション制御: シャドーITの可視化と未承認アプリケーションの制御
- DLP(Data Loss Prevention): 機密データの外部流出を防止
flowchart LR
user["ユーザー"] --> swg["SWG"]
subgraph swgfunctions["SWG機能"]
direction TB
ssl["SSL復号化"]
url["URLフィルタリング"]
malware["マルウェア検出"]
dlp["DLP"]
end
swg --> swgfunctions
swgfunctions --> allowed["許可されたサイト"]
swgfunctions -->|"ブロック"| blocked["悪意のあるサイト"]CASB(Cloud Access Security Broker)
CASB(Cloud Access Security Broker)は、ユーザーとクラウドサービスの間に位置し、SaaSアプリケーションの可視化、コンプライアンス、データセキュリティ、脅威防御を提供します。
CASBには4つの主要な機能領域があります。
| 機能領域 | 説明 | ユースケース |
|---|---|---|
| 可視性 | クラウドサービスの利用状況を把握 | シャドーIT検出、利用状況レポート |
| コンプライアンス | 規制要件への準拠を支援 | GDPR、HIPAA、PCI DSS対応 |
| データセキュリティ | 機密データの保護 | DLP、暗号化、アクセス制御 |
| 脅威防御 | クラウド上の脅威を検出・対応 | マルウェア検出、異常行動検知 |
CASBの導入モードには、API型(既存のクラウドサービスと連携)とプロキシ型(トラフィックを仲介)があり、組織のニーズに応じて選択または組み合わせて使用します。
ZTNA(Zero Trust Network Access)
ZTNA(Zero Trust Network Access)は、ゼロトラストの原則に基づいてアプリケーションへのアクセスを制御するコンポーネントです。従来のVPNがネットワークレベルのアクセスを許可するのに対し、ZTNAはアプリケーション単位でアクセスを制御します。
ZTNAの動作原理は以下の通りです。
- 継続的な検証: ユーザーとデバイスのアイデンティティを常に検証
- コンテキストベースのアクセス制御: ユーザーの属性、デバイスの状態、場所、時間などに基づいてアクセスを判断
- 最小権限アクセス: 必要なアプリケーションへのアクセスのみを許可
- アプリケーションの隠蔽: 内部アプリケーションをインターネットから不可視化
flowchart TB
subgraph ztna["ZTNA動作フロー"]
user["ユーザー"] --> verify["アイデンティティ検証"]
device["デバイス"] --> check["デバイス状態チェック"]
verify --> policy["ポリシー評価"]
check --> policy
context["コンテキスト情報<br/>(場所、時間、リスクレベル)"] --> policy
policy -->|"許可"| access["アプリケーションアクセス"]
policy -->|"拒否"| block["アクセス拒否"]
policy -->|"追加検証要求"| mfa["MFA要求"]
mfa --> policy
endZTNAについての詳細は、VPNからZTNA(ゼロトラストネットワークアクセス)への移行ガイドを参照してください。
FWaaS(Firewall as a Service)
FWaaS(Firewall as a Service)は、クラウドネイティブな次世代ファイアウォールをサービスとして提供します。従来のハードウェアファイアウォールと同等以上の機能を、クラウドから一元的に提供します。
FWaaSが提供する主な機能は以下の通りです。
- レイヤー7検査: アプリケーション層での詳細なトラフィック分析
- 侵入防止システム(IPS): 既知の攻撃パターンの検出とブロック
- DNSセキュリティ: 悪意のあるドメインへのアクセスをブロック
- 高度な脅威防御: ゼロデイ攻撃やサンドボックス回避攻撃への対応
- アクセス制御: ユーザー、グループ、アプリケーションベースのポリシー
FWaaSの最大のメリットは、物理アプライアンスの設置・保守が不要なことです。クラウドからグローバルに展開され、すべての拠点とユーザーに一貫したファイアウォール保護を提供します。
SASEとSSEの違い
2021年、GartnerはSSE(Security Service Edge)という新しいカテゴリを定義しました。SSEは、SASEのセキュリティコンポーネントのみを切り出したサブセットです。
flowchart TB
subgraph comparison["SASEとSSEの関係"]
subgraph sase["SASE"]
subgraph sse["SSE"]
swg["SWG"]
casb["CASB"]
ztna["ZTNA"]
fwaas["FWaaS"]
end
sdwan["SD-WAN"]
end
end両者の違いを整理すると以下のようになります。
| 観点 | SASE | SSE |
|---|---|---|
| 範囲 | ネットワーク + セキュリティ | セキュリティのみ |
| SD-WAN | 含む | 含まない |
| ユースケース | WANの近代化とセキュリティ統合 | セキュリティの近代化に特化 |
| 導入の複雑さ | より複雑(ネットワーク変更を伴う) | 比較的シンプル |
| 適した組織 | 多拠点、グローバル展開 | クラウドファースト、リモートワーク中心 |
組織がすでにSD-WANを導入している場合や、ネットワーク層の変更を段階的に行いたい場合は、まずSSEを導入し、後からSD-WANを統合するアプローチも有効です。
SASEのメリットと導入効果
SASEを導入することで、組織は以下のようなメリットを享受できます。
コスト削減と複雑性の低減
複数のポイントソリューション(個別のファイアウォール、プロキシ、VPN、CASB)を単一のプラットフォームに統合することで、以下の効果が得られます。
- ベンダー数の削減: 複数ベンダーとの契約・管理の手間を削減
- ハードウェアコストの削減: 各拠点でのアプライアンス設置が不要
- 運用コストの削減: 統合管理による運用効率の向上
- トレーニングコストの削減: 単一プラットフォームの習得で済む
Gartnerの予測によると、SASE市場は2027年までに250億ドル以上に成長し、年平均成長率は29%に達するとされています。
ユーザーエクスペリエンスの向上
SASEは、ユーザーに近いPoPからサービスを提供するため、従来のデータセンター経由のアクセスと比較して大幅な遅延削減を実現します。
flowchart LR
subgraph traditional["従来型"]
user1["東京のユーザー"] -->|"VPN"| dc["大阪データセンター"]
dc -->|"迂回"| saas1["シンガポールのSaaS"]
end
subgraph sasemodel["SASE"]
user2["東京のユーザー"] -->|"直接"| pop["東京PoP"]
pop -->|"最適化"| saas2["シンガポールのSaaS"]
end特にリモートワーク環境では、VPNのボトルネックを解消し、クラウドアプリケーションへの高速アクセスを実現します。
一貫したセキュリティポリシー
SASEは、ユーザーがどこにいても同じセキュリティポリシーを適用します。これにより、以下の課題を解決できます。
- オフィスと自宅でのセキュリティレベルの違い
- 海外拠点でのセキュリティ管理の困難さ
- モバイルデバイスからのアクセスにおけるセキュリティギャップ
可視性の向上
単一のプラットフォームから、以下の情報を統合的に把握できます。
- ユーザーのアクティビティ
- アプリケーションの利用状況
- データの流れ
- セキュリティイベント
- ネットワークパフォーマンス
この統合された可視性により、トラブルシューティングの迅速化とインシデント対応の効率化が実現します。
SASEベンダーの選定ポイント
SASE市場には多数のベンダーが参入しており、選定には慎重な評価が必要です。以下の観点から評価を行うことをお勧めします。
統合性の評価
SASEは複数の機能を統合したソリューションですが、ベンダーによってはM&Aで取得した製品を寄せ集めた「なんちゃってSASE」を提供している場合があります。
評価のポイントは以下の通りです。
- 単一のコードベースで開発されているか
- 統合された管理コンソールで一元管理できるか
- コンポーネント間でシームレスにデータ連携できるか
- ポリシー定義が統一されているか
グローバルネットワークの評価
SASEはクラウドから提供されるため、ベンダーのグローバルプレゼンスがパフォーマンスに直結します。
| 評価項目 | 確認ポイント |
|---|---|
| PoPの数と分布 | 自社ユーザーの所在地をカバーしているか |
| PoPの容量 | トラフィック増加に対応できるキャパシティがあるか |
| ピアリング | 主要なクラウドプロバイダー、ISPとの接続状況 |
| 冗長性 | 単一障害点がないか |
スケーラビリティと柔軟性
ビジネスの成長に伴い、SASEソリューションもスケールする必要があります。
- ユーザー数やトラフィック量の増加に自動対応できるか
- 新しい拠点やアプリケーションの追加が容易か
- 段階的な導入(フェーズドアプローチ)をサポートしているか
ゼロトラスト機能の充実度
SASEの中核にはゼロトラストの考え方があります。以下の機能が十分に実装されているか確認します。
- 継続的な検証と動的なポリシー適用
- コンテキストベースのアクセス制御
- デバイスの状態評価
- リスクベースの認証強化
コンプライアンス対応
規制産業では、特定のコンプライアンス要件への対応が必須です。
- GDPR、HIPAA、PCI DSS、SOC 2などの認証取得状況
- データレジデンシー(データの保存場所)の選択肢
- 監査ログの保持と出力機能
主要SASEベンダーの比較
2025年時点での主要ベンダーを整理します。
| ベンダー | 特徴 | 強み |
|---|---|---|
| Zscaler | クラウドネイティブの先駆者 | 大規模なグローバルクラウド、ZTNAの強み |
| Palo Alto Networks(Prisma SASE) | 統合セキュリティプラットフォーム | 包括的な脅威防御、AI/ML活用 |
| Cloudflare | CDNをベースとした展開 | グローバルエッジネットワーク、パフォーマンス |
| Cisco(Cisco+ Secure Connect) | エンタープライズネットワーキングの実績 | SD-WANの強み、Merakiとの統合 |
| Netskope | CASBからの発展 | データセキュリティ、クラウド可視性 |
ベンダー選定においては、Gartner Magic QuadrantやForrester Waveなどのアナリストレポートも参考になりますが、自社の要件に照らした実際のPoC(Proof of Concept)が最も重要です。
段階的なSASE導入アプローチ
SASEの導入は、一夜にして完了するものではありません。段階的なアプローチで、リスクを最小化しながら移行を進めることが推奨されます。
ステップ1: 現状評価とゴール設定
まず、現在のネットワークとセキュリティの状況を詳細に把握します。
flowchart TB
subgraph assessment["現状評価"]
network["ネットワーク構成の棚卸し"]
security["セキュリティツールの棚卸し"]
traffic["トラフィックパターン分析"]
users["ユーザー所在地の把握"]
apps["利用アプリケーションの特定"]
end
subgraph goals["ゴール設定"]
risk["リスク軽減目標"]
cost["コスト削減目標"]
ux["ユーザーエクスペリエンス目標"]
compliance["コンプライアンス要件"]
end
assessment --> analysis["ギャップ分析"]
goals --> analysis
analysis --> roadmap["ロードマップ策定"]評価すべき項目の例を以下に示します。
- 現在使用しているセキュリティツールとその機能
- 各拠点のネットワーク接続方式と帯域
- クラウドサービスの利用状況とシャドーIT
- リモートワーカーの数と接続方式
- セキュリティポリシーの一貫性
ステップ2: チーム連携と体制構築
SASEはネットワークとセキュリティを統合するため、これまで別々だったチームの連携が不可欠です。
- ネットワークチームとセキュリティチームの合同プロジェクト体制
- 経営層のスポンサーシップ確保
- スキルギャップの特定とトレーニング計画
ステップ3: パイロット導入
全社展開の前に、限定的な範囲でパイロット導入を行います。
パイロットの対象として適切な例を以下に示します。
- 新規オープンする拠点
- クラウドアプリケーションを多用する部門
- リモートワーカーが多いチーム
- セキュリティリスクが高い部門
パイロットでは、以下の指標を測定します。
| 指標カテゴリ | 具体的な指標 |
|---|---|
| パフォーマンス | レイテンシ、スループット、アプリケーション応答時間 |
| セキュリティ | 検出された脅威数、誤検知率、ポリシー違反数 |
| 運用効率 | チケット数、解決時間、管理工数 |
| ユーザー満足度 | アンケート結果、ヘルプデスク問い合わせ数 |
ステップ4: 段階的な展開
パイロットの結果を踏まえ、段階的に展開範囲を拡大します。
一般的な展開順序の例を以下に示します。
- フェーズ1: リモートワーカーへのZTNA展開(VPN置き換え)
- フェーズ2: SWGとCASBによるクラウドアクセスセキュリティ
- フェーズ3: 支社・拠点へのSD-WAN展開
- フェーズ4: レガシーセキュリティ機器の段階的廃止
- フェーズ5: 全社統合とポリシー最適化
ステップ5: 継続的な最適化
SASEの導入後も、継続的な監視と最適化が必要です。
- 新しい脅威への対応とポリシー更新
- パフォーマンスのモニタリングとチューニング
- 新規クラウドサービスの追加対応
- ユーザーフィードバックに基づく改善
SASE導入における注意点
SASE導入を成功させるために、以下の点に注意が必要です。
よくある誤解の排除
SASEに関するよくある誤解を整理します。
誤解1: SASEはクラウドベースのVPNである
SASEは単なるVPNの代替ではありません。VPNが接続確立後のトラフィックに対してほとんど制御を行わないのに対し、SASEは継続的なコンテキストベースの検査を行います。
誤解2: SASEはSD-WANの少しの改良版である
SD-WANはSASEの一コンポーネントに過ぎません。SASEはネットワークとセキュリティの本質的な統合を表し、単なる機能追加ではなく、アーキテクチャの根本的な変革です。
誤解3: SASEは大企業だけのもの
SASEのスケーラビリティは、中小企業にとってもメリットがあります。クラウドデリバリーモデルにより、自社でインフラを構築・運用する必要がなく、必要な規模から始められます。
オンプレミスとのハイブリッド対応
すべてのワークロードをクラウドに移行できるわけではありません。以下のケースでは、オンプレミスとのハイブリッド構成が必要です。
- レガシーアプリケーションの存続
- データレジデンシー要件
- 超低レイテンシが求められるアプリケーション
- 規制要件による制約
多くのSASEベンダーは、オンプレミスアプライアンスとの連携やプライベートエッジの展開オプションを提供しています。
補完技術との連携
SASEは万能ではありません。以下の技術との連携が必要な場合があります。
- EDR/XDR: エンドポイントでの脅威検知と対応
- SIEM/SOAR: セキュリティイベントの統合分析と自動対応
- IdP: アイデンティティプロバイダーとの連携
- クラウドワークロード保護: コンテナやサーバーレス環境の保護
SASEプラットフォームがこれらの技術とAPIやコネクタを通じて統合できるかを確認することが重要です。
まとめ
SASEは、クラウド時代のネットワークセキュリティを根本から再定義するフレームワークです。SD-WAN、SWG、CASB、ZTNA、FWaaSという5つのコンポーネントを統合し、ユーザーがどこにいても一貫したセキュリティと最適化されたネットワークアクセスを提供します。
本記事で解説した主要なポイントを振り返ります。
- SASEは「セキュリティをユーザーの近くに持っていく」パラダイムシフト
- 5つのコンポーネント(SD-WAN、SWG、CASB、ZTNA、FWaaS)の統合が本質
- SSEはSASEのセキュリティ部分のみを切り出したサブセット
- ベンダー選定では統合性、グローバルプレゼンス、ゼロトラスト機能を重視
- 段階的な導入アプローチでリスクを最小化
SASEへの移行は一朝一夕には完了しませんが、デジタルトランスフォーメーションを推進する組織にとって避けて通れない道です。現状の課題を明確にし、段階的なロードマップを策定して、着実にセキュリティの近代化を進めていくことが重要です。
次の記事では、ゼロトラストアーキテクチャ設計 - NISTガイドラインに基づく構成要素について解説し、ゼロトラストの実装をより詳細に掘り下げていきます。