商品検索サイト

目次

> セキュリティ > SASEとは?読み方や概念から、導入メリット・注意点までわかりやすく解説

SASEとは?読み方や概念から、導入メリット・注意点までわかりやすく解説

「SASE(サシー)」は、ネットワーク機能とセキュリティ機能を統合して提供するソリューション。ゼロトラストの考え方に基づいたハイブリッドワーク時代の新しいソリューションとして注目されています。SASEの概要と注目される理由について解説します。

SASEとは

はじめにSASEとはどのようなものかについて解説します。

SASEの概念

SASEとは、Secure Access Service Edge(セキュア アクセス サービス エッジ)の略称で、日本語では「サシー」または「サッシー」と読みます。2019年にアメリカの調査・コンサルティング企業Gartner(ガートナー)社が提唱した、新しいネットワークセキュリティモデルのことを指します。

もともと、多くの企業ではネットワークセキュリティ対策として、ファイアウォール、VPN、SWG(Secure Web Gateway)、CASB(Cloud Access Security Broker)などさまざまなセキュリティ製品を個別に導入していました。しかし、SASEではこれらの機能をひとつの製品にまとめて利用できるようにしています。

SASEを導入することで、企業はクラウドサービスやインターネット接続を、従業員がいつでもどこからでも安全に利用できる環境を構築できます。

SASEとゼロトラストの違い

SASEと似た概念としてよく挙げられるのが「ゼロトラスト」です。ゼロトラストとは、内部ネットワークと外部ネットワークの境界線を廃し、すべての通信を信用せずに検証することで脅威から守るという考え方を指します。

一方のSASEは、このゼロトラストの考え方を実現するための具体的な仕組みやシステムのことを指します。 

SASEとCASBとの関係

CASBとは、Cloud Access Security Brokerの略で、クラウドサービス利用時のセキュリティ対策に関するソリューションのことを指します。

企業がクラウドサービスを利用する際、従業員による不適切な操作や外部からの不正アクセスなどのリスクが存在します。CASBはそのようなリスクを低減するため、クラウド利用状況を継続的に可視化し、セキュリティポリシーに基づいた適切な対策をブローカー(仲介)する役割を果たします。

具体的には、CASBには以下の4つの主要な機能があります。

  • 可視化:クラウドサービスの利用状況を継続的に監視し、ログを取得・分析
  • コンプライアンス:企業のセキュリティポリシーやガバナンスの遵守状況をチェック
  • データセキュリティ:クラウド上のデータの暗号化や権限管理など
  • 脅威防御:マルウェア対策や不正アクセスの監視・防御

SASEの導入が進んでいる背景

国内でも徐々に利用され始めているSASEですが、なぜ導入が進んでいるのでしょうか?その背景について解説します。

クラウドの普及

クラウドサービスの利用が広がったことが、SASEの導入が進む要因になっています。従来の境界型防御では、企業のオフィスや拠点からクラウドサービスへの通信は、多くの場合、企業のゲートウェイ(通常は自社のデータセンターや本社に設置)を経由して接続されていました。このゲートウェイには、ファイアウォールやプロキシサーバーなどのセキュリティ機器が配置されています。

しかし、クラウドサービスの利用増加に伴い通信量が急増したことで、このゲートウェイの回線やセキュリティ機器が逼迫するようになりました。そのため、すべての通信をゲートウェイに集約せず、各拠点から直接インターネットを経由してクラウドサービスにアクセスできる仕組み(インターネットブレイクアウト)が必要になっています。

リモートワークの増加

働き方改革の流れを受け、企業におけるリモートワークやテレワークの利用が急速に広がりました。コロナ禍ではその動きがさらに加速しました。社員が自宅や外出先から業務システムにアクセスする機会が増えたことで、セキュアで快適な外部アクセス環境の構築が経営課題となりました。 

以前までは社員が社内ネットワークに接続する際にはVPN(Virtual Private Network)装置を利用するケースが多数でした。しかし、この方式にはアクセス数や処理能力に限界がある点や、社外接続のセキュリティリスクが高まる点など、課題が多くありました。

ゼロトラストの普及

従来のセキュリティでは、内部ネットワークと外部ネットワークの境界線を設け、内側を「信頼できる領域」、外側を「信頼できない領域」と区別する「境界型防御」が一般的でした。しかしクラウドの普及とリモートワークの増加によって、アクセス元に関わらずあらゆる接続を「信頼できない」と判断する必要が出てきました。

SASEを導入する企業のメリット

次にSASEを導入した際のメリットについて解説します。

セキュリティ対策の強化

SASEを導入することで、高度化・巧妙化が進むサイバー攻撃から大切な情報を保護できるようになります。従来の境界型防御ではネットワークの境目にファイアウォールを設置してトラフィックを監視していました。しかしSASEではクラウドサービスとしてのファイアウォールを利用するため、ユーザーがどこにいてもインターネット経由でアクセスでき、ユーザーやデバイス、アプリケーションごとにポリシーを設定することができます。また、セキュアネットワークの機能により情報漏えいを防ぐこともできます。

柔軟かつセキュアなネットワーク環境の構築

SASEは、ばらばらだったネットワークを一つにまとめ、社員の接続状況に合わせて最適な経路でクラウドサービスへアクセスできるようにするのが特徴です。出張先やテレワーク中でも、快適かつ安全にクラウドを利用可能です。

 システム負荷の軽減

SASEの導入により、さまざまなシステムにかかる負荷を軽減できます。従来は、ファイアウォール、VPN、メール保護などのセキュリティ対策を、それぞれ個別のソリューションとして導入する必要がありました。各ソリューションを管理・運用するシステムにそれぞれ負荷がかかるため、全体としての負担が大きくなっていました。

一方SASEでは、これらの機能が一つのクラウドサービスに統合されているため、システムへの負荷を大幅に低減できます。特に、ローカルネットワークに存在する機器への負荷軽減が図れます。

運用の効率化及び管理コストの低減

SASEは、ネットワークとセキュリティサービスを統合的に提供するため、ITシステムの運用管理が格段に効率化されます。従来は個別に導入されていたさまざまなソリューションを、SASEひとつで運用できるようになるのです。

その結果、重複した機能やライセンス管理、バージョンアップの手間などが大幅に削減できます。保守運用にかかわる人的コストの圧縮ができ、ハードウェアの調達やラック設置、消費電力などのコストも削減可能です。

また、クラウドベースであるSASEは、内部で障害やインシデントが起きても、サービスプロバイダーによって迅速に復旧や対応がなされます。企業はソフトウェアのパッチ適用や設定変更といった運用管理作業から解放され、本来の業務に注力できるようになります。

SASEを構成する要素

次にSASEを構成する要素について解説します。 

SD-WAN(Software Defined-Wide Area Network)

SD-WAN(エスディーワン)は、ソフトウェアによって、物理的な回線の上に仮想的なWANを構築するソリューションです。従来のWANでは物理的な設備の変更が必要でしたが、SD-WANではソフトウェア上で柔軟に設定を変更できます。

例えば従業員の作業環境に合わせて、WANのトラフィックを最適化することが可能です。社内リソースへのアクセスとクラウドサービスへのアクセスで別回線を利用するなど、用途に応じて使い分けられます。そのため、ネットワーク管理の負担軽減、WAN運用の稿と削減に繋がります。

さらにSD-WANには、各拠点からクラウドサービスに直接アクセスする「インターネットブレイクアウト」機能があります。従来のVPNでは、すべてのトラフィックが本社やデータセンターを経由する必要がありましたが、インターネットブレイクアウトにより、各拠点から直接インターネットにアクセスできるため、通信遅延が大幅に減少します。

インターネットブレイクアウトで直接アクセスすることで、セキュリティリスクは当然高まります。しかし、SASEではCASBやSWGなど後述のソリューションを複合的に使用することで、セキュリティリスクは低減されています。

CASB(Cloud Access Security Broker)

クラウドの利用拡大に伴い、企業はクラウドサービスの利用状況を見える化し、セキュリティポリシーに基づいてコントロールする必要が出てきました。CASBはこの役割を担うサービスです。

前述のようにCASBの主な機能は4つあります。

1つ目は「クラウド利用の可視化」です。従業員が利用している管理部門が把握していないクラウドサービス(シャドーIT)を検知し、利用を制限できます。

2つ目は「データセキュリティ確保」で、クラウド上のデータに対する権限管理や暗号化を行います。

3つ目の「コンプライアンス監視」では、クラウド利用がポリシーやガバナンスを満たしているかをチェックします。

そして4つ目が「セキュリティ脅威防御」です。クラウド上のマルウェアやデータ漏えいの危険を検知し、保護します。

SWG(Secure Web Gateway)

SWGはインターネット経由のWebアクセスを安全に行うためのソリューションです。プロキシサーバーやURLフィルタリング、マルウェア対策などの機能があります。

社員がリモートワークで自宅からインターネットにアクセスする機会が増えたことで、SWGの役割は一層重要になってきました。従業員が意図せず不正サイトを開いてマルウェアに感染するリスクや、機密データを誤って外部に漏らしてしまうリスクの対策ができます。

FWaaS(Firewall as a Service)

FWaaSはクラウド上で提供されるファイアウォール機能で、従来の物理ファイアウォールと同等のセキュリティを実現します。

FWaaSはクラウド上のサービスであるため、物理ファイアウォールのようなハードウェアを用意する必要がありません。そのため、リモートワークなどの分散環境でも均一のセキュリティを維持できます。さらに機能の追加や変更が柔軟に行え、ニーズに合わせて最適化できるメリットがあります。

ZTNA(Zero Trust Network Access)

ZTNAは「ゼロトラスト」の考え方を実現するアクセス制御ソリューションで、内部と外部を区別することなく、すべての通信を潜在的な脅威と見なします。そのためアプリケーションへのアクセスには、マルチファクター認証によるユーザー認証や、デバイスの信頼性チェックなど、徹底した検証が行われます。

認証を通過したデバイスやユーザーに対しても、アプリケーション単位で細かくアクセスを制御する「マイクロセグメンテーション」が適用されます。アプリケーション以外の領域への可視性は最小限に抑え、悪意のある通信の広がりを封じ込めます。さらにアプリケーションへの通信経路は必ず暗号化され、安全性が確保されています。

SASEを導入する際の注意点

SASEを導入する際には事前に留意するべきことがあります。ここでは注意点について解説します。

セキュリティポリシーを見直す

SASEは従来のネットワークセキュリティとは異なる新しい考え方であるため、SASE導入の際には、既存のセキュリティポリシーを見直す必要があります。ゼロトラストの考え方に基づくSASEでは、デバイスやユーザーの認証だけでなく、アクセスしようとするリソースやアプリケーションに応じて、柔軟にアクセス権を付与する必要があります。

そのため、従来の「内部ネットワークは信頼して無制限にアクセスを許可する」というポリシーでは不十分です。SASEの特徴を最大限に活かすためには、認証済みのユーザーであってもアクセス元のデバイスや状況に応じて適切な制限をかける、より細かいアクセス制御が求められるため、社内管理は徹底する必要があります。

導入計画を立てる

自社にとって最低限必要なネットワークアクセスやセキュリティ機能が何かを整理し、把握する必要があります。その上で優先順位を理解し、導入コストを含めて計画的に導入すると良いでしょう。

例えば、クラウドアクセスの確保ならCASBを、ウェブトラフィックの制御ならSWGを最優先すべきです。ZTNAのようにすぐには必要ないものは後回しにするなど、機能の優先度を定めましょう。

ベンダーをよく検討する

SASEは単一の製品やサービスではなく、複数のソリューションが組み合わされた製品です。そのため、SASEを導入する際には、ベンダーを慎重に選定する必要があります。具体的には次の点を確認しましょう。

  • 提供するSASEコンポーネントが自社のIT要件を満たしているか
  • 認定資格やサービス実績から技術力が十分か
  • 障害対応を含むサポート体制が万全か
  • クラウド上でのデータ保護や脅威対策が堅牢か

TD SYNNEXのSASEソリューション

TD SYNNEXは、SASEの各コンポーネントを提供する複数のベンダーの製品を取り扱っており、企業のニーズに合わせた最適なSASEソリューションを提案しています。

EPP/EDR

複数のEPP/EDR製品を取り扱っております。詳しくは「エンドポイントセキュリティ製品の比較7選」をご覧ください。

SD-WAN

Aryaka、HPE ArubaのSD-WANを取り扱っています。

AryakaのSD-WANは、高速で安定したネットワーク接続を提供しているにも関わらず、サブスクリプション形式を採用している珍しいサービスです。また、自社でグローバルネットワークを所有しているため、回線の運用が不要になります。

Aruba(日本ヒューレットパッカード合同会社)のSD-WANは、「Aruba EdgeConnect」「Aruba Orchestrator」「Aruba Boost」の3つのコンポーネントが中心となっています。特徴として、IT部門の担当者だけでなく、ユーザーにとっても使いやすいシステムであることです。

CASB

Microsoft Defender for Cloud Apps は Microsoft 365 に含まれるセキュリティ機能で、クラウドアプリの可視化と制御、データ保護とコンプライアンス、脅威防御、条件付きアクセス、シングルサインオン(SSO)などの機能を提供し、組織のクラウドセキュリティを強化します。

ZTNA

ZTNAでは、FortinnetのZTNAソリューションを取り扱っています。Fortinet社製品はグローバルで70万社を超えるお客様に導入され、UTM(FW)市場では50%の出荷シェアを占めています(2024年現在)。

その他にもCisco Systemsのネットワークセキュリティ製品も取り扱っています。UTMやファイアウォールだけでなく、物理的なスイッチなども幅広く取り扱い、社内システムやセキュリティの向上、効率化に貢献しています。

内側も外側もキケン!SASEで両方のネットワークセキュリティを向上させましょう

SASEはSD-WAN、CASB、SWG、FWaaS、ZTNAなどを統合し、クラウドからセキュアなアクセスを提供するサービスです。企業はSASEを導入することで、ハイブリッドワークなどの環境下でもセキュリティ強化とコスト削減、運用効率化を同時に実現できるメリットがあります。

ただし、SASEの導入には綿密な計画と準備が欠かせません。使用状況に合わせてポリシーを見直し、ニーズに合った適切なコンポーネントから段階的に導入するなど、自社に最適化されたロードマップの作成が重要です。そして何より、サービス内容とセキュリティレベルが企業の要件を満たす信頼できるベンダーの選定が前提となります。

SASEの導入を検討される場合は、当社にご相談いただければ適切な製品をご提案いたします。お気軽にご相談ください。

[筆者プロフィール]
佐々木
テクニカルサポート出身のITライター。Windows Server OS、NAS、UPS、生体認証、証明書管理などの製品サポートを担当。現在は記事制作だけでなく、セキュリティ企業の集客代行を行う。

製品・サービスについてのお問合せ

情報収集中の方へ

導入事例やソリューションをまとめた資料をご提供しております。

資料ダウンロード
導入をご検討中の方へ

折り返し詳細のご案内を差し上げます。お問い合わせお待ちしております。

お問い合わせ