なぜSASEが注目されているのか?
クラウドサービスやテレワークの普及により、従来のネットワーク、セキュリティでは対応しきれない課題が浮き彫りになっています。こうしたなか、場所やデバイスを問わず安全なアクセスを実現するゼロトラストの考え方が広がっています。このゼロトラストの実現手段の1つとして注目されているのが「SASE(Secure Access Service Edge、サシー/サッシー)」です。SASEの仕組みや導入メリット、SSEとの違いや導入時のポイントを解説します。
SASEとは?WHAT IS SASE?
SASE(Secure Access Service Edge)は、2019年にガートナーが提唱した概念で、「ネットワークサービスとセキュリティサービスが統合化・集約化され、クラウド上で提供される」と指摘し、サービスのあるべき姿・実装を示したものです。
ネットワーク機能とセキュリティ機能をクラウドベースで統合・提供することで、従来の境界型防御の限界を克服し、セキュアかつ柔軟なネットワーク環境を実現します。
企業のIT環境は、テレワークの普及やクラウドサービスの利用拡大により、従来のオフィス中心の働き方から、自宅やサテライトオフィスなど場所を問わない働き方へとシフトしました。こうした環境変化を受けて、社内外を問わず安全なネットワークアクセスを可能にするSASEの導入が進んでいます。
SASEの仕組みと構成要素
SASEは、ネットワークとセキュリティ機能をカバーするため、複数の要素によって構成されています。主な構成要素は以下のとおりです。
-
CASB(Cloud Access Security Broker)
クラウドサービスの利用状況を可視化・制御し、マルウェアやシャドーITの検出などクラウド利用に伴うセキュリティリスクを低減します。
-
FWaaS(Firewall as a Service)
従来のファイアウォール機能をクラウド上で提供するサービスです。拠点やユーザの場所に依存せず、統一されたセキュリティポリシーの適用が可能です。
-
SWG(Secure Web Gateway)
インターネットアクセス時のセキュリティを担保するクラウド型ゲートウェイです。URLフィルタリング、アンチウイルスなどの機能により、安全なWebアクセスを実現します。
-
ZTNA(Zero Trust Network Access)
ゼロトラストの原則に基づき、ユーザやデバイスの信頼性を動的に評価し、最小権限アクセスを実現します。
-
SD-WAN(Software Defined Wide Area Network)
広域ネットワーク(WAN、Wide Area Network)をソフトウェアで仮想的に制御する技術です。トラフィックの自動制御や最適化により、アプリケーションのパフォーマンス向上や回線コストの最適化などを実現します。
これらの機能はクラウドベースで統合的に提供されることで、分散したユーザや拠点に対しても、一貫性のあるセキュリティポリシーとネットワーク管理を実現します。SASEは単一の製品ではなく、これらの機能を組み合わせた概念の総称であるため、導入に際してはベンダー、サービスごとの提供内容や構成や形態の違いを理解することが重要です。
SASEのメリット
SASEの主なメリットとしては、以下のような点が挙げられます。
- セキュリティ強化、ゼロトラストへの対応
- ネットワークパフォーマンスの改善、快適なクラウドサービスの利用
- 運用負荷の削減
ロケーションに依存せず、同一のセキュリティポリシーを適用できるため、セキュリティ強化に有効です。また、ネットワーク設定の一元管理・最適化により、運用コストの削減と快適な通信を実現し、生産性を向上させます。
ネットワークの品質に関しては、SASEの構成要素の1つであるSD-WANの「ローカルブレイクアウト(インターネットブレイクアウト)」を活用することで、クラウドサービスをより快適に利用できるようになるメリットもあります。ローカルブレイクアウトを実装することで、データセンターを経由せずに、端末や拠点から直接インターネット経由で各種クラウドサービスと通信をさせることができます。これにより大容量トラフィックを必要とするクラウドサービスによるネットワーク輻輳を回避し、快適なクラウド利用を実現します。多くの企業で、クラウドサービスの利用増による通信遅延が問題になる昨今、これを解消する方法として注目されています。
運用面においては、クラウドサービスとしてSASEで提供される様々な機能を一元管理することで、担当者の運用負荷を軽減します。
SASEの最新動向・SSEの登場LATEST TRENDS
SSEの登場と背景
ガートナーは2019年にSASEを提唱しましたが、2021年にはそのセキュリティ機能に特化した新たな概念として「SSE(Security Service Edge)」を示しました。
この背景には、コロナ禍による働き方の急激な変化があります。多くの従業員が自宅などのリモート環境から業務を行うようになり、従来の境界型セキュリティでは対応が困難となったことで、リモートワーカーに対するセキュリティ対策の重要性が急速に高まりました。こうした状況下で、既存のネットワーク構成に依存せず、比較的短期間でセキュリティ強化が可能なSSEが注目されるようになったと考えられます。SASEに比べて実装の難易度が低く、既存のネットワーク環境を維持しながらセキュリティ機能を強化できる点が、企業にとって現実的な選択肢となったのです。
| Beforeコロナ (2019年) |
SASE |
|
|---|---|---|
| Withコロナ、Afterコロナ (2022年) |
SSE |
|
表 SASE・SSEの概要とSSE登場の流れ
SASEとSSEの違い
SASEとSSEの違いをアーキテクチャから見てみます。
SASEのアーキテクチャ
SASEでは、広域ネットワーク(WAN)をSD-WANで構成します。SD-WANを中心に、ゲートウェイ機能、セキュリティ機能、ZTNA機能、クラウド接続機能を、クラウド上から提供する形にネットワークトポロジを組み替えます。従来のようなデータセンター中心ではなく、データセンターはSD-WANの拠点の1つとなり、ネットワークとセキュリティ機能はSASE上から提供されることになります。導入においては、WANの入れ替えを伴うケースが多く、展開には緻密な計画性が必要となります。一方で、エッジ機器からゲートウェイまでSASEで統一されるため、導入後の管理は容易になります。
SSEのアーキテクチャ
SD-WANなどのネットワーク機能を含まず、セキュリティ機能に特化したSSEは、既存のWANやゲートウェイにアドオンする形で実装します。拠点間通信やインターネット接続機能は既存の環境を活用し、セキュリティ機能をSSEのプラットフォームから提供します。このようにSSEでは、既存のネットワーク環境を利用できるため、SASEよりも展開の難易度は低いと言えます。一方で、ネットワークとセキュリティの管理が分離されるため、導入後の運用においては管理の煩雑さが残る可能性があります。
| SASE | SSE | |
|---|---|---|
| 機能 | ネットワーク+セキュリティ | セキュリティに特化 |
| 主な構成要素 | SD-WAN+SWG+ZTNA+CASB | SWG+ZTNA+CASB |
| 特長 |
|
|
| 考慮点 |
|
|
表 SASE・SSEの比較
SASE/SSEのポイント:
選定と運用の観点から
導入前の選定
SASEの導入にあたっては、まず自社のIT環境とセキュリティ要件を明確に整理し、全体的な導入計画を立てることが重要です。SASEへの移行は、既存のネットワーク構成やセキュリティポリシーに直接影響を及ぼすため、中長期的なIT戦略と整合性を取る必要があります。導入に際しては、自社にとって優先度の高い機能や対象領域を見極め、段階的な展開を検討することを推奨します。
こうした要件整理の過程で、SASE以外の選択肢が浮上することもあります。たとえば、セキュリティ機能に特化したSSEが適切なケースです。クラウドサービスを中心に業務環境を構築し、自社でデータセンターを保有していない企業の場合、WANの管理が不要となるため、SD-WAN機能を持たないSSEが適した選択肢となる可能性があります。また、セキュリティ強化や導入の容易性を重視する場合も、まずはSSEの導入から始めるのが現実的です。
このように導入前には複数の選択肢を比較検討し、自社の環境や要件に応じて柔軟に対応できるサービスやベンダーを選定することが導入成功の鍵となります。
導入後の運用
SASEは、あらゆる通信を一元的に管理するプラットフォームであるため、導入後の運用設計も非常に重要です。特に、クラウドサービスの利用が進む現在、Microsoft 365などの高負荷な通信を適切に処理できる設計が求められます。通信経路の設計が不十分な場合、遅延やパフォーマンス低下の原因となります。そのため、クラウド上での通信制御を最適化できる手法の採用が不可欠です。この文脈では、ローカルブレイクアウト(拠点からインターネットに直接接続する方式)は有効な手法の1つですが、環境や要件に応じて設計が異なるため、慎重な計画が必要です。ローカルブレイクアウトをSASE導入の要件に含める場合は、サービスの機能評価に加え、こうした設計を支援できる実績あるパートナー選定が重要です。
IIJのSASE/SSEサービスIIJ'S SERVICE
導入が手軽でかつ拡張性に優れた「SSE」をお探しの方向け
IIJフレックスモビリティ
サービス/ZTNA
端末にエージェントを入れるだけ
SSEで実現する強力ゼロトラスト
IIJフレックスモビリティサービス/ZTNAは、ゼロトラストを実現するリモートアクセスサービスです。従来のリモートアクセスの課題であった「遅さ」「切れやすさ」を解消し、通信の可視化、きめ細かなポリシー設定やアクセス制御などゼロトラストを実現する機能を提供します。Webアクセス保護機能をプラスして、SSEとしてもご利用いただけます。端末にエージェントを導入するだけで、WAN更改が不要なため手軽にSSEを導入できます。
こんな課題を解決したい方におすすめです
-
手軽にSSEを導入したい
大規模なネットワーク構成変更ができないエージェント型のため、端末にエージェントを導入するだけでSSEを実現。エージェントが端末から出るすべての通信ログを収集し、通信を制御&可視化します。SD-WANサービス「IIJ Omnibusサービス」と組み合わせていただくことで、SASEへの拡張が可能です。
-
社員の働き方にあった柔軟なアクセス制御を行いたい
接続する時間、場所、端末、セキュリティパッチの状態など様々な情報を使って、お客様の要件に合わせ柔軟にポリシーを設計できます。
-
通信品質も重視したい、通信環境も改善したい
リモートアクセスやクラウドサービスの利用に伴う遅延や品質低下といった通信課題にも対応。独自技術で、いつでも、どこからでも、快適なリモートアクセスを実現します。ローカルブレイクアウトにも対応しています。
SSEにネットワーク機能を加えた「SASE」を
お探しの方向け
IIJフレックスモビリティ
サービス/ZTNA+
IIJ Omnibusサービス
「IIJフレックスモビリティサービス/ZTNA」に
SD-WANサービス「IIJ Omnibusサービス」を加えてSASEを実現
IIJ Omnibus(オムニバス)サービスは、クラウド時代に最適なSD-WANサービスです。ローカルブレイクアウトやIPv6 IPoEを活用して通信の遅延を解消。シンプルな管理ポータルで、ネットワーク運用のブラックボックス化を防ぎます。
「IIJ Omnibusサービス」とSSE「IIJフレックスモビリティサービス/ZTNA」を組み合わせることで、SASEを実現できます。各種機能はお客様のニーズや導入タイミングに応じて、段階的に実装することが可能。変化するビジネス環境に合わせて、最適なセキュリティネットワークを柔軟に構築できます。
こんな課題を解決したい方におすすめです
-
SD-WANの導入・運用負荷を最小化したい
IIJの特許技術「SMF」を採用したゼロタッチプロビジョニングに対応。ルータの設定は、ケーブルをつないで電源を入れるだけで完了します。また、設定はすべて管理ポータルでの操作となるため、機器への直接的なオペレーションは不要です。快適通信とシンプル運用を両立し、多くのお客様に支持される3年連続シェアNo.1のSD-WANサービスです(※1)。
-
Microsoft 365などクラウドを快適に利用したい
Web会議やファイル共有などのクラウドサービスの利用により発生するネットワーク環境の輻輳を、ローカルブレイクアウトで回避。更にIPv6 IPoE通信で遅延を解消します。
-
ネットワーク運用のブラックボックス化・属人化を解決したい
誰でも分かりやすいシンプルな管理ポータルをご提供。担当者の知識・ノウハウに左右されず、運用のブラックボックス化を防ぎます。また設定の確認や変更、有事の際の切り戻しなども遠隔で実行できます。
- 富士キメラ総研「2022~2024 コミュニケーション関連マーケティング調査総覧」2021~2023年度の年度末時点のサービス利用CPE(顧客構内設備)累計台数ベース、売上金額(SD-WANサービスの利用料収入)ベース
ネットワークセキュリティ
対策/強化の事例CASE STUDIES
SASE/SSEに関する
よくあるご質問FREQUENTLY ASKED QUESTIONS
-
SASE(Secure Access Service Edge)とは、2019年にガートナーが提唱したコンセプトで、ネットワークセキュリティサービスのあるべき機能群を示しています。「SD-WAN」「SWG」「CASB」「FWaaS」「ZTNA」などネットワークセキュリティの機能全般が必要とされています。ゼロトラストは、セキュリティモデルの1つで、ユーザやデバイスからアプリケーションなどのリソースに対して、常に認証・認可を求め、許可したユーザやデバイスにアクセスさせるアプローチです。ゼロトラストはSASEにも含まれる概念です。
-
SSE(Security Service Edge)は、「SWG」「CASB」「FWaaS」「ZTNA」などのセキュリティ機能群を示しています。SSEの主要な要素がZTNA(Zero Trust Network Access)です。
-
SASE(Secure Access Service Edge)とは、2019年にガートナーが提唱したコンセプトで、ネットワークセキュリティサービスのあるべき機能群を示しています。主に「SD-WAN(Software Defined Wide Area Network)」「SWG(Secure Web Gateway)」「CASB(Cloud Access Security Broker)」「FWaaS(Firewall as a Service)」「ZTNA(Zero Trust Network Access)」などネットワークセキュリティの機能全般が必要とされています。SSE(Security Service Edge)は、2021年にガートナーから新たに提唱されました。SASEから「SD-WAN」などのネットワーク機能を除き、セキュリティに特化した機能群になっています。
