Zscalerのブログ
Zscalerの最新ブログ情報を受信
SASE (サッシー)とは?ゼロトラストやVPN、SSEとの違いをわかりやすく解説
クラウド利用の急速な拡大やリモートワークの普及により、ネットワークのあり方は大きく変化しています。
従来のようなデータセンター中心の境界型セキュリティでは、分散したユーザーやアプリケーションを守りきれなくなってきているといえるでしょう。こうした背景から注目されているのがSASE (セキュア アクセス サービス エッジ)です。
本記事では、SASEの基本的な定義から仕組みや従来のネットワーク モデルとの違い、導入のメリットや課題などについて詳しく解説します。
SASEとは?
DXやクラウド活用が進む今、従来のように社内ネットワークを「安全な壁」で囲う時代は終わり、ユーザーがどこからでも、あらゆるアプリケーションに、安全かつ快適にアクセスできる仕組みが求められるようになっています。
このようなニーズに応じる新たなセキュリティとして注目されているのがSASEです。ここでは、SASEについて以下の2点を解説します。
【SASEの解説ポイント】
- SASEの読み方
- SASEの主な機能
SASEの読み方
SASEは、Secure Access Service Edge (セキュア アクセス サービス エッジ)の略称であり、「サッシー」または「サシー」と読みます。英語圏でもsassy (/ˈsæsi/)と発音されており、日本でもこの呼び方が一般的になりつつあります。
SASEは、ネットワークとセキュリティ機能をクラウド上で統合、提供する概念として2019年にGartnerによって提唱されました。
SASEの主な機能
SASEは、ネットワークとセキュリティをクラウドで統合し、どこからでも安全にアクセスできる仕組みです。具体的には、以下のような機能が含まれます。
- ネットワーク制御
- SD-WAN (ソフトウェア定義型広域ネットワーク)
- 動的パス選択
- 中継ノード(POP)による最適ルーティング
- セキュリティ制御
- SWG (セキュアWebゲートウェイ)
- CASB (クラウド アクセス セキュリティ ブローカー)
- ZTNA (ゼロトラスト ネットワーク アクセス)
- FWaaS (Firewall as a Service)
これらの機能は従来、個別のアプライアンスやサービスとして導入する必要がありましたが、SASEはそれらをクラウドネイティブな統合プラットフォームとして提供し、ネットワークとセキュリティの両面から企業のITを包括的に保護します。
また、SASEの重要な特長の一つとして「アイデンティティーベースのアクセス制御」があります。これは、ユーザー、デバイス、位置、アプリ、リスクに関する情報を基に、個別にアクセス可否を判断し、最小限の権限で接続を許可する「ゼロトラスト」の思想が基盤となっていることを意味します。
まず、従来モデルでは、リモート ユーザーの通信をいったんデータセンター経由で処理するため、遅延やボトルネックが発生しやすく、運用も複雑化します。さらに、アクセス経路が長いほどTLS終端や再暗号化、多段検査が多くなり、ユーザーの体感速度低下や運用コストの増加につながります。
一方のSASEでは、最寄りのPoP (ポイント オブ プレゼンス)で復号、検査、ポリシー適用を行い、そのまま宛先への最短経路で接続が行われます。
なお、SASEにおける接続の流れは以下のとおりです。
【SASEの接続の流れ】
- エンドポイント
- 最寄りPoPでのアイデンティティー認証とポリシー適用
- コンテンツ検査(URLフィルタリング、マルウェア対策、DLP (情報漏洩防止)、サンドボックス等)
- 宛先への転送
これによって低遅延、一貫した可視化、ゼロトラストに基づくアクセス制御を同時に実現します。
SASEと他のアプローチとの比較
SASEはネットワークとセキュリティをクラウドで統合する新しい枠組みですが、その全体像を正確に理解するには、関連する他の概念との違いを明確にしておくことが重要です。
ここでは、特に混同されやすい3つの用語について取り上げます。
- ゼロトラスト
- VPN
- SSE
以下で詳細を解説します。
SASEとゼロトラストの違い
ゼロトラストは「決して信頼せず、常に検証する」ことを基本とし、最小特権の原則に基づいてアクセス制御を行う考え方です。
項目 | SASE | ゼロトラスト |
|---|---|---|
定義 | ネットワークとセキュリティをクラウドで統合するフレームワーク | 「決して信頼せず、常に検証する」という考え方 |
役割 | セキュリティを実装するための具体的な基盤 | アクセス権限を最小化し、常時認証、監査する設計思想 |
構成要素 | SWG、CASB、ZTNA、FWaaS、SD-WAN、動的パス選択、中継ノードによる最適ルーティングなど | 特定の製品構成はない(SASEやSSE、ZTNA等で実現) |
主な利用目的 | SaaS、クラウド、分散環境における統合的な接続とセキュリティの確保 | すべてのアクセスの動的な認証と検証によるセキュリティ リスク軽減 |
SASEは、ゼロトラストの思想を具体的な機能で実現する技術的なフレームワークです。ZTNAやDLP、SWG、CASBといった要素が含まれ、ゼロトラストを実装する手段として用いられます。
SASEとVPNの違い
VPNは、あくまで「ネットワーク接続を暗号化して社内へトンネル接続する仕組み」であり、アプリ単位の制御や動的なポリシー適用、セキュリティ検査の機能は備えていません。
項目 | SASE | VPN |
|---|---|---|
定義 | ネットワークとセキュリティをクラウドで統合するフレームワーク | インターネット経由で社内ネットワークに安全に接続する技術 |
役割 | ゼロトラストを前提に、ユーザー、アプリ単位で最小アクセス制御 | 社外の端末を社内ネットワークに一時的に接続するための手段 |
構成要素 | SWG、CASB、ZTNA、FWaaS、SD-WAN、動的パス選択、中継ノードによる最適ルーティングなど | VPNクライアント、VPNゲートウェイ、SSL/TLSトンネル、IPSecトンネル |
主な利用目的 | SaaS、クラウド、分散環境における統合的な接続とセキュリティの確保 | テレワークや出張時における社内システムへのアクセス |
一方、SASEはアプリケーション レベルで接続先を制御し、PoPでDLP検査などのセキュリティ機能をインラインで適用したうえで、ZTNAを通じてユーザーを必要最小限のリソースに接続します。
VPNは便利な仕組みですが、一度つながれば社内全体にアクセスできてしまう場合もあり、内部不正やマルウェア感染後のラテラル ムーブメントに弱いという大きな課題を抱えています。SASEは、この課題を解決し、VPNに代わるゼロトラスト時代のソリューションとして設計されています。
SASEとSSEの違い
SSEは、SASEの一部であり、セキュリティ機能の提供を担います。
項目 | SASE | SSE |
|---|---|---|
定義 | ネットワークとセキュリティをクラウドで統合するフレームワーク | SASEのセキュリティ機能を担うサブセット |
役割 | エンドツーエンドの通信制御、可視化、保護を統合的に実現 | セキュリティ面のみのクラウド化 |
構成要素 | SD-WANなどのネットワーク機能とSSE | SWG、CASB、ZTNA、DLP、FWaaSなど |
主な利用目的 | SaaS、クラウド、分散環境における統合的な接続とセキュリティの確保 | SaaSやクラウド利用時のシャドーIT対策やセキュリティ強化の第一歩 |
SSEは2021年にGartnerが提唱したもので、SWG、CASB、ZTNAなどを含みますが、SD-WANなどのネットワーク制御機能は含まれません。そのため、既存のネットワーク構成を維持したままクラウド セキュリティだけを先行導入したい場合に適した選択肢といえます。SSEの導入後、将来的にSASEに移行することも可能です。
SASEの構成要素
SASEは主に以下のような要素で構成され、それぞれがセキュリティとパフォーマンスの両立を支えています。
【SASEの主要な構成要素】
- SD-WAN
- 動的パス選択
- 中継ノード(POP)による最適ルーティング
- SWG
- CASB
- FWaaS
- ZTNA
順に解説していきます。
SD-WAN
SD-WAN (ソフトウェア定義型広域ネットワーク)は、拠点間やクラウドへの通信を効率化するネットワーク技術です。
アプリケーションごとのトラフィック最適化や、低遅延な経路選択を自動で行うことで、業務効率とネットワーク品質を向上させます。従来のWANに比べ、柔軟性と可視性に優れています。
動的パス選択
アプリケーションの性質やリアルタイムのネットワーク状態に基づき、最適なパスを自動的に選択します。
中継ノード(POP)による最適ルーティング
SASEベンダーが提供するグローバルなノード間で、ユーザーから目的地までの最短/最速ルートを確保します。
SWG
SWG (セキュアWebゲートウェイ)は、ユーザーのWebアクセスをリアルタイムで監視、制御するセキュリティ ゲートウェイです。
URLフィルタリングやマルウェア検出、SSL復号などにより、社内外問わずWeb通信の脅威をブロックします。SASEの中核として、インターネット利用におけるセキュリティを担保します。
CASB
CASB (クラウド アクセス セキュリティ ブローカー)は、SaaSやクラウド サービスの利用に対してセキュリティ ポリシーを適用する仕組みです。
シャドーITの可視化、データの移動制御、アプリごとのアクセス管理などを通じて、クラウド利用に伴うリスクを軽減します。SASEにおけるクラウド セキュリティの重要な構成要素です。
FWaaS
FWaaS (Firewall as a Service)は、ファイアウォールを従来の物理アプライアンスではなくクラウド上で提供するサービスです。
アプリケーション制御、ポート制限、IPフィルタリングなどの機能を持ちつつ、拠点やユーザーの場所を問わず一貫したセキュリティを提供します。SASEにおいてネットワーク境界防御の役割を果たします。
ZTNA
ZTNA (ゼロトラスト ネットワーク アクセス)は、「誰も信用しない」を前提に、ユーザーやデバイスの認証、認可を徹底する仕組みです。
VPNに代わる次世代のリモート アクセス方式として注目されており、SASEにおいてリモートワーカーや外部委託先からの安全なアクセスを実現します。
一元管理
SASEでは、上記のようなセキュリティ機能やネットワーク制御を一元的なポータルから管理できます。
ポリシー適用や可視化、ログ監査を単一のコンソールで実行できるため、IT部門の運用負荷が軽減され、ガバナンス強化にも貢献します。
SASEのメリット
ここではSASEのメリットについて、以下の3点を取り上げます。
【SASEのメリット】
- ITコストと複雑性の削減
- ユーザー エクスペリエンスの向上
- セキュリティ リスクの低減
順に解説していきます。
ITコストと複雑性の削減
従来、企業は複数のポイント ソリューションを組み合わせてネットワークとセキュリティを構築してきましたが、それが管理負担や運用コストの増大につながっていました。一方、SASEはこれらの機能を統合プラットフォーム上で一元的に提供します。これによって、複数の個別製品をばらばらに導入することで起こるツールの無秩序な増加を防ぎ、管理の複雑化を抑制するとともに、コストの最適化を実現します。
クラウドベースで展開されるため、物理アプライアンスの設置や更新も不要となり、IT部門の運用負荷を大幅に軽減します。
ユーザー エクスペリエンスの向上
SASEは、ユーザーに最も近いPoPでトラフィックを処理するため、ネットワーク遅延が発生しにくく、従来のVPN接続で見られるような回線の混雑や不必要な遠回りを避けられます。その結果、ユーザーはどこからでもスムーズにアプリケーションにアクセスできます。
特にSaaSアプリケーションやクラウド サービスへのアクセスは従来のVPNより効率的になるため、生産性の向上にもつながります。
セキュリティ リスクの低減
SASEでは、組織が定めたセキュリティ ポリシーに従って全通信を検査し、ユーザーの役割やアクセス先に応じて許可や制限などの制御を行います。
ゼロトラストの考え方をベースに、信頼できる通信のみを許可することで、内部脅威や高度なサイバー攻撃にも柔軟に対応できます。
ZTNAの導入により、ネットワーク上でのラテラル ムーブメント(侵入後の横展開)を防止し、侵害時の影響を局所化できます。DLPと組み合わせれば、データ流出の防止にもつながります。
SASEの課題
SASEはネットワークとセキュリティを統合し、ゼロトラストを実現する先進的なアーキテクチャーですが、すべての企業にとって万能というわけではありません。
導入に際しては以下のような課題も存在します。
【SASEの課題】
- 導入、設計の難易度が高い
- すべてのアプリの通信経路が最適化されるわけではない
- 社内の運用体制やスキルのアップデートが必要
順に解説していきます。
導入、設計の難易度が高い
SASEはネットワークとセキュリティを統合するという先進的なアーキテクチャーである一方で、導入にあたっては従来の単体製品とは異なる視点での設計が求められます。
単なる製品の置き換えではなく、ネットワーク経路や認証基盤、トラフィックの可視化、制御といった複数のレイヤーを一体として捉える必要があるため、初期設計の段階から慎重な検討が不可欠です。
従来のVPNやオンプレミス ファイアウォールと併用したり、段階的に切り替えたりするケースもあるため、システム全体の構成に対する理解と設計力が強く問われます。
すべてのアプリの通信が最適化されるわけではない
SASEのメリットの一つに、ユーザーの最寄りのPoPで通信を処理し、宛先に最短経路で接続できる点があります。しかし、この仕組みが常にすべてのアプリケーションに適用できるとは限りません。実際の運用では、PoPによる経路制御が逆に非効率になるケースや、そもそもSASEに対応しないアプリも存在します。
たとえば、オンプレミスに残された業務システムや、特定のプロトコルを用いる業務アプリケーションでは、PoPを経由することでかえって通信経路が長くなり、パフォーマンスに悪影響を及ぼす場合があります。
社内の運用体制やスキルのアップデートが必要
SASEを導入したあとも、継続的な運用と改善を支えるためには、従来のネットワークやセキュリティ運用とは異なる専門的な知識と、それを支える体制の整備が求められます。
特にZTNA、SWG、CASB、DLPといった複数のセキュリティ要素を一元的に扱うためには、それぞれの機能への理解と、統合されたダッシュボード上でのログ分析、ポリシーの最適化など、複数の領域にまたがる運用力が必要です。
IT部門には、統合ダッシュボード上でログやポリシーを横断的に管理できるスキルと体制が求められます。
まとめ
SASEは、クラウドとリモートワークの普及により大きく変化した現代のIT環境において、ネットワークとセキュリティを統合するための次世代アーキテクチャーです。
ネットワークとセキュリティ機能をクラウドで一元化し、ユーザーやアプリの場所にとらわれない安全なアクセスを実現するこの仕組みは、ゼロトラストの考え方を具体的に体現する基盤として、多くの企業に採用され始めています。
「場所を問わず安全かつ快適に業務ができる」環境を目指す企業は、SASEの導入を真剣に検討するべきタイミングといえます。
Zscalerが提供するSASE
Zscalerは、SASEの本質を体現する真のクラウドネイティブ プラットフォームとして、世界的に高く評価されています。Zscalerが提供するZero Trust Exchangeは、ゼロトラストの考え方を根底に据えながら、ネットワークとセキュリティを統合した次世代のアクセス制御基盤を実現します。
その最大の特長の一つが、世界中に分散された大規模なPoPインフラを活用した、高速かつ安定した接続です。
ユーザーは物理的な位置にかかわらず、最寄りのPoPを経由して通信を行うことができるため、常に最短かつ最適な経路でアプリケーションにアクセスできます。さらにZscalerのアーキテクチャーはマルチテナント設計を採用しており、利用者ごとに専用環境を立てる必要がなく、急激なトラフィック増加にも柔軟に対応できるスケーラビリティーを備えています。
Zscalerが提供するSASEは可用性、拡張性、柔軟性のいずれにおいても優れており、企業がDXを推進するうえで、セキュリティとパフォーマンスを両立するための理想的な基盤となります。
Zscalerが提供するSASEにご興味のある方は、ぜひ、Zscalerにお問い合わせ、またはデモを依頼するまでご連絡ください。
免責事項:このブログは、Zscalerが情報提供のみを目的として作成したものであり、「現状のまま」提供されています。記載された内容の正確性、完全性、信頼性については一切保証されません。Zscalerは、ブログ内の情報の誤りや欠如、またはその情報に基づいて行われるいかなる行為に関して一切の責任を負いません。また、ブログ内でリンクされているサードパーティーのWebサイトおよびリソースは、利便性のみを目的として提供されており、その内容や運用についても一切の責任を負いません。すべての内容は予告なく変更される場合があります。このブログにアクセスすることで、これらの条件に同意し、情報の確認および使用は自己責任で行うことを理解したものとみなされます。
