Secure Access Service Edge

SASE（Secure Access Service Edge：セキュアアクセスサービスエッジ）とは、2019年にGartnerが提唱したネットワークセキュリティのフレームワークであり、SD-WAN（Software-Defined Wide Area Network）などのネットワーク機能と、ZTNA、CASB、SWG、FWaaSなどのセキュリティ機能をクラウドベースで統合的に提供するアーキテクチャです。従来のデータセンター中心のネットワークセキュリティモデルから、クラウドとエッジを中心としたモデルへの転換を実現します。

リモートワークの普及やSaaS利用の増加により、企業のネットワークトラフィックはデータセンターを経由せず直接インターネットやクラウドに向かうようになりました。従来のVPN＋ファイアウォールのアーキテクチャでは、すべてのトラフィックをデータセンターに集約する必要があり、遅延の増大やVPN集約装置のボトルネックが深刻な課題となっていました。SASEは、ユーザーに最も近いエッジロケーションでセキュリティポリシーを適用し、最適な経路でクラウドサービスにアクセスさせることでこの課題を解決します。

SASEの主要な提供ベンダーとしては、Zscaler、Palo Alto Networks（Prisma Access）、Cloudflare One、Netskope、Cisco（Umbrella/Meraki）などがあります。単一ベンダーによるシングルベンダーSASEと、複数ベンダーの製品を組み合わせるマルチベンダーSASEのアプローチが存在し、組織の要件に応じて選択されます。

SASEの構成要素：ネットワーク機能

SD-WAN（Software-Defined WAN）は、SASEのネットワーク側の中核技術です。MPLS、ブロードバンド、LTE/5Gなどの複数のWAN回線を仮想的に統合し、アプリケーションの重要度やネットワーク状態に応じてトラフィックを最適な経路にルーティングします。SaaS向けトラフィックを直接インターネットに向けるローカルブレイクアウトにより、データセンター経由の遅延を解消します。

さらに、SASEではグローバルに分散したPoP（Point of Presence）を通じて、ユーザーに最も近い場所でセキュリティ処理とトラフィック最適化を行います。Zscalerは世界150以上、Cloudflareは300以上のPoPを展開しており、どの地域のユーザーでも低遅延でセキュリティサービスを利用できます。

SASEの構成要素：セキュリティ機能

• ZTNA（Zero Trust Network Access）：ユーザーのID、デバイスの状態、コンテキストに基づいてアプリケーションへのアクセスを制御します。VPNの代替として、ネットワーク全体ではなく特定のアプリケーションへのアクセスのみを許可する「最小権限アクセス」を実現します。
• CASB（Cloud Access Security Broker）：SaaSアプリケーションの利用を可視化・制御し、シャドーIT（未承認クラウドサービス）の検出、DLP（データ漏洩防止）、アクセス制御を提供します。
• SWG（Secure Web Gateway）：Webトラフィックのフィルタリング、マルウェアスキャン、URLカテゴリフィルタリングを行い、悪意のあるWebサイトやダウンロードからユーザーを保護します。
• FWaaS（Firewall as a Service）：クラウドベースのファイアウォール機能を提供し、L3/L4のパケットフィルタリングからL7のアプリケーション制御までをカバーします。物理ファイアウォールの管理負担を軽減します。

SSE（Security Service Edge）との関係

SSE（Security Service Edge）は、2021年にGartnerが定義した概念であり、SASEからネットワーク機能（SD-WAN）を除いたセキュリティ機能のみの部分を指します。具体的にはZTNA、CASB、SWGの3つを中核として構成されます。

SSEは、既にSD-WANを導入済みの企業や、ネットワーク変革よりもセキュリティの統合を優先したい企業にとって有効なアプローチです。多くのベンダーはSSEとSD-WANを別々に、または段階的に導入できるよう製品を構成しています。最終的にSSE＋SD-WANを統合することで完全なSASEアーキテクチャを実現できます。

SASE導入のアプローチと段階的移行

SASEの導入は一般的に段階的なアプローチが推奨されます。まず、リモートワーカー向けのZTNAの導入から開始し、VPNの置き換えを進めます。次にSWGによるWebセキュリティの統合、CASBによるSaaS可視化と制御、そしてSD-WANによるネットワーク最適化へと拡大します。

重要な考慮事項として、既存のセキュリティインフラとの共存期間があります。既存のプロキシ、ファイアウォール、VPN装置からSASEへの移行は通常12〜24か月を要し、その間は新旧のインフラが並行稼働する「ハイブリッド期間」を適切に管理する必要があります。ポリシーの整合性維持とユーザーエクスペリエンスの一貫性が、移行成功の鍵となります。

SASEの運用とパフォーマンス最適化

SASE導入後の運用では、ポリシー管理の統一化が最も重要です。従来バラバラに管理されていたファイアウォールルール、プロキシポリシー、VPNアクセス制御を、SASEの統一管理コンソールで一元化することで、ポリシーの矛盾や抜け漏れを防止します。

パフォーマンスの観点では、TLS/SSL復号によるレイテンシへの影響、PoPの地理的カバレッジ、トラフィックのステアリング精度を継続的に監視します。デジタルエクスペリエンスモニタリング（DEM）を活用して、エンドユーザーの体感品質をリアルタイムに可視化し、ボトルネックの特定と改善を行うことが重要です。

• 01
  ZTNAによるVPNの段階的置き換え：リモートアクセスVPNをZTNAに移行し、ユーザーのID・デバイス状態・コンテキストに基づくアプリケーション単位のアクセス制御を実装してください。ネットワーク全体へのアクセスではなく、必要なアプリケーションのみへの最小権限アクセスを実現しましょう。
• 02
  CASBによるシャドーITの可視化と制御：CASBを導入して組織内で使用されているすべてのSaaSアプリケーションを可視化し、未承認アプリケーションのリスク評価と制御を行ってください。高リスクなサービスへのデータアップロードをDLPポリシーで自動的にブロックする仕組みを構築しましょう。
• 03
  TLS/SSL復号によるインスペクション：SWGでTLS/SSL暗号化トラフィックの復号とインスペクションを有効にし、暗号化通信に隠されたマルウェアやデータ漏洩を検出してください。証明書のピンニングを使用するアプリケーションについてはバイパスリストを適切に管理しましょう。
• 04
  統一ポリシーの設計と継続的な最適化：SASE基盤上でネットワークポリシーとセキュリティポリシーを統合的に設計し、ユーザーグループ・アプリケーション・データの機密度に基づいたきめ細かいアクセス制御を実装してください。ポリシーの有効性を定期的にレビューし、過剰な許可や未使用のルールを整理しましょう。
• 05
  デジタルエクスペリエンスモニタリングの導入：DEM機能を活用してエンドユーザーのネットワークパフォーマンスとアプリケーション応答時間をリアルタイムに監視してください。セキュリティ処理による遅延増加を早期に検出し、PoPの選択やポリシーの最適化でユーザーエクスペリエンスを維持しましょう。
• 06
  段階的な移行計画と既存インフラとの共存管理：SASEへの移行は12〜24か月のロードマップを策定し、段階的に進めてください。移行期間中はSASEと既存セキュリティインフラのポリシー整合性を維持し、セキュリティギャップが生じないよう定期的な監査を実施しましょう。