SASEとは、ネットワークとセキュリティーの機能をクラウド上で統合し、単一のプラットフォームでの運用を目指すセキュリティーモデルです。従来のセキュリティー対策よりも強固で、安全かつスムーズな通信を実現できます。

本記事では、SASEを構成する主な機能やメリット、導入の進め方などを紹介します。情報漏えいのリスクやネットワーク機器の負担軽減に取り組んでいる方は、最後までご覧ください。

ゼロトラストは、「社内だから安全」「会社支給の端末だから大丈夫」といった暗黙の信頼をなくし、すべてのアクセスを都度チェックする考え方です。場所（社内/社外）や端末に関係なく、アクセスごとにポリシーで妥当性を評価します。

ただし、毎回パスワード入力を強いるという意味ではありません。通常はSSO（シングルサインオン）や短い有効期限のトークンを使い、リスクが高い操作や機密データへのアクセス時だけ追加認証（MFAなど）を求めます。これにより使い勝手を保ちながら安全性を高めることができます。

また、最小権限の原則で、その時に必要な権限だけを与え、状況に応じて動的に調整します。万一侵入されても横展開を抑え、被害の広がりを小さくできます。

一方のSASE（サシー）は、こうしたゼロトラストの考え方をクラウド上のネットワーク/セキュリティー基盤に実装するための枠組みです。SD‑WAN、SWG、CASB、ZTNA、FWaaSなどの機能をクラウドから一体的に提供し、ユーザーの近く（エッジ）で通信を検査・制御します。これにより、場所を問わず安全で遅延の少ないアクセスを実現します。

従来の境界型セキュリティーでは、サイバー攻撃やマルウェア感染の脅威を軽減できなくなっているため、セキュリティー対策の見直しが必要になっています。

境界型セキュリティー対策とは、社内からのアクセスを「信用」する一方、社外からのアクセスを「危険」と判断する点が特徴です。社内と外部の間を境界と定め、外部のアクセスから自社のIT資産を保護することに注力してきたセキュリティー対策といえます。

ただし、テレワークの導入や働き方改革の推進などで、外出先から社内ネットワークへアクセスする機会が増加しており、境界型セキュリティー対策では対応が難しくなりました。

また、クラウドサービスの普及でサイバー攻撃の対象が増えており、新たなセキュリティー対策への見直しが求められています。

2つめの理由は、SASEがネットワーク機器への負担を軽減しつつ、安定した通信経路の最適化を実現できる点が評価されているためです。

テレワークの導入とクラウドサービスの利用数増加にともない、サーバーや通信回線など、ネットワーク機器への負担が増加しました。とくにテレワークでは通信距離が長くなり、負担がかかりやすい状況といえます。

外部のクラウドサービスを利用する際、従業員の自宅から会社のデータセンターを経由して、利用するサービスへアクセスするためです。

また、自宅の位置によってはデータセンターへの距離が遠く、データをやり取りするのに多くの時間が必要です。

SASEの導入でトラフィック量や通信内容に応じて、複数の通信回線を使い分けられるようになり、不具合が発生しにくくなります。

また、ユーザーのアクセス地点から最も近いアクセスポイントへ自動的に誘導することにより、最短での通信距離を構築しやすく、ネットワーク機器に必要以上の負担をかけることなく高速通信が可能です。

SD-WAN（Software Defined WAN）は、複数の通信回線をソフトウェアで一元管理し、通信状況に応じて最適な経路を自動で選択する仕組みです。SASEでは、拠点やユーザーをつなぐネットワーク基盤として重要な役割を担います。

従来のWANでは、拠点間通信の経路や回線の使い分けを個別に設定・管理する必要がありました。一方、SD-WANでは通信量や通信品質を可視化し、用途に応じて適切な回線へ振り分けることが可能です。

たとえば、資料共有など即時性を求めない通信はインターネット回線を利用し、Web会議や業務システムへのアクセスなど、安定性が求められる通信は専用回線を優先するといった制御が行われます。これにより、通信品質を保ちながら回線コストの最適化も図れます。

また、SD-WANはソフトウェアで制御・管理されるため、新たな拠点を追加する際も大がかりなネットワーク構築は不要です。指定された機器を設置し回線を接続するだけで、既存のネットワークに組み込めます。

このようにSD-WANは、SASEにおいて「柔軟で効率的な通信環境」を支える基盤として機能します。

SWG（Secure Web Gateway）とはクラウド型プロキシを活用し、社外ネットワークへの安全なアクセスを実現する技術です。プロキシとはパソコンやスマートフォンなどの代わりに、インターネットへの接続を代理で行うサーバーです。

SWGには複数の機能が搭載されており、サイバー攻撃やマルウェア感染、内部不正の脅威を軽減できます。SWGに搭載されている主な機能は以下の表のとおりです。

SWGによっては上記に加えて、サンドボックスやリアルタイムの脅威検知を搭載しており、未知のマルウェアやゼロデイ攻撃にも対応できます。

CASB（Cloud Access Security Broker）とは、社内で導入しているクラウドサービスの利用状況を可視化できる技術です。

自社ネットワークとクラウドサービスの間にコントロールポイントを設け、利用状況から未許可のサービスを利用していないか、判断が可能です。

また、ファイルのアップロード・ダウンロードの監視、アクセス制限の機能も搭載しており、シャドーITが原因での機密情報の流出を防げます。

ZTNA（Zero Trust Network Access）とは、ゼロトラストの考えにもとづき、すべてのアクセスに対する安全性を検証する技術です。

システムやアプリケーション、データセンターなどへのアクセスは、ZTNAの認証基盤を経由し、アクセスの許可と拒否が判断されます。

認証の際はログイン情報や使用デバイス、アクセス場所など、さまざまな要素が検証され、ユーザーが従業員本人と認められない限り、社内ネットワークにはアクセスができません。

認証が成功した際も、許可されたツール以外へのアクセスは認められないため、仮に不正アクセスの侵入を許しても、被害を最小限に抑えられます。

FWaaS（Firewall as a Service）とは、クラウド型のファイアウォールです。ベンダーがクラウド上にFWaaSを設置し、IPアドレスやポート番号などを分析し、外部からの不正アクセスを防ぎます。

FWaaSにはDLPやサンドボックス、DNSセキュリティーなどが搭載されており、従来型よりも安全性を強化できます。

また、FWaaSを導入する際、ネットワーク機器を導入する必要はありません。ベンダーにアップデートやメンテナンスも任せられるため、システム担当者の負担も軽減できます。

加えて拡張性にも優れており、トラフィック量に応じたリソースの調整も可能です。

SASEの導入で不正アクセスやサイバー攻撃、マルウェア感染などによる情報漏洩のリスクを軽減できます。SWGやZTNA、FWaaSなど、SASEを構成するセキュリティーツールの働きで、安全性を強化できるためです。

たとえば、SWGはマルウェア検知やURLフィルタリング、DLPなどの機能を搭載しており、マルウェア感染や内部不正の脅威を軽減できます。

また、ZTNAはゼロトラストの考えにもとづき、すべてのアクセスを信用していません。本人認証をクリアしない限り、システムやクラウドサービスなどにアクセスできないため、不正アクセスや内部不正の発生リスクを抑えられます。

安定経営を続けていくうえで、機密情報の流出は避けなければなりません。仮にサイバー攻撃を受けて顧客情報が流出した場合は顧客からの信用を失い、取引停止や損害賠償請求など、多額の損失を被る可能性が高まります。

SASEを導入すると、社内外への脅威に対する対策を強化できるため、短期間で多額の損失を被る事態を避けられます。

クラウドサービスやWebアプリケーションを安全かつ快適に利用できる点も、SASEを導入するメリットの1つです。SD-WANによって通信状況や通信内容に応じて、通信経路を使い分けられるため、トラフィック量の増大にともなう不具合の発生を避けられます。

また、ZTNAを提供するベンダーはアクセスポイントを多数用意しており、ユーザーのアクセス地点と接続先を踏まえたポイントが案内されます。社内ネットワークに最短距離でアクセスがしやすくなり、速度遅延や通信障害が発生しにくくなる点も魅力です。

SASEの導入で、システム担当者の運用負担やネットワーク環境の維持コストを削減できます。CASBを活用すれば、社内で利用しているクラウドサービスの利用状況をまとめて可視化できるため、利用状況を個々で確認する必要はありません。

また、データのダウンロード制御やアクセス制限の判断も一元的に行えるため、シャドーITの発生を未然に防ぎやすくなります。

新たな拠点でネットワーク環境を構築する際も、SD-WANを利用すれば現地で複雑な設定作業を行う必要はありません。必要な機器を設置して回線を接続するだけで、既存のネットワークに組み込めます。

加えて、ルーターやスイッチングハブなどの機器を必ずしも購入する必要はないため、初期費用や機器管理にかかるコストの削減にもつながります。

SASEを実現するためには、複数のセキュリティーツールを導入する必要があります。SD-WANやCASB、ZTNAなど、SASEの実現に必要な機能全般を搭載した単一のプラットフォームはほとんどありません。

仮に見つかったとしても、予算内で導入・運用できるとは限らないため、現時点では複数のセキュリティーツールを導入する方法以外、選択肢がない状況です。

ただし、いきなりセキュリティーツールを複数導入した場合、システム担当者への負担増大や通常業務に支障が及ぶおそれが生じます。従業員が通常通りに業務を進められるよう、セキュリティーツールを段階的に導入し、SASEの実現に取り組む必要があります。

自社のセキュリティー対策を分析し、どのような課題を抱えているか、明確にしておくことが必要です。導入目的が曖昧な状態だと、セキュリティーツールを導入しても、課題解決に至らないおそれが高まります。

仮にミスマッチが生じた場合は、投資に見合った効果が得られません。「マルウェア感染のリスク軽減」「内部統制の強化」など、自社が解決したい課題を事前に明確化しておき、無駄な費用の発生を防ぎます。

また、課題が複数ある場合は優先順位付けを行い、優先順位が高い内容にもとづき、セキュリティーツールを選ぶことが求められます。

前の見出しで述べたように、SASEの実現に向けては複数のセキュリティーツールを導入しなければなりません。セキュリティーツールを同じ時期にまとめて導入するのは従業員に負担がかかるため、優先順位の高い内容から解決していく姿勢が求められます。

通常業務と並行しながらSASE導入への取り組みを行うには、移行計画の策定が必要です。セキュリティー対策の強化は、売上に直結するわけではありません。

日々の業務をこなすのが精一杯の場合、SASEへの取り組みが後回しにされ、いつの間にか計画自体がなくなるおそれが生じます。

移行計画へ主に記載する内容は以下のとおりです。

• SASEに取り組む目的
• セキュリティー対策の現状
• SASEを推進するプロジェクトメンバーや責任者
• メンバーごとの役割
• 導入予定のセキュリティーツール
• セキュリティーツールの導入時期

プロジェクトメンバーにはシステム管理者に加え、決裁権をもつ管理職や経営層を交えることが大切です。決裁者をプロジェクトチームに加えれば、予算取りやスケジュールの決定など、影響度の大きい判断も素早く下せるようになります。

通常業務への影響を避けるには、強固なネットワーク環境の構築が必要です。SASEを構成するのは、いずれもクラウド型のセキュリティーツールで、通信品質はインターネット環境に大きく依存しています。

仮にネットワーク環境で通信障害が発生すると、不正アクセスやサイバー攻撃を十分に防げません。また、最適な通信経路の構築もできず、トラフィック量の増加で速度遅延を招く可能性が高まり、業務効率が大幅に低下します。

安全性と通信品質の両立には、ネットワーク環境の冗長化が欠かせません。ネットワーク環境の冗長化とは通信回線や機器の故障に備え、同じ役割を担う機器を複数用意しておくことです。

費用は必要ですが、構成要素の一部が攻撃を受けても、ダメージを最小限に抑えられます。

現状のネットワーク環境とセキュリティー体制を分析し、どのような課題を抱えているか、可視化します。分析対象は社内で使用するシステムやソフトウェア、ネットワーク機器など、IT資産全般です。

分析する際に確認すべき主な内容は以下のとおりです。

• パソコンやスマートフォンは問題なく使えているか
• 通信障害や速度遅延に悩まされていないか
• サイバー攻撃や不正アクセスの対象にされていないか
• セキュリティーポリシーの内容に問題はないか

工場や営業所など複数の拠点を展開している場合は、拠点同士の通信はスムーズにできているかも、あわせて確認が必要です。仮に速度遅延や通信障害が頻繁に発生している場合、ネットワーク環境を根本的に見直さなければなりません。

また、セキュリティー体制の現状把握と課題の抽出は、時間をかけて行うことが重要です。調査が不十分だと解決すべき課題の情報を十分得られず、導入計画の策定やセキュリティーツールの導入が進めにくくなります。

現状分析の結果にもとづき、導入予定のセキュリティーツールや必要な予算、スケジュールなどを記載した移行計画を策定します。SASEの移行計画を立てる目的は、想定通りに取り組みが進んでいるかどうか、現状を正確に把握するためです。

仮に想定より遅れたとしてもスケジュールの調整・変更がしやすくなり、余裕をもって取り組みを進められるでしょう。

また、移行計画を立てる際、SASE実現までのプロセスを短期・中期・長期に分け、フェーズごとに目標を立てておくことも必要です。

たとえば、短期目標で「不正アクセスを20%減らす」との目標を立てたとしましょう。目標を達成できた場合は、セキュリティーツールの導入による効果が得られたと、実感できます。

サービスサイトで機能性や価格、サポート体制などを比較し、導入するセキュリティーツールを絞り込んでいく作業です。選定時は3～5つほど候補をあげておき、その中から絞り込んでいくと、費用と機能のバランスが取れたツールを選びやすくなります。

1社しか検討しない場合は、他社製品と比べてどのような点が優れているか、費用は安いのかといった点を限られた情報で判断しなければなりません。場合によってはミスマッチが発生し、高い投資に見合った効果が十分得られなくなります。

選定したセキュリティーツールを導入し、実際に運用していきます。通常業務への支障を避けるため、段階的に適用範囲を広げていくことが重要です。

1つのツールだけ導入または特定の拠点のみ運用など、適用範囲を絞っておくことで、トラブルが起きても影響を抑えやすくなります。

サイバー攻撃を受けた件数や通信状況の改善有無など、導入したセキュリティーツールの効果がどの程度出ているか、定期的に評価と検証が必要です。

セキュリティーツールを導入しただけで、安全性と利便性を兼ね備えたネットワーク環境を構築できるわけではありません。検証結果や従業員の声を聞きながら、設定内容の変更やアップデートなどを継続することで、自社が理想とするSASEの実現に近づけます。