LASSIC Media らしくメディア

2026.07.13 らしくコラム

SASE導入を外注、SD-WANとセキュリティの統合

LASSIC IT事業部|元請(プライムベンダー)としてネットワーク・セキュリティ基盤の構築を受託

ネットワークセキュリティのイメージ

この記事のポイント

  • SASEはSD-WANとSWG・CASB・ZTNA・FWaaSといったセキュリティ機能をクラウド上で統合する枠組みとしてGartnerが整理した概念です。
  • SSE(Security Service Edge)はSASEからネットワーク機能(SD-WAN)を除いたセキュリティ機能側の集合として、Gartnerが2021年のレポートで示しています。
  • 導入は現状把握・段階導入・拠点/リモート展開の3段階で進めるのが実務的で、単一ベンダー型か組み合わせ型かの選定と外注範囲の切り分けが検討材料になります。

SASEとは何か——SD-WANとセキュリティをクラウドで統合するアーキテクチャ

サイバーセキュリティのイメージ

SASE(Secure Access Service Edge。サシーと読まれることが多い呼称)とは、SD-WAN(Software-Defined WAN。ソフトウェアで複数回線を制御するWAN技術)と、SWG・CASB・ZTNA・FWaaSといったセキュリティ機能をクラウド上のサービスとして統合する枠組みを指します*1。Gartnerはこの概念を、拠点オフィス・リモートワーカー・オンプレミス環境からの保護されたアクセスを支える手段として位置づけています*1

図
図:SASEは拠点とリモートワーカーの通信を、SD-WAN・SWG・CASB・ZTNA・FWaaSを統合したクラウド上のエッジでまとめて処理する構成

Fortinetは、SASEをネットワーキングとセキュリティ機能を単一のプラットフォームへ収束させるクラウド提供型フレームワークと説明しています*3。Palo Alto Networksも同様に、SASEをSD-WANとSWG・CASB・FWaaS・ZTNAといったセキュリティ機能を統合するクラウドネイティブなアーキテクチャと位置づけました*4

この統合が意味するのは、拠点間の通信最適化とセキュリティポリシーの適用を、個別の機器やアプライアンスではなくクラウド上のサービスとしてまとめて提供する発想です。次章では、なぜこうした統合の枠組みが求められるようになったのかを、従来型ネットワークの限界から見ていきます。

従来型ネットワーク(境界防御・VPN集約)の限界——テレワーク普及で顕在化した課題

従来型のネットワークは、拠点間をMPLS回線やVPNで結び、インターネットへの出口をデータセンター側の1か所に集約する構成が一般的でした。すべての通信をいったんデータセンターへ引き戻す、いわゆるバックホール型の経路をたどります。クラウドサービスの利用が一部にとどまっていた時期は、この構成でも大きな支障は出にくいものでした。

クラウド利用拡大がもたらした通信経路の非効率

クラウドサービスの利用が広がると、拠点からクラウドへ向かう通信までデータセンターを経由させる構成は、遠回りな経路になりがちです。CatoNetworksは、複数のポイントソリューションを個別に統合する複雑さがコスト増の一因になり得ると指摘しています*6。バックホール構成を維持したままクラウド利用が増えると、同様の非効率が積み重なっていきます。

VPN集約の限界——アクセス範囲とキャパシティの両面

リモートワークの増加は、拠点向けVPNの前提を揺るがしました。VPN機器の同時接続数には上限があり、想定を上回るアクセスが集中すると通信品質が低下します。加えてPalo Alto Networksは、VPNが接続後にネットワーク全体への広い到達性を与えてしまう点を課題として挙げ、SASEが最小権限の考え方に基づく点と対比しています*4。境界の内側に入れば信頼するという前提そのものが、拠点とリモートワーカーが混在する働き方とかみ合いにくくなっているといえます。

こうした課題への応答として登場したのが、ネットワークとセキュリティをクラウド側で統合する発想です。次章では、その具体的な構成要素を整理します。

SASEを構成する5つの機能要素——SD-WAN・SWG・CASB・ZTNA・FWaaS

ネットワーク機能——SD-WAN

SD-WANは、複数の回線を組み合わせてトラフィックを制御する技術です。Zscalerは、SD-WANの役割をMPLS・ブロードバンド・LTEなど複数の接続をインテリジェントに振り分けるネットワーク最適化にあるとし、単体ではセキュリティソリューションではないと整理しています*5。SASEの枠組みでは、このSD-WANがネットワーク側の要素として組み込まれます*4

セキュリティ機能——SWG・CASB・ZTNA・FWaaS

セキュリティ側の要素は主に4つです。SWG(Secure Web Gateway)はユーザーとインターネットの間に立ち、悪質な通信やフィッシングサイトへのアクセスを防ぎます*1*3。CASB(Cloud Access Security Broker)はクラウドアプリケーションの利用状況を可視化し、データ損失防止やコンプライアンス対応を支えます*1*3。ZTNA(Zero Trust Network Access)はユーザーとデバイスの状態を継続的に確認したうえで、必要な範囲だけアクセスを許可する仕組みです*1*4。FWaaS(Firewall as a Service)は、クラウド上でホストされる次世代ファイアウォール機能を指します*3

それぞれの役割と、従来型で担っていた機器の対比は次の通りです。

機能要素 主な役割 従来型で担っていたもの
SD-WAN 複数回線を制御しトラフィックを最適化*5 拠点ルーター・MPLS回線
SWG Web通信のフィルタリングと脅威防御*1*3 プロキシサーバー
CASB クラウドアプリの可視化とDLP*1*3 個別導入のCASB専用製品
ZTNA ID・デバイス単位で継続検証しアクセス制御*1*4 拠点VPN(境界内は暗黙に信頼)
FWaaS クラウド提供の次世代ファイアウォール機能*3 拠点設置の物理ファイアウォール

これら5要素を個別の機器で積み上げるのではなく、クラウドサービスとして一括提供する点が、SASEという枠組みの中心にある考え方です*1*6

SSE(Security Service Edge)とSASEの関係——ネットワーク機能を含むかどうかの違い

SASEと並んで語られる用語にSSEがあります。Gartnerは2021年公開のレポートでSSEという概念を示し、ユーザー・デバイス・アプリケーションの所在地にかかわらず、Web・クラウドサービス・プライベートアプリケーションへのアクセスを保護する提供形態と説明しています*2。SSEの中核的な機能は、SWG・ZTNA・FWaaS・CASBの4つです*2

SASEとの違いは、ネットワーク機能を含むかどうかにあります。Zscalerは、SSEがネットワークアーキテクチャの変更を伴わずに提供できるセキュリティ側のサービスである一方、SASEはSD-WANとSSEを1つの枠組みに統合したものだと整理しています*5。言い換えると、SASEからSD-WANを除いたセキュリティ側の集合がSSEに相当します*2*5

ここで混同されやすいのがゼロトラストという言葉との関係です。ZTNAはゼロトラストの考え方をリモートアクセスに適用した実装形態の一つであり、SSEやSASEに含まれる機能要素として位置づけられます*1*2。ゼロトラストアーキテクチャ全体の考え方については、デジタル庁が2022年6月30日付けで「ゼロトラストアーキテクチャ適用方針」を公開しており、政府情報システムにおける適用の取組みを示しています*7。本稿ではネットワークとセキュリティを統合するアーキテクチャとしてのSASE・SD-WAN・SSEに軸足を置き、ゼロトラスト自体の詳細は関連概念として触れるにとどめます。

SASE導入の進め方——現状把握から拠点・リモート展開までの3段階

SD-WANのイメージ

SASEは一度にすべてを切り替える性質のものではなく、段階を追って進める取り組みです。ここでは3段階に分けて整理します。

第1段階:現状把握

まず着手するのは、拠点数・回線の種類・VPN機器の利用状況・クラウドサービスの利用実態の棚卸しです。既存のVPN集約構成やファイアウォールの配置状況を確認し、どの通信がどの経路を通っているかを可視化します。この段階の精度が、以降の計画の土台になります。

第2段階:段階導入

影響範囲が限られた一部の拠点やリモートワーカーから、SD-WANやZTNAを先行して導入します。既存のVPNと並行運用しながら、通信品質やアクセス制御の挙動を検証する期間です。Palo Alto Networksも、段階的な展開と継続的な監視・最適化を導入時の実務として挙げています*4

第3段階:拠点・リモート展開

検証を経たうえで、全拠点と全リモートワーカーへ展開範囲を広げます。あわせてレガシーのVPN機器やファイアウォールの縮退・撤去を計画し、監視体制をSASE側の管理コンソールへ移行します。Cato Networksは、統一されたポリシーと単一の管理画面によって、通信の可視性と運用の一元化が図れる点を利点として挙げています*6

製品選定と外注の勘所——単一ベンダー型か組み合わせ型か

製品選定でまず分かれるのが、SD-WANとセキュリティ機能を1社でまとめて提供する単一ベンダー型か、SD-WANとSSEをそれぞれ別のベンダーで組み合わせる型かという選び方です。Zscalerは、SD-WAN・SSE・SASEのどれを選ぶかは、ネットワーク刷新とセキュリティ強化のどちらを優先したいかによって変わり得ると述べています*5。拠点数が多く回線構成が複雑な企業ほど、両者の整合性を取る設計の比重が大きくなります。

選定の観点としては、既存の拠点・回線構成との適合性、ZTNAで保護できる社内アプリケーションの範囲、CASBのDLPポリシーを既存の仕組みから移行できるかどうか、運用監視の引き継ぎ範囲などが挙げられます。加えてPalo Alto Networksが指摘するように、部門をまたいだ体制づくりも導入を左右する要素です*4

外注を検討する際は、現行のVPN・SD-WAN機器からの移行計画、アプリケーション棚卸しの支援範囲、切替後の運用監視の引き継ぎ方法を委託先とすり合わせる必要があります。元請(プライムベンダー)として全体設計から運用まで一貫して対応できるか、それとも機器導入のみを請け負うのかによって、社内側に残る作業量は変わってきます。拠点数や既存VPN機器の構成によって必要な工数は変わるため、現状の通信経路を診断したうえで、内製・外注の切り分けを検討することが実務的です。

まとめ:SASE導入で押さえる3つの判断軸

本稿ではSASEの構成と導入の考え方を、一次情報をもとに整理しました。要点は3つに集約できます。第一に、SASEはSD-WANとSWG・CASB・ZTNA・FWaaSをクラウド上で統合する枠組みで、境界防御やVPN集約型の構成が抱えていた経路の非効率とアクセス範囲の広さに対する応答として位置づけられます*1*4。第二に、SSEはSASEからネットワーク機能を除いたセキュリティ側の集合であり、SD-WANとの組み合わせ方によって単一ベンダー型か組み合わせ型かの選択が生まれます*2*5。第三に、導入は現状把握・段階導入・拠点/リモート展開の3段階で進めるのが実務的で、既存機器からの移行計画と運用引き継ぎの範囲が、内製と外注の判断材料になります。

LASSICに相談するメリット

LASSIC IT事業部は、企業のネットワーク・セキュリティ基盤の構築・保守を元請(プライムベンダー)として受託しています。既存のVPN・拠点構成の現状把握から、SD-WANとSSE機能の段階導入、拠点・リモートワーカーへの展開、切替後の運用監視までを一貫して支援する体制を整えています。既存環境への影響を抑えながらSASEへの移行を進めたい企業様は、現状の通信経路診断からご相談いただけます。

よくある質問

SASEとゼロトラストは同じ概念ですか。

同じではありません。ゼロトラストは境界内を暗黙に信頼しない考え方全般を指し、ZTNAはその考え方をリモートアクセスに適用した実装形態の一つです*1*2。SASEはSD-WANとZTNAを含む複数のセキュリティ機能をクラウド上で統合するアーキテクチャであり、ゼロトラストはSASEを構成する考え方の一部にあたります。

SASEとSSEの違いは何ですか。

SSEはSWG・ZTNA・FWaaS・CASBといったセキュリティ側の機能をまとめた集合で、Gartnerが2021年のレポートで示した概念です*2。SASEはこのSSEにSD-WANというネットワーク機能を加えて統合した、より広い枠組みにあたります*5

既存のVPN環境から段階的に移行できますか。

一部の拠点やリモートワーカーから先行導入し、既存VPNと並行運用しながら検証したうえで展開範囲を広げる進め方が実務的です。Palo Alto Networksも段階的な展開と継続的な監視・最適化を導入時のポイントとして挙げています*4

SD-WANだけを導入すればSASEに対応したことになりますか。

なりません。SD-WANはネットワーク最適化を担う機能であり、単体ではセキュリティソリューションではないとZscalerは整理しています*5。SASEとして機能させるには、SWG・CASB・ZTNA・FWaaSなどのセキュリティ機能とあわせて導入する必要があります。

導入を外注する場合、何を確認すればよいですか。

既存のVPN・SD-WAN機器からの移行計画、社内アプリケーションの棚卸し支援の範囲、切替後の運用監視の引き継ぎ方法をまず確認します。加えて、設計から運用まで一貫して対応できるのか、機器導入のみを請け負う立場なのかを、契約前にすり合わせておくことが大切です。

著者:テレリモ総研編集部 鈴木 亮佑


ITアウトソーシング・システム開発のご相談はLASSICへ

元請(プライムベンダー)として、貴社の課題に合わせた体制構築・開発支援をご提案します。まずはお気軽にご相談ください。

無料相談はこちら

ご不明な点はお問い合わせフォームからもご連絡いただけます。

  1. *1 出典:Gartner Information Technology Glossary「Secure Access Service Edge (SASE)」の定義(アクセス制限のためURL非掲載)
  2. *2 出典:Gartner Information Technology Glossary「Security Service Edge (SSE)」の定義(アクセス制限のためURL非掲載)
  3. *3 出典:Fortinet「What is SASE (Secure Access Service Edge)? Benefits and Components」(https://www.fortinet.com/resources/cyberglossary/sase
  4. *4 出典:Palo Alto Networks「What Is SASE (Secure Access Service Edge)? | A Starter Guide」(https://www.paloaltonetworks.com/cyberpedia/what-is-sase
  5. *5 出典:Zscaler「Choosing Between SD-WAN, SSE & SASE: Which Fits Your Needs?」(https://www.zscaler.com/zpedia/sd-wan-vs-sse-vs-sase
  6. *6 出典:Cato Networks「What is SASE? Secure Access Service Edge」(https://www.catonetworks.com/sase/
  7. *7 出典:デジタル庁「ゼロトラストアーキテクチャ適用方針」(2022年6月30日)(https://www.digital.go.jp/assets/contents/node/basic_page/field_ref_resources/e2a06143-ed29-4f1d-9c31-0f06fca67afc/5efa5c3b/20220630_resources_standard_guidelines_guidelines_04.pdf


View