読了所要時間: 9分14秒 | 公開日: 2025年10月17日

SASE
SASEとは

SASEは、SD-WAN、ルーティング、WAN最適化などの包括的なWAN機能と、SWG (セキュアWebゲートウェイ)、CASB (クラウドアクセスセキュリティブローカー)、ZTNA (ゼロトラストネットワークアクセス) などのクラウド提供型セキュリティサービスまたは SSE (セキュリティサービスエッジ) を組み合わせたものです。

ユーザーがさまざまな場所から接続し、クラウド上にある機密データにアクセスする状況で、SASEを利用すると、アプリケーショントラフィックをデータセンターにバックホール転送することなく、セキュリティと柔軟性に優れた接続を実現できます。SASEでは、トラフィックがクラウドにインテリジェントに誘導され、高度なセキュリティ検査がクラウド上で直接実行されます。

SASEは、クラウド移行の推進、老朽化したネットワークインフラストラクチャの最新化、ハイブリッドワークのサポート、IoTデバイスによって急速に拡大する攻撃対象領域の保護など、今日の重要なIT課題に対応します。また、機密データの漏洩や侵害を防ぐとともに、サイバー脅威の増加と巧妙化に対する防御を強化します。

AI搭載のUnified SASEの詳細はこちら
リモート会議中のビジネスパーソン。
...にジャンプ
SASEの図。

SASEの仕組み

SASEは、ブランチに展開された高度なSD-WANエッジと包括的なクラウド提供型セキュリティサービス (SSE) を統合したものです。

従来、ブランチ拠点のアプリケーショントラフィックはすべて、セキュリティの検査と検証を行うため、プライベートMPLSサービス経由で企業のデータセンターに伝送されていました。こうしたアーキテクチャーは、アプリケーションが企業のデータセンターだけでホストされていた場合に適していました。しかし、アプリケーションやサービスのクラウド移行が進んだ現在では、従来のネットワークアーキテクチャーでは対応できなくなっています。インターネットに送信されるトラフィックは、データセンターと企業のファイアウォールを経由しなければならないため、アプリケーションパフォーマンスやユーザーエクスペリエンスが損なわれてしまいます。

また、クラウドアプリケーションに直接接続するリモートワーカーが増えているため、従来の境界ベースのセキュリティでは不十分な状況になっています。SASEによってWANとセキュリティのアーキテクチャーを変革することで、場所やアクセスに使用されるデバイスを問わず、マルチクラウド環境全体でアプリケーションとサービスへの直接的かつセキュアなアクセスを実現できます。

SASEの構成要素

SASEの主要な構成要素は、高度なSD-WANと包括的なクラウド提供型セキュリティ (セキュリティサービスエッジ (SSE)) です。

SASEをフルに活用するために必要な高度なSD-WANの主な機能は、次のとおりです。

  • 統一された一貫性のあるSASEアーキテクチャーの形成する、SSEソリューションとのシームレスな統合。
  • セキュリティポリシーに基づくSSEへのトラフィックのきめ細かな誘導を可能にする、ファーストパケットアプリケーション識別。
  • SD-WANパスの多様性を活用し、最も近いSSE PoP (Point of Presence) を自動的に選択する、最適パス選択。
  • 複数のリンクを結合し、自動フェイルオーバーをサポートするトンネルボンディング。
  • WANの遅延の影響を克服し、パケット損失やジッターの影響を受けることが多いインターネットや無線のリンクの影響を軽減する、WAN最適化とFEC (前方誤り訂正)。
  • パブリッククラウドおよびプライベートクラウドとのエンドツーエンドの接続を提供する、マルチクラウドネットワーキング。
  • ブランチ拠点での高度な脅威保護を実現するための、IDS/IPS、DDoS防御、ロールベースのセグメンテーションなどの高度なセキュリティ機能を備えた、組み込みファイアウォール。

SASEをフルに活用するために必要なSSEの主な機能は、次のとおりです。

  • ZTNA (ゼロトラストネットワークアクセス): デフォルトではどのユーザーも信頼できないものとみなし、最小権限アクセスをサポートし、リモートユーザーにはセキュアなアクセスを提供します。
  • CASB (クラウドアクセスセキュリティブローカー): セキュリティポリシーを適用することで、クラウドアプリケーション内の機密データを保護します。
  • SWG (セキュアWebゲートウェイ): URLフィルタリングや悪意のあるコード検出などの複数の手法を使用して、Webベースの脅威から組織を保護します。
  • FWaaS (サービス型ファイアウォール): クラウドでファイアウォール機能を提供し、さまざまなソースからのトラフィックを分析します。
  • その他のセキュリティサービス: DLP (データ損失防止)、RBI (リモートブラウザー分離)、サンドボックスなど。

SASEのメリット

SASEは単なる流行りのバズワードではありません。企業はSASEアーキテクチャーを利用して重要なビジネス上のメリットを実現できます。

  • セキュリティの強化: 組織がクラウドファーストのアプローチに移行すると、SASEはすべてのトラフィックと場所にわたって一貫してセキュリティポリシーを適用し、検査をクラウド内で直接実行します。リモートアクセスを保護し、サイバー脅威から企業データを保護しながら、攻撃対象領域を最小限に抑え、脅威の検出と対応を強化します。
  • ビジネス生産性と顧客満足度の向上: SASEを使用すると、組織は高度なSD-WAN機能に基づいてネットワークインフラストラクチャを効率化できます。SASEは、従来のルーターベースのネットワークの制限と複雑さを排除することで、デジタルトランスフォーメーションに必要なアジリティをもたらし、アプリケーションパフォーマンスと信頼性の両方を飛躍的に向上させます。
  • ゼロトラストセキュリティモデル: SASEはゼロトラストセキュリティモデルを採用しており、リソースへのアクセス権を付与する前にユーザーアイデンティティの継続的な検証を要求します。従来のセキュリティモデルでは高度なサイバー脅威から保護するのに十分ではなくなった今日の脅威の状況において、ゼロトラストは特に重要です。
  • 管理の簡素化と複雑さの軽減: SASEは、展開だけでなく、ネットワークとセキュリティの管理も効率化します。さまざまなネットワーキング機能とセキュリティ機能 (SD-WAN、SWG、CASB、FWaaSなど) を単一のプラットフォームに統合します。この統合により、無秩序に増加したベンダー固有のハードウェアアプライアンスやポイントソリューションを管理する必要性が軽減されます。
SASEの用語とJuniperの図。

SASEがクラウドファーストの企業をサイバー脅威から保護する仕組み

サイバー脅威が巧妙化し、従業員の分散が進むなか、ユーザー、データ、アプリケーションを保護するためにSASEセキュリティに注目する企業が増えています。SASEは、高度なSD-WANと、ZTNA、SWG、CASBなどのクラウド提供型セキュリティサービスを統合することで、複雑さを軽減して保護を強化するように設計された統合型アーキテクチャーを提供します。SASEでは、セキュリティの適用がクラウドで直接行われるため、一貫したポリシー適用が確保され、バックホールの遅延が軽減され、プライベートデータセンター、パブリッククラウド、SaaSプラットフォームのいずれの場所にあっても、アプリケーションへのシームレスかつセキュアなアクセスが提供されます。

これらの機能により、組織は脅威を検出し、それらがネットワークに侵入することを阻止できます。その結果、ユーザーアイデンティティ、アプリケーション、インフラストラクチャの保護が容易になります。

SASEアーキテクチャーは、クラウドファーストの組織におけるサイバーセキュリティリスクを軽減し、複雑さを軽減して管理を効率化しながら、最終的にはセキュリティを向上させます。

SASEを検討すべき理由

  • ハイブリッドワークの支援と保護: 従業員が場所やデバイスを問わず接続する際に、ZTNAは、ユーザーとデバイスに対して一貫したポリシー適用とアクセス制御を行います。最小権限アクセスをサポートし、デフォルトではどのユーザーも信頼されないことを確認します。企業ネットワークへの広範なアクセス権を提供するVPNとは異なり、ZTNAは、ユーザーに許可されている特定のアプリケーションまたはマイクロセグメントのみにユーザーアクセスを限定します。
  • ユニバーサルZTNAによる場所を問わないゼロトラストの適用: ユニバーサルZTNA (ユニバーサルゼロトラストネットワークアクセス、uZTNA) は、SASEとAIを活用したNAC機能を統合することで、ゼロトラストの原則をオンプレミスの拠点とIoTデバイスにまで拡張します。この統合により、IoTを含むすべてのネットワーク接続デバイスの包括的な可視化と監視が可能になります。ユニバーサルZTNAは、アイデンティティベースのセグメンテーションにより、ユーザーとデバイスが自分のロールに適したネットワークリソースにのみアクセスできるようにします。システムはネットワークアクティビティを継続的に監視して、アクセス許可をリアルタイムで調整し、疑わしい動作や悪意のある動作を迅速に検出できるようにします。
  • グローバルおよび分散ユーザーのパフォーマンス最適化: SASEは、グローバルに分散されたクラウドアーキテクチャーとエッジコンピューティングを活用して、ユーザーが最も近いPoP (Point of Presence) に接続できるようにします。これにより、特にリモート拠点のユーザーでレイテンシが短縮され、アプリケーションパフォーマンスが最適化されます。
  • クラウドおよびSaaSアプリケーションの導入: SASEは、中央のデータセンターを経由してトラフィックをバックホールすることなく、クラウドアプリケーション (AWS、Microsoft 365、Salesforceなど) への直接的かつセキュアなアクセスを実現します。エッジコンピューティングとSD-WANによってパフォーマンスを最適化すると同時に、CASBなどのセキュリティサービスを提供してクラウドアプリケーションの使用を制御し、データを保護します。
  • Webベースの脅威からユーザーを保護: ランサムウェアやフィッシングなどのWebベースの脅威から組織を保護するために、SWGはURLフィルタリング、悪意のあるコードの検出、およびWebアクセス制御を通じたトラフィックの監視および検査を実行し、アダルトコンテンツやギャンブルプラットフォーム、重大なリスクをもたらすことが知られているサイトなど、特定のカテゴリのWebサイトへのアクセスを制限するポリシーを確立します。
  • SaaSアプリケーションへのセキュアなアクセス: ユーザーが承認済みと未承認の両方のSaaSアプリケーションにアクセスできる場合、CASB (クラウドアクセスセキュリティブローカー) はこれらのアクティビティを可視化し、シャドーITを識別し、組織のSaaSポリシーを適用して、機密データを潜在的な漏洩から保護します。
  • データ保護とコンプライアンスの向上: CASBに加えて、SASEにはDLP機能が含まれており、組織がユーザーアクティビティを監視し、機密データの移動を制御できるようにします。また、その統合型プラットフォームでは監査とレポート作成が簡素化され、GDPR、HIPAA、PCI-DSSなどの規制へのコンプライアンスが確保されます。
  • ブランチオフィスの接続と保護: 従来のアーキテクチャーでは、ブランチオフィスを本社に接続する際にMPLSリンクがよく使用されます。このアーキテクチャーでは、クラウドトラフィックをデータセンターにバックホールしてセキュリティ検査を実行する必要があり、レイテンシが増加してアプリケーションパフォーマンスに悪影響を及ぼします。SASEのSD-WAN部分を使用すると、組織はトラフィックをブランチオフィスから直接クラウドにインテリジェントに誘導し、ブランチオフィスを本社に接続する堅牢で柔軟な方法を実装できます。次世代ファイアウォールが組み込まれた高度なセキュアSD-WANソリューションはIDS/IPSやDDoS防御などの機能を備えており、従来のブランチファイアウォールを置き換えることも可能です。

AI搭載のUnified SASEとは

AI搭載のUnified SASEプラットフォームは、複数のセキュリティコンポーネントの管理に伴う複雑さを軽減します。この統合アーキテクチャーにより、導入が簡素化されるだけでなく、統合セキュリティポリシー、一元管理、一貫したゼロトラストアクセスが提供されます。主な機能として、次のようなものがあります。

  • クラウドネイティブアーキテクチャーとスケーラビリティ: クラウドコンピューティングのスケーラビリティとアジリティを活用した、クラウドネイティブアーキテクチャーとして設計されています。このアーキテクチャーにより、組織はトラフィック需要に基づいてリソースを動的に割り当てることができるため、より効率と適応性に優れたネットワークを実現できます。
  • グローバルネットワークプレゼンス: 地理的に分散したPoint of Presence (PoP) を通じてグローバルなネットワークプレゼンスを提供し、ユーザーがどこにいても一貫したパフォーマンスと低レイテンシを実現します。これにより、PoPの管理が簡素化され、マルチベンダーSASEアプローチで必要とされる複数のPoPが不要になります。
  • 統合ポリシー管理: すべてのセキュリティポリシーを単一のインターフェイスで管理するため、運用が合理化されるとともに複雑さが軽減されます。これにより組織は、一貫したポリシーを効果的に導入および適用できるようになります。
  • 一元化されたUI、包括的なダッシュボード: ITチームは、一元化されたユーザーインターフェイスですべてのネットワーク運用とセキュリティ運用を管理できるようになり、ネットワークトラフィック、セキュリティイベント、ポリシー適用の可視性が向上します。レポート機能が強化され、組織は規制要件や業界標準への準拠を実証できるようになります。
  • SASE機能の統合: 複数のSASE機能を簡単に組み合わせてセキュリティポスチャを強化し、単一パスでトラフィックを検査できるようになります。SSL検査は1回で済むため、パフォーマンスが向上し、複雑さが軽減されます。さらに、SWGとCASBをDLPと組み合わせることで、組織はユーザーアクティビティをより適切に監視して、機密データの漏洩を防ぎ、Webアクセスをよりきめ細かく制御できるようになります。
  • AI主導: AI搭載のUnified SASEソリューションは、AI機能を活用して接続されているユーザーとデバイスの可視性を向上させ、適応型アクセス制御を実現します。よくあるトラブルシューティング作業を自動化し、よくあるネットワークの問題を診断するとともに、将来の脅威やパフォーマンスの問題を予測するための予測分析を提供します。

単一ベンダーSASEとマルチベンダーSASEの比較

ネットワーキングとセキュリティは、密接に関連する領域ですが、それぞれが非常に複雑な異なる専門領域です。セキュリティは、絶えず変化するサイバーセキュリティリスクから保護するために急速に進化しています。一方WANは、高速で堅牢、かつ確実な接続を提供することを目的としています。SASEアーキテクチャーの真価は、高度なWANエッジ機能と、クラウドで提供される包括的なSSEセキュリティサービスを組み合わせることで発揮されます。

単一ベンダーソリューションとマルチベンダーソリューションのどちらを選択するかは、既存のセキュリティとWANの要件によって異なります。SSEとSD-WANを単一ベンダーのSASEプラットフォームで緊密に統合することで、より迅速な導入、一元管理、一貫性のあるセキュリティポリシー、進化する脅威の状況にシームレスに適応する能力など、多くのメリットがもたらされます。マルチベンダーアプローチは、選択したセキュリティサービスと併せてSASEを導入することや、SASEを既存のセキュリティエコシステムと統合することを望む組織に推奨されます。このようなマルチベンダー環境では、サードパーティのSSEソリューションとのオーケストレーションを自動化するSD-WANを選択することで、導入時間を短縮し、管理の複雑さを軽減することが重要です。

HPEとSASE

HPEは、エッジツークラウドのゼロトラストフレームワークにより、SASEへの移行を加速します。サイロ化されたゼロトラスト製品とは異なり、HPEの統合型プラットフォームはSD-WAN、SSE、NACを統合し、オンプレミスかリモートかを問わず、すべてのユーザーとデバイスに一貫したポリシーを適用します。

SSEポートフォリオはZTNA、SWG、CASB、DLP(いずれも単一のインターフェイスから管理) を提供します。HPEのクラウドネイティブNACは、AIを活用した可観測性、認証、動的セグメンテーションを通じて、管理されていないデバイスやIoTデバイスを含むすべてのデバイスにゼロトラストを拡張し、複数の多様な環境にわたってセキュアなアクセスと一貫した適用を実現します。

HPEのAI主導のセキュアSD-WANソリューションは、トンネルボンディング、最適パス選択、WAN最適化、マルチクラウドネットワーキングなどの高度なネットワーク機能と、次世代ファイアウォール、IDS/IPS、適応型DDoS防御、URLフィルタリング、ロールベースのセグメンテーションなどの組み込みのセキュリティ機能を組み合わせています。SSEとネイティブに統合して包括的なUnified SASEアーキテクチャーを実現することも、サードパーティのSSEパートナーと統合してオープンで柔軟なアプローチを実現することも可能です。

FAQ

SASEがクラウドファースト戦略に不可欠な理由は何ですか。

クラウドファーストのアプローチを採用する組織は、需要の変化に対応するために、従来のネットワークツールやセキュリティツールを超えるものを求めています。リモートユーザー、ブランチオフィスやIoTデバイス向けにセキュアで信頼性が高く、高パフォーマンスの接続を提供するSASEは、こうした変革をサポートするうえで重要な役割を担っています。SASEにゼロトラストの原則を組み込むことで、アプリケーションへの最小権限アクセスを提供し、ネットワーク内での不正アクセスやラテラルムーブメントのリスクを軽減します。SD-WANの効率性とクラウドネイティブのセキュリティを兼ね備えたSASEは、最新のスケーラブルでセキュアなエンタープライズネットワークの基盤となります。
SASEはどのような問題を解決しますか。

IT環境はたった数年で劇的に変化しました。つい最近まで、多くのビジネスアプリケーションは企業のデータセンターに保管され、従業員は企業ネットワークを通じてアクセスしていました。セキュリティは明確な境界内で適用されていました。今日では、クラウドの導入、IoT、モビリティ、リモートワークにより、その境界が消滅しました。セキュリティとネットワーキングを、一元的なクラウド提供型アーキテクチャーに統合する必要があります。
SASEとSSEの違いは何ですか。

SASEは、ネットワーキング (SD-WANなど) とセキュリティサービス (SWG、CASB、ZTNAなど) の両方を単一のクラウドネイティブソリューションに統合した包括的なフレームワークであり、分散したユーザー、デバイス、拠点を安全に接続できるようにします。それに対して、SSE (セキュリティサービスエッジ) は、SD-WANなどのネットワーキング機能を含まない、セキュリティサービスのみに焦点を当てたSASEのサブセットです。SSEはクラウドサービス、プライベートアプリケーション、インターネットへのアクセスを保護しますが、ネットワーク管理と最適化は他のソリューションに委ねます。基本的に、SASEはネットワークとセキュリティの両方をカバーし、SSEはセキュリティ機能のみに限定されます。
SASEはクラウドベースですか。

はい、SASEはクラウドベースで設計されています。ネットワーキングサービスとセキュリティサービスを一元的なクラウドネイティブプラットフォームに統合します。このクラウド中心のアプローチにより、SASEは、分散した従業員、複数のブランチオフィス、クラウド環境を持つ企業に、スケーラビリティ、柔軟性、一元管理を提供できます。
SASEはデータセンターへのバックホールを防止しますか。

はい、SASEの重要なメリットの1つが、従来のネットワークアーキテクチャーでよく問題となる、データセンターへのトラフィックバックホールの必要性が軽減されることです。バックホールの削減により、ネットワークを流れる冗長トラフィックの量が減り、帯域幅が解放され、レイテンシが短縮され、ネットワーク全体の効率が向上します。
SASEはリモートワークのセキュリティをどのように向上させますか。

SASEは、ネットワーキングとセキュリティをクラウド提供型サービスに統合することで、リモートワークのセキュリティを向上させます。ZTNAを使用してリモートユーザーを保護し、認証されたユーザーとデバイスのみがアプリケーションにアクセスできることを検証します。SWGは悪意のあるWebサイトをブロックし、CASBはSaaSポリシーを適用します。データ損失防止 (DLP) は機密情報を保護します。これらの機能をSD-WANと統合することで、SASEはあらゆる場所からアプリケーションへのセキュアでシームレスなアクセスを提供し、ハイブリッドワーカーやリモートワーカーのリスクを軽減します。

関連製品、ソリューション、サービス

HPE Aruba Networking EdgeConnect SD-WAN

詳細はこちら

HPE Aruba Networking SSE

詳細はこちら

関連トピック

SD-WAN

詳細はこちら

SSE (セキュリティサービスエッジ)

詳細はこちら

ネットワークセキュリティ

詳細はこちら

セキュアSD-WAN

詳細はこちら

SD-Branch

詳細はこちら

マルチクラウドネットワーキング

詳細はこちら