SASE

本文约需 2 分钟阅读

SASE (Secure Access Service Edge、「サシー」と発音) とは、ネットワーク機能 (SD-WAN) とセキュリティ機能 (SWG、CASB、ZTNA、FWaaS) をクラウド上で 統合的に提供するアーキテクチャです。2019 年に Gartner が提唱した概念で、 従来のデータセンター中心のネットワーク設計を根本から見直し、ユーザーが どこにいても安全かつ高速にアプリケーションへアクセスできる環境を実現します。ゼロトラストの 原則をネットワークレベルで実装するフレームワークとして、リモートワーク時代の 企業ネットワークの標準的な設計思想になりつつあります。

Gartner による提唱の背景

Gartner が 2019 年のレポート「The Future of Network Security Is in the Cloud」で SASE を提唱した背景には、企業 IT 環境の 3 つの構造変化がありました。 第一に、SaaS の普及によりトラフィックの大半がインターネット向けになったこと。 第二に、リモートワークの拡大でユーザーがオフィス外に分散したこと。 第三に、クラウド移行によりアプリケーションがデータセンターの外に出たこと。 これらの変化により、すべてのトラフィックをデータセンター経由で検査する 従来のモデルは、性能面でもコスト面でも限界に達していました。

SASE の構成要素

従来のハブ&スポーク型との比較

従来型では、東京のオフィスから Microsoft 365 にアクセスする場合でも、 一度本社のデータセンター (例: 大阪) を経由してからインターネットに 出ていました。SASE では東京の PoP (Point of Presence) から直接 Microsoft 365 に接続するため、遅延が大幅に削減されます。

リモートワーク時代での必要性

COVID-19 以降のリモートワーク拡大は、SASE の普及を加速させた最大の要因です。 従来の VPN 集中型アーキテクチャでは、全社員が同時にリモート接続すると VPN ゲートウェイがボトルネックになり、業務に支障をきたす事態が 世界中で発生しました。SASE はユーザーの所在地に関係なく、 一貫したセキュリティポリシーを適用できるため、オフィス、自宅、 カフェのいずれからアクセスしても同じ保護レベルが維持されます。クラウドストレージへの アクセス制御も SASE の統合ポリシーで一元管理できます。

SSE (Security Service Edge) との関係

Gartner は 2021 年に SSE (Security Service Edge) という概念を追加で定義しました。 SSE は SASE からネットワーク機能 (SD-WAN) を除いたセキュリティ機能のみの サブセットです。

既に SD-WAN を導入済みの企業は、SSE だけを追加導入して段階的に SASE を 構築するアプローチが現実的です。Zscaler や Netskope は SSE に強みを持ち、 Palo Alto Networks や VMware (現 Broadcom) は SD-WAN を含むフル SASE を 提供するなど、ベンダーごとに得意領域が異なります。

よくある誤解として「SASE を導入すれば VPN は不要になる」という認識がありますが、 レガシーシステムへのアクセスや特定の規制要件により、VPN が完全に なくなるわけではありません。SASE は VPN を置き換えるのではなく、 VPN への依存度を段階的に下げていくアプローチが現実的です。

リモートワークのセキュリティはリモートワークセキュリティの記事で、 VPN の基礎はVPN の基本と選び方の記事で 詳しく解説しています。ゼロトラストセキュリティも あわせて参照してください。ネットワークセキュリティの関連書籍は Amazonでも探せます。