SASE(Secure Access Service Edge、サシー)とは、拠点間をつなぐWAN機能と複数のネットワークセキュリティ機能を、クラウドから一体で提供する仕組み(アーキテクチャ)です。米調査会社ガートナーが2019年に提唱した概念で、社内ネットワークの「境界」を守る従来型の発想から、利用者の場所を問わず「アクセスするたびに検証する」クラウド型の防御へ移すための土台になります。
本記事は、SASEという言葉を初めて詳しく調べる情シス担当者に向けて、定義・構成要素・関連用語との違い・実務での押さえどころを、一次情報をもとに整理します。
この記事でわかること
- SASEの1文定義と、なぜ今注目されているのか
- SASEを構成する主要な機能(SD-WANとセキュリティ4機能)
- よく混同される「SSE」との違い、ゼロトラストとの関係
- 情シスが導入・運用で気をつけるべき現実的なポイント
SASEとは何か(1文の定義)
ガートナーはSASEを「包括的なWAN機能と、SWG・CASB・FWaaS・ZTNAといった包括的なネットワークセキュリティ機能を組み合わせ、デジタル化する企業の動的で安全なアクセス需要に応える新しい提供形態」と定義しています。要するに、「ネットワーク(つなぐ)」と「セキュリティ(守る)」を別々の製品でつぎはぎするのをやめ、クラウド上のひとつのサービスとして束ねて届けるという考え方です。
ガートナーはSASEの特徴として、次の4点を挙げています。
- アイデンティティ駆動:IPアドレスではなく、利用者やデバイスの「識別情報(ID)」を軸にアクセス権や通信経路を決める。
- クラウドネイティブ:伸縮性・自己修復などクラウドの特性を活かす。
- すべてのエッジに対応:データセンター・拠点・クラウド・在宅の端末まで、ひとつのネットワークとして扱う。
- グローバルに分散:世界中の拠点で同じ機能と快適さを提供する。
なぜ今SASEが注目されるのか
背景にあるのは、守るべき「境界」が事実上なくなったことです。かつては社内ネットワークとインターネットの境目にファイアウォールを置き、社外からの通信をVPNで社内へ引き込んで守る「境界防御」が主流でした。しかし現在は次のような変化が起きています。
- 業務システムやデータがSaaS・クラウドに移り、通信が社内を経由しなくなった。
- 在宅勤務・外出先勤務が定着し、利用者が社外にいるのが当たり前になった。
- VPNに通信が集中して遅くなる、VPN機器自体が攻撃の入口になる、といった問題が表面化した。
「社内は安全・社外は危険」という前提が崩れた結果、場所ではなく「誰が・どの端末で・何にアクセスするか」を都度検証するゼロトラストの考え方が求められ、それをネットワークとセキュリティの両面でクラウドから実装する枠組みとしてSASEが位置づけられています。
SASEの構成要素(何が束ねられているのか)
SASEは単一の製品名ではなく、複数の機能の集合体です。大きく「ネットワーク機能」と「セキュリティ機能」に分かれます。
| 区分 | 要素 | 役割(ざっくり) |
|---|---|---|
| ネットワーク | SD-WAN | 拠点・クラウド・インターネット向けの通信を、ソフトウェアで最適な経路に振り分ける。 |
| セキュリティ | SWG(セキュアWebゲートウェイ) | Web通信を検査し、危険なサイトやマルウェアへのアクセスを遮断する。 |
| セキュリティ | CASB(キャスビー) | SaaS・クラウド利用を可視化し、情報漏えい防止やポリシー適用を行う。 |
| セキュリティ | FWaaS(クラウド型ファイアウォール) | ファイアウォール機能をクラウドで提供し、拠点ごとの機器に依存しない。 |
| セキュリティ | ZTNA(ゼロトラストネットワークアクセス) | アクセスのたびにID・デバイス状態を検証し、必要な業務アプリだけに限定して接続を許す。VPNの置き換えとして注目される。 |
これらを別々のベンダーの箱で持つと運用が煩雑になり、ポリシーもばらばらになりがちです。SASEは、これらをクラウド上のプラットフォームで統合し、「利用者に近い場所(エッジ)で検査してから目的地へ届ける」ことで、セキュリティと通信の快適さを両立させることを狙います。
SASEとSSEは何が違うのか?
SSE(Security Service Edge)とは、SASEからネットワーク機能(SD-WAN)を除いた「セキュリティ機能の部分」を指します。ガートナーが後から整理した区分で、おおむね SWG・CASB・ZTNA(+FWaaS)を束ねたものです。SASE = SSE + SD-WANと理解するとわかりやすいでしょう。ネットワーク機器(回線・SD-WAN)はそのままに、まずセキュリティ機能だけをクラウドへ寄せたい、という段階的な導入で使われる言葉です。
ゼロトラストとの関係
混同されがちですが、ゼロトラストは「何も信頼せず都度検証する」というセキュリティの考え方(原則)であり、SASEはその考え方をネットワークとセキュリティの製品群として実装する枠組みです。ゼロトラストが目的地なら、SASE(特にZTNA)はそこへ向かう手段のひとつ、という関係になります。
情シスの実務での扱い(導入・運用の勘所)
SASEは「導入すれば安全」という魔法ではありません。実務では次の点が現実的な論点になります。
- いきなり全部入れ替えない:SASEは複数機能の集合なので、一度に全社移行するとリスクも運用負荷も大きい。多くの場合、まずVPNの課題解決としてZTNA、あるいはSaaS対策としてSWG/CASBといった優先度の高い機能から段階導入するのが現実的です。SSEから始める判断もこの流れです。
- IDと端末管理が前提:SASEはID駆動です。ID基盤(多要素認証(MFA)やシングルサインオン)と、端末の状態を把握できる仕組みが整っていないと、検証の精度が上がりません。最小権限の原則と組み合わせて設計することが重要です。
- ベンダーロックインと範囲の見極め:SASEを名乗る製品でも、得意分野(ネットワーク寄り/セキュリティ寄り)や実装範囲は各社で差があります。自社の弱点(Web脅威対策なのか、リモートアクセスなのか)を先に定め、それに対して何が埋まるのかを確認しましょう。
- 可用性と通信経路の集約リスク:通信をクラウドのSASE基盤に集約するため、その基盤の障害が業務停止に直結し得ます。冗長性やSLA、通信遅延の実測も評価対象です。
自社の方針づくりでは、まず考え方の土台としてゼロトラストの公的な整理を押さえておくと、経営層への説明もぶれません。IPAの資料や、独立行政法人・公的機関が公開するゼロトラスト関連の解説を出発点にすると、製品ありきの検討に流されにくくなります。中小規模の組織であれば、IPA「中小企業の情報セキュリティ対策ガイドライン」で自組織の現在地を整理してから、SASE/SSEの必要性を判断する順序が堅実です。
現場目線の所感
SASEという言葉は響きが大きく、経営層に「これで一気に安全になる」と受け取られがちです。しかし現場からすると、SASEはあくまで「バラバラだったネットワークとセキュリティの運用を、ひとつの窓口に寄せていく長い旅路」です。移行期には従来のVPNや境界機器と併存する期間が必ず生じ、その二重管理こそが一番しんどいところだ、というのが率直な実感です。限られた人員で全端末・全SaaSの状態を把握しきるのは容易ではなく、まずは「どの機能から寄せると自社のいちばん痛い穴が塞がるか」を冷静に選ぶことが、流行りの言葉に振り回されない現実的な一歩だと感じます。
まとめ
- SASEとは、WAN機能とネットワークセキュリティ機能をクラウドから一体で提供する仕組みで、境界防御からゼロトラストへ移るための土台です。
- 構成要素はSD-WAN+セキュリティ4機能(SWG・CASB・FWaaS・ZTNA)。セキュリティ機能だけを取り出したものがSSEです。
- 導入は「全部入れ替え」ではなく、自社の弱点に効く機能からの段階導入が現実的。ID基盤と端末管理の整備が前提になります。
出典・参考
- Gartner「The Future of Network Security Is in the Cloud」(2019年8月、SASE提唱の原典):https://www.gartner.com/
- IPA 中小企業の情報セキュリティ対策ガイドライン:https://www.ipa.go.jp/security/guide/sme/index.html

