English お問い合わせ
Home>Tech Insights>SASE
SASE & Zero Trust

SASEとは

SASE(サッシー / Secure Access Service Edge)は、ネットワークとセキュリティの機能をクラウド上でひとつにまとめて提供する考え方です。2019年に調査会社のガートナーが提唱しました。クラウドサービスとテレワークが当たり前になった今、企業のIT環境を見直すうえで欠かせない概念になっています。この記事では、基本の考え方から、主な製品、導入のメリット・デメリット、中小企業向けの一般的な導入の流れまでを整理します。

Tech Insightsへ戻る相談する
Background

なぜSASEが必要になったのか

これまでの企業ネットワークは、「社内」と「社外」の境界を守るという考え方が中心でした。社内にいれば安全、社外からはVPNでつなぐ、という形です。

しかし近年、次のような変化が起きました。

  • クラウドサービスの普及。業務データやアプリが社内サーバーではなく、Microsoft 365 などのクラウド上に移った
  • 働く場所の多様化。自宅・外出先・サテライトオフィスなど、社外から業務する機会が増えた
  • VPNの限界。利用者が増えると通信が遅くなり、一度社内に通すと無駄も多い

「守るべきもの」が社内から外へ出てしまった結果、境界を守る発想だけでは追いつかなくなりました。そこで、ネットワークとセキュリティをまとめてクラウド側に置き、どこからアクセスしても同じように制御するという考え方が生まれました。これがSASEです。

Key Point

SASEの考え方

  • 利用者がどこにいても、同じセキュリティ基準でアクセスできる
  • 通信を一度社内に戻さず、クラウド上で検査するため速い
  • 誰が・どの端末で・何にアクセスしているか」を軸に判断する
  • 複数のセキュリティ製品をひとつのサービスとして運用できる

SASEは単一の製品名ではなく、いくつかの機能を組み合わせた「枠組み(フレームワーク)」である点がポイントです。なお、SASEのうちセキュリティ機能の部分だけを指してSSE(Security Service Edge)と呼ぶこともあります。

Visual Guide

イラストで理解するSASE

専門用語が苦手な方向けに、SASEの考え方を3つの図で説明します。

図解

たとえ話:クラウドの“検問所”

本社 拠点 在宅 スマホ クラウドの検問所 SASE クラウドサービス Microsoft 365 業務アプリ・Web
← 横にスクロールできます →

本社・拠点・在宅・スマホ ── どこからでも“同じ検問所”を通り、同じルールで守られる。

図解

ビフォー/アフター:守るべきものが社外へ

従来(境界防御) SASE 社内 社内サーバ 境界の守り クラウド 社外 クラウドへ 在宅 VPN 本社 在宅 クラウドの検問所 クラウド サービス 守るべきデータが社外(クラウド)へ。内側だけ守っても届かない。 守りをクラウド側に置き、どこからでも同じルールで検査。
← 横にスクロールできます →

守るべきデータがクラウド(社外)へ移った今、境界の内側を守るだけでは守りきれません。SASEは守りをクラウド側に集約します。

図解

ステップで理解:アクセスが守られる流れ

1 社員がアクセス どこからでも 2 本人確認 ID・多要素認証 3 通信を検査 危険・持ち出しを確認 4 許可された サービスへ 許可
← 横にスクロールできます →

アクセスのたびに“本人”と“通信内容”を確認してから、必要なサービスだけに通します。

Components

SASEの主な構成要素

SASEは大きく4つの機能で構成されます。それぞれ単独でも使われますが、組み合わせることで「どこからでも安全に業務できる」状態を実現します。カードをクリックすると、各機能の詳しい解説をご覧いただけます(順次追加)。

SWG(Secure Web Gateway)

Webサイトへのアクセスを検査し、危険なサイトや業務に不要なサイトへの接続をブロックします。社外からのWeb利用も安全に保ちます。

CASB(Cloud Access Security Broker)

どの社員がどのクラウドサービスを使っているかを可視化し、許可されていないサービスの利用やデータの持ち出しを制御します。

ZTNA(Zero Trust Network Access)

「社内ネットワークにいるから安全」ではなく、アプリ単位で利用者を毎回検証してアクセスを許可する仕組みです。VPNに代わる考え方として注目されています。

FWaaS(Firewall as a Service)

ファイアウォール(通信の出入りを制御する仕組み)をクラウドサービスとして提供します。拠点ごとに機器を置かずに、一元的に管理できます。
Products

主なSASE・SSE製品

SASEを提供する代表的なベンダーを挙げます。それぞれ得意分野や成り立ちが異なります。優劣を一律に比べるものではなく、自社の環境(既存の製品・拠点数・利用クラウド)との相性で選ぶことが大切です。

Microsoft
(Entra Suite / Global Secure Access)

Microsoft 365・Entra ID と統合できるのが最大の強み。すでにM365を使う企業なら、IDや端末管理(Intune)、脅威対策(Defender)と一体で構成しやすく、追加の学習コストを抑えやすい。

公式サイト ↗

Zscaler

SASE/SSE専業の大手。クラウドネイティブな設計で、大規模・グローバル展開や大量の拠点・利用者を抱える企業で実績が豊富。

公式サイト ↗

Palo Alto Networks
(Prisma Access)

次世代ファイアウォールで培った高度な脅威防御をクラウドで提供。セキュリティ要件が厳しい中堅〜大企業向け。

公式サイト ↗

Netskope

CASB(クラウド利用の可視化・制御)を起点に発展。SaaSの細かな制御やデータ保護(DLP)に強み。

公式サイト ↗

Cloudflare
(Cloudflare One)

世界規模の高速ネットワーク基盤を活用。比較的シンプルでコストを抑えやすく、中小〜中堅企業でも導入しやすい。

公式サイト ↗

Cato Networks

拠点間ネットワーク(SD-WAN)とセキュリティを最初から統合。複数拠点を持ち、ネットワークごと見直したい企業に向く。

公式サイト ↗

Cisco
(Secure Access)

Cisco Umbrella などの既存Cisco製品を使っている企業との親和性が高い。

公式サイト ↗

Fortinet
(FortiSASE)

FortiGate ファイアウォールを導入済みの企業との相性がよく、既存資産を活かしながら拡張しやすい。

公式サイト ↗

※ 製品名・機能は2026年時点の一般的な情報です。各製品の最新の仕様・料金は各社の公式情報をご確認ください。

Pros

導入のメリット

  • セキュリティ機能の一元管理。個別製品の寄せ集めから、ひとつの仕組みへ集約できる
  • 場所を問わない統一ポリシー。社内・在宅・外出先で同じ基準を適用できる
  • VPN不要・通信の高速化。クラウドで直接検査するため、社内に戻す無駄が減る
  • 運用負荷の軽減。管理画面が統合され、ポリシー変更が反映しやすい
  • 段階的に導入できる。一度にすべてを置き換える必要がない
  • 可視性の向上。誰が・どの端末で・何にアクセスしているかを把握できる
Cons

デメリット・注意点

  • !ランニングコスト。利用者単位の月額課金が中心で、規模により負担が変わる
  • !移行・初期設計の負荷。既存環境からの切り替えには計画と検証が必要
  • !インターネット回線への依存。回線品質や障害が業務に影響しやすい
  • !ベンダーロックインの懸念。一度組み込むと乗り換えにコストがかかる場合がある
  • !運用スキルの必要性。ポリシー設計や例外対応のノウハウが求められる
  • !既存製品との重複整理。今あるセキュリティ製品との役割分担を整理する必要がある
For SMB

中小企業での導入の流れ(一般的な進め方)

SASEは一度にすべてを入れる必要はありません。多くの中小企業では、すでに利用している環境を活かしながら、優先度の高いところから段階的に進めるのが現実的です。一般的な流れを6段階で整理します。

STEP 1PROCESS
現状把握とゴール設定 利用者・端末・通信・データ保護の現状を棚卸しし、「何にいちばん困っているか」「どこから守りたいか」を整理します。すべてを一度に解決しようとせず、優先課題を絞り込みます。
棚卸し優先順位
STEP 2PROCESS
ID基盤の整備 「誰が」を確実にする土台づくり。Entra ID などでIDを統合し、多要素認証(MFA)や条件付きアクセスを設定します。SASEの効果はこの土台があって初めて発揮されます。
Entra IDMFA条件付きアクセス
STEP 3PROCESS
エンドポイント(端末)の保護 Intune などで端末を管理し、Defender などで脅威対策を行います。「許可された安全な端末からのアクセス」を判断できるようにします。
IntuneEDR
STEP 4PROCESS
Web・クラウドアクセスの保護 SWG/CASB を導入し、Webサイトやクラウドサービスの利用を可視化・制御します。危険な通信や情報漏えいのリスクを減らします。
SWGCASB
STEP 5PROCESS
リモートアクセスの刷新 ZTNA で従来のVPNを置き換え、アプリ単位でアクセスを許可する形に移行します。通信が速くなり、必要な範囲だけに限定できます。
ZTNAVPN置換
STEP 6PROCESS
運用・監視と継続改善 ログの監視、例外申請の運用、定期的なポリシー見直しを行います。導入して終わりではなく、状況の変化に合わせて育てていきます。
監視運用ルール定期見直し
Zero Trust

SASEとゼロトラストの関係

SASEとよく一緒に語られる言葉に「ゼロトラスト」があります。ゼロトラストは「何も信頼せず、常に検証する」というセキュリティの考え方です。

SASEは、このゼロトラストの考え方をネットワークとセキュリティの仕組みとして実際に形にしたものと捉えると分かりやすくなります。考え方が「ゼロトラスト」、それを実現する手段のひとつが「SASE」という関係です。

Our Approach

当社の考え方

多くの中小企業は、すでに Microsoft 365 を利用されています。その場合、Entra ID や Intune、Defender と一体で構成できる Microsoft のソリューションは、追加投資や学習コストを抑えやすい現実的な選択肢になります。

一方で、拠点が多い場合やネットワークごと見直したい場合は、別のアプローチが適することもあります。当社は「製品ありき」ではなく、現状と課題の整理から出発し、自社に合った形をご提案します。

FAQ

よくある質問

  • QSASEとは何ですか?
    ネットワークとセキュリティの機能をクラウド上でひとつにまとめて提供する考え方(フレームワーク)です。2019年に調査会社のガートナーが提唱しました。単一の製品名ではなく、複数の機能を組み合わせた枠組みを指します。
  • QSASEとSSE・ゼロトラストはどう違いますか?
    SSEはSASEのうちセキュリティ機能の部分を指す呼び方です。ゼロトラストは「何も信頼せず常に検証する」という設計思想で、SASEはその考え方をネットワークも含めてクラウド上で実現する枠組みにあたります。
  • QSASEを構成する主な要素は何ですか?
    主にSWG(Webアクセス制御)、CASB(クラウド利用の可視化・制御)、ZTNA(アプリ単位のアクセス制御)、FWaaS(クラウド型ファイアウォール)の4つで構成されます。
  • Q中小企業でもSASEを導入できますか?
    はい。クラウド型で拠点ごとの機器が不要なため、段階的に導入できます。まずは現状のネットワークと利用状況の把握から始めるのが現実的です。
  • Q導入のメリット・デメリットは何ですか?
    メリットは、場所を問わず同じセキュリティ基準を適用でき、複数のセキュリティ機能を一元的に運用できる点です。デメリットは、月額の利用コストがかかることや、初期の設計・運用に一定のスキルが必要になる点です。

SASEの導入を検討する

「VPNが遅い」「テレワークのセキュリティが不安」「クラウド利用が増えてきた」といった課題から、SASEの考え方に基づいた整理をご支援します。何から始めるべきか分からない段階でも問題ありません。

お問い合わせする