はじめに
テレワークやクラウドサービスの利用が一般的になり、従来の境界防御型のネットワークでは対応しきれない場面が増えています。社内データセンターにファイアウォールを集約し、拠点やリモートからは VPN で経由させる構成は、クラウド利用が増えるほど経路が非効率になり、性能や運用の負荷が高まります。社内ネットワークの内側を信頼するという前提も、利用者やアプリがどこにでも存在する状況では成り立ちにくくなっています。
こうした背景から登場したのが、SASE(Secure Access Service Edge)と、そのセキュリティ部分にあたる SSE(Security Service Edge)です。ただし、SASE・SSE・ZTNA・SWG・CASB といった用語が多く、関係が分かりにくいのが実情です。本記事では、SASE と SSE の定義と違い、構成要素、導入形態の選び方、そして最新動向までを整理し、主要サービス(Cisco・Fortinet・Palo Alto・Zscaler・Netskope など)を理解する前提を提供します。
なお、SASE は、ゼロトラスト(社内・社外を問わず信頼を前提にしない)の考え方を、ネットワークとセキュリティの提供形態に落とし込んだものと捉えると理解しやすくなります。ゼロトラストの原則そのものは、関連記事「ゼロトラストとは」で扱う予定です。
- SASE が登場した背景と、Gartner による定義
- SASE と SSE の違い、SD-WAN との関係
- SASE / SSE を構成する主要コンポーネント(SWG・CASB・ZTNA・FWaaS など)
- 導入形態(single-vendor SASE と SSE+SD-WAN)の選び方と、主要サービスの位置づけ
- SASE / SSE の最新動向
SASE とは|登場した背景と定義
SASE は、ネットワークとセキュリティをクラウドから統合して提供する考え方です。2019 年に Gartner が提唱した比較的新しい概念で、特定の製品ではなくアーキテクチャのモデルを指します。
境界防御の限界とクラウド前提への移行
従来のネットワークは、社内データセンターにセキュリティ機能を集約し、拠点やリモート利用者の通信をいったんデータセンターへ集めて検査する構成が一般的でした。しかし、利用するアプリケーションの多くがクラウドへ移ると、クラウド宛ての通信もデータセンターで折り返すことになり、遅延や帯域の逼迫が生じやすくなります。
また、境界防御は「社内ネットワークの内側は信頼できる」という前提に立っています。テレワークやクラウド利用が広がり、利用者・端末・アプリがネットワークの内外に分散すると、この前提は維持しにくくなります。そこで、アクセス元の「場所」ではなく、利用者や端末の「アイデンティティ」と「文脈」に基づいて制御する、クラウド前提の考え方へと移行が進みました。
SASE の定義(ネットワーク+セキュリティのクラウド統合)
SASE(Secure Access Service Edge)は、SD-WAN などのネットワーク機能と、複数のセキュリティ機能を統合し、クラウドサービスとして提供するモデルです。Gartner は次のように定義しています。
参考: Gartner — Information Technology Glossary(Secure Access Service Edge)
“Secure access service edge (SASE) delivers converged network and security as a service capabilities”
(SASE は、統合されたネットワークとセキュリティの機能を、サービスとして提供する)
https://www.gartner.com/en/information-technology/glossary/secure-access-service-edge-sase
Gartner の定義では、統合される機能として SD-WAN・SWG(Secure Web Gateway)・CASB(Cloud Access Security Broker)・NGFW / FWaaS・ZTNA(Zero Trust Network Access)が挙げられています。SASE は、拠点・リモートワーカー・オンプレミスといった利用形態を対象とし、主にサービスとして提供され、アイデンティティとリアルタイムの文脈、ポリシーに基づいてアクセスを制御します。
特徴として、(1) ネットワークとセキュリティの機能を統合する、(2) アイデンティティを制御の基準とする、(3) リアルタイムの文脈とポリシーを適用する、という 3 点が挙げられます。
ここで押さえておきたいのは、SASE は単一の製品ではなく、複数の機能をクラウドから統合提供するアーキテクチャの参照モデルだという点です。そのため、何をどこまで統合するか、どの提供形態を選ぶかによって、実際の構成は変わってきます。
SASE と SSE の違い
SASE と SSE は混同されやすい用語ですが、違いは明確です。SASE が「ネットワーク(SD-WAN)+セキュリティ」を統合するのに対し、SSE はそのうちのセキュリティ部分を指します。
SSE は SASE のセキュリティ部分
SSE(Security Service Edge)は、SASE のセキュリティ機能をクラウドから統合して提供する部分です。Gartner が 2021 年に提唱し、2022 年には SSE のマジッククアドラントが初めて公開されました。
参考: Palo Alto Networks — What Is SSE?(Security Service Edge)
“While SASE combines network and security services, SSE focuses specifically on security”
(SASE がネットワークとセキュリティの機能を統合するのに対し、SSE はセキュリティに特化する)
https://www.paloaltonetworks.com/cyberpedia/what-is-security-service-edge-sse
SSE には、SWG・CASB・ZTNA・FWaaS といったセキュリティ機能が含まれますが、SD-WAN などのネットワーク側の機能は含みません。SASE と SSE の違いは、「SD-WAN(ネットワーク)を含むかどうか」と整理できます。クラウド中心でリモート利用が主体の組織では、まず SSE を導入し、SD-WAN は別途検討する、という進め方も選択肢になります。
SD-WAN(ネットワーク)との組み合わせ
SD-WAN は、SASE のネットワーク側を担う要素です。拠点やデータセンターを、クラウドサービスへ最適な経路で接続し、回線品質に応じた経路選択を行います。SSE(セキュリティ)と SD-WAN(ネットワーク)を組み合わせることで、SASE が成り立ちます。
導入の観点では、すでに SD-WAN を利用している、あるいは拠点が多い組織では「SD-WAN + SSE」の組み合わせが現実的です。一方、拠点が少なくクラウド・リモート主体の組織では、SSE を先行して導入する形も検討できます。SD-WAN そのものの考え方は、ネットワーク側の最適化技術として、別途整理すると理解が深まります。
SASE / SSE を構成する主要コンポーネント
SSE の中核となるのは、SWG・CASB・ZTNA・FWaaS の 4 つです。これに DLP や RBI などの機能が加わります。
SWG / CASB / ZTNA / FWaaS
それぞれの役割は次のとおりです。
- SWG(Secure Web Gateway)
-
Web アクセスを検査し、URL フィルタリング、マルウェア検査、SSL インスペクション、DNS フィルタリングなどで、安全でない通信の流入を防ぎます。SWG が行う SSL インスペクションの考え方は、関連記事『FortiGate SSL Deep Inspection の設定手順|証明書警告の回避』も参考になります
- CASB(Cloud Access Security Broker)
-
利用者とクラウドサービスの間の実施点として、SaaS 利用の可視化・制御を行い、データ保護と脅威防御を提供します。
- ZTNA(Zero Trust Network Access)
-
信頼を前提にしない適応的なアクセス制御で、社内アプリケーションへの安全なリモートアクセスを実現します。
参考: Zscaler — What Is Security Service Edge (SSE)?
“an adaptive trust model, where trust is never implicit”
(信頼を暗黙に与えない、適応的なトラスト(信頼)モデル)
https://www.zscaler.com/resources/security-terms-glossary/what-is-security-service-edge-sse - FWaaS(Firewall as a Service)
-
NGFW(次世代ファイアウォール)の機能をクラウドから提供します。IPS やアンチマルウェア、Web セキュリティなどを含みます。
ZTNA は、従来の VPN の置き換えとして導入されることが多い機能です。場所を信頼の根拠にせず、アイデンティティと文脈に基づいてアプリ単位でアクセスを許可する点が、VPN との違いになります。
DLP / RBI などの追加機能
中核の 4 機能に加えて、保護を補強する機能があります。
- DLP(Data Loss Prevention)
-
機密データの外部流出を検知・防止します。SWG や CASB と連携して動作します。
- RBI(Remote Browser Isolation)
-
Web のコンテンツをリモートで隔離して実行し、端末に直接到達させないことで、Web 経由の脅威を抑えます。
このほか、DNS セキュリティ、サンドボックス、利用者の体験を可視化するデジタルエクスペリエンスモニタリングなどが提供される場合もあります。まず中核の SWG・CASB・ZTNA・FWaaS を押さえ、DLP・RBI などは保護を補強する位置づけと捉えると、各サービスの機能比較がしやすくなります。
近年は、これらに AI を活用したデータ保護や脅威検知が加わる動きが進んでおり、この点は最新動向のセクションで扱います。
導入形態の選び方(single-vendor SASE / SSE+SD-WAN)
SASE の導入形態は、大きく分けて、ネットワークとセキュリティを 1 つのベンダーで統合する「single-vendor SASE」と、それぞれを別ベンダーで組み合わせる構成があります。自社の既存資産や運用体制に合わせて選びます。
single-vendor SASE と 2 ベンダー構成
それぞれの特徴は次のとおりです。
- single-vendor SASE
-
SD-WAN と SSE を 1 つのベンダーで提供する形態です。管理画面・ポリシー・サポートが一本化され、運用を簡素化しやすくなります。
- 2 ベンダー構成(dual-vendor)
-
最適な SD-WAN と最適な SSE を別々に選び、API やサービスチェーンで連携させる形態です。Gartner はこれを「SASE alternatives」と呼びます。機能の自由度は高い一方、運用や性能面で統合型に劣る場合があります。
- SSE 先行
-
拠点が少なくクラウド・リモート主体であれば、まず SSE を導入する選択肢もあります。
参考: Palo Alto Networks(Gartner の定義を引用)
“a single-vendor SASE delivers converged network and security capabilities”
(single-vendor SASE は、統合されたネットワークとセキュリティの機能を提供する)
https://seekingalpha.com/pr/19291009-palo-alto-networks-named-a-leader-in-the-gartner-magic-quadrant-for-sse
単一ベンダーは運用の簡素さと統合性、2 ベンダー構成は機能ごとの最適化(ベストオブブリード)に向きます。 既存の SD-WAN 資産(FortiGate や Cisco の SD-WAN など)の有無、拠点数、ネットワークチームとセキュリティチームの分担などを踏まえて選ぶことを推奨します。
主要サービスの位置づけ(Gartner の評価)
Gartner は、セキュリティ部分を評価する「SSE」と、ネットワークを含む「SASE Platforms」の 2 つのマジッククアドラントを公開しています。2025 年版での位置づけは次のとおりです(評価は毎年更新されるため、最新版の確認を推奨します)
- SSE(2025 年版)
-
リーダーは Zscaler・Netskope・Palo Alto。Fortinet はチャレンジャーに位置づけられています。(https://www.bankinfosecurity.com/zscaler-netskope-palo-alto-top-sse-gartner-magic-quadrant-a-28565 )
- SASE Platforms(2025 年版)
-
リーダーは Cato・Fortinet・Netskope・Palo Alto。Cisco と Versa はチャレンジャー、Cloudflare と Zscaler はビジョナリーに位置づけられています。
(https://www.channelfutures.com/sdn-sd-wan/cato-fortinet-among-sase-magic-quadrant-leaders )
主要サービスの性格を整理すると、次のようになります。
- Zscaler(Zero Trust Exchange)
-
SSE を中心とし、SD-WAN は他社と連携する構成です。
- Netskope(One SASE / One SSE)
-
両方のマジッククアドラントでリーダーに位置づけられています。
- Palo Alto(Prisma Access / Prisma SASE)
-
SSE・SASE の両方でリーダーに位置づけられた統合プラットフォームです。
- Fortinet(FortiSASE)
-
FortiOS をベースとし、既存の FortiGate や Secure SD-WAN との親和性が特徴です。
- Cisco(Cisco Secure Access)
-
Duo / ISE との連携や、Hybrid ZTNA と VPNaaS の併用が特徴です。
- Cato・Versa
-
single-vendor SASE を提供するベンダーです。
各サービスの設計ポイント・設定方法・よくあるトラブルと対処は、製品別の記事で個別に扱う予定です(公開後にリンクを設置します)。
SASE / SSE の最新動向
SASE / SSE は変化の速い領域です。ここでは、押さえておきたい動向を整理します。
SSE と SD-WAN の収束、single-vendor SASE への流れ
近年は、SSE と SD-WAN を統合 SASE プラットフォームへ収束させる動きが進み、ネットワークとセキュリティを単一ベンダーで購入する傾向が強まっています。中小規模の組織だけでなく、大規模組織でも、複雑さの低減やコスト効率を理由に、ベンダーを集約する流れが見られます。
参考: Channel Futures(Gartner の予測を引用)
“By 2028, 70% of SD-WAN purchases will be part of single-vendor SASE”
(2028 年までに、SD-WAN 購入の 70% が single-vendor SASE の一部になる)
https://www.channelfutures.com/sdn-sd-wan/cato-fortinet-among-sase-magic-quadrant-leaders
同じ調査では、この割合は 2025 年時点の 25% からの増加とされています。一方で、SWG や ZTNA といった基本機能はコモディティ化が進み、差別化の軸は、SaaS アプリ対応・利用体験の可視化(DEM)・高度なデータ保護といった領域へ移りつつあります。
AI 活用・ブラウザセキュリティなど
機能面では、次のような動向が見られます。
- AI の活用
-
機密データの検出・分類、脅威検知、運用の自動化に AI を用いる動きが進んでいます。背景には、SaaS や生成 AI の利用拡大により、保護すべきデータが増えていることがあります。
- ブラウザセキュリティ
-
ブラウザを検査やテレメトリの起点とする考え方や、エンタープライズブラウザの活用が広がっています。RBI(リモートブラウザ分離)と組み合わせ、Web・SaaS 利用の保護を強化する方向です。
- ZTNA の拡張
-
オンプレミスでの終端を含む、より広い用途に対応する動き(ユニバーサル ZTNA)が見られます。
これらの動向は、製品選定の際の比較軸にもなります。基本機能が横並びになりつつあるなかで、データ保護・AI・利用体験といった領域で各サービスがどのような強みを持つかを見ると、選定の判断材料になります。
まとめ
- SASE は、ネットワーク(SD-WAN)とセキュリティをクラウドから統合提供するアーキテクチャで、2019 年に Gartner が提唱しました。
- 制御の基準は「アクセス元の場所」ではなく、アイデンティティと文脈に移りました。
- SSE は SASE のセキュリティ部分(SWG・CASB・ZTNA・FWaaS)で、SD-WAN を含みません。
- SASE と SSE の違いは「SD-WAN(ネットワーク)を含むかどうか」です。
- 中核コンポーネントは SWG・CASB・ZTNA・FWaaS で、DLP・RBI などが保護を補強します。
- 導入形態は single-vendor SASE と 2 ベンダー構成があり、既存資産と運用体制で選びます。
- 市場は single-vendor SASE への収束が進み、差別化はデータ保護・AI・利用体験へ移りつつあります。
以上、最後までお読みいただきありがとうございました。
