はじめに
リモートワークが当たり前になった現在、多くの企業がセキュリティ対策として SASE(サシー) を導入しました。 しかし、導入から数年が経過し、現場からはこんな「悲鳴」が聞こえてきていないでしょうか?
- 「Web 会議が頻繁に途切れる、遅延する」
- 「セキュリティ機能を追加したら、動作が重くなった」
- 「ユーザー数が増えて、ライセンスコストが想定外に膨らんだ」
コロナ禍で急ピッチで導入したツールの「ひずみ」が、今まさに顕在化してきています。 もし「遅い・高い・使いにくい」と感じているなら、それは SASE の製品選定や構成を見直す(リプレイスする)サインかもしれません。
本記事では、SASE 導入後に陥りがちな課題の原因と、近年注目されているよりスリムな選択肢 「SSE(Security Service Edge)」 について解説します。
- 原因: なぜ SASE は「遅く」なり「高く」つくのか?
- トレンド: SASE から SD-WAN を抜いた 「SSE」 とは?
- 比較: リプレイス検討時の主要ベンダー 8 選と選び方
基本: 3分で振り返る「SASE(サシー)」とは
SASE(Secure Access Service Edge)は、2019年にガートナー社が提唱した、「ネットワーク機能」と「セキュリティ機能」をクラウド上で統合して提供する という考え方です。
今までバラバラだった「つなぐ技術(SD-WANなど)」と「守る技術(ファイアウォールなど)」を、ひとまとめにしてクラウドから提供してしまおう、というものです。
イメージは「クラウド上の高性能な検問所」
従来は、リモートワークをする際も一度「本社のデータセンター」に VPN で接続し、そこでセキュリティチェックを受けてからインターネットに出ていました。これでは、本社への通信が渋滞し、Zoom や Teams がカクついてしまいます。
一方 SASE は、ユーザーのすぐ近く(クラウド上)にある「検問所」 を通ります。
- 検問(セキュリティ)
-
「怪しい人じゃない?」「ウイルス持ってない?」をチェック
- 交通整理(ネットワーク)
-
「Zoom ならあっちの高速道路を使って」「社内サーバーならこっちの道」と最短ルートを案内
この2つをクラウド上で一気に行うことで、「どこにいても、安全かつ快適に」 業務ができる環境を実現するのが SASE の本質です。
課題: なぜ「SASE は遅い・高い」と言われるのか?(見直しの3大ポイント)
「導入すれば全て解決する」と言われていた SASE ですが、なぜ数年経って「不満」が出てくるのでしょうか? その原因は、大きく 3 つのポイントに集約されます。
遅延(Slow):検問所が遠すぎる問題
「Web 会議がカクつく」「ファイルのアップロードが遅い」この最大の原因は PoP(ポップ:接続点) の場所にあります。
- 物理的な距離
-
SASE は一度クラウド上の PoP を経由します。もし契約したベンダーの PoP が国内に少ない、あるいは海外にしかなければ、通信はわざわざ遠回りすることになり、物理的な遅延が発生します。
- 処理能力不足
-
全ての通信を暗号化・復号(SSL インスペクション)して検査するのは、非常に重い処理です。ベンダーのクラウド基盤が脆弱だと、夕方の混雑時などに処理が追いつかず、通信詰まり(ボトルネック)が起きてしまいます。
コスト(Expensive): 機能重複と円安のダブルパンチ
「思ったより安くならなかった」という声もよく聞きます。
- 機能の重複
-
SASE を導入したのに、既存のファイアウォールや VPN 装置を捨てきれず、「二重投資」 になっていませんか?
- 為替の影響
-
多くの SASE ベンダーは海外企業であり、ライセンス費用はドル建て(またはドル連動)が基本です。近年の急激な円安により、更新時の見積もりが数年前の 1.5 倍近くに跳ね上がるケースも珍しくありません。
運用(Management): ツールの継ぎ接ぎ(マルチベンダーの弊害)
「SASE」と一口に言っても、実は「SD-WAN は A社、セキュリティは B社」のように複数の製品を組み合わせて(マルチベンダーで)構築しているケースがあります。
- 管理画面がバラバラ
-
ポリシー変更のたびに複数の管理画面を行き来する必要があり、運用工数が減りません。
- 障害時のたらい回し
-
繋がらない」というトラブルが起きた際、ネットワークの問題なのかセキュリティの問題なのか切り分けが難しく、ベンダー間での責任の押し付け合いが発生しがちです。
構成要素: SASE を支える機能群(SSE + SD-WAN)
リプレイスを検討する上で、知っておくべき用語が 「SSE(Security Service Edge)」 です。 アルファベットばかりで頭が痛くなりそうですが、数式にすると非常にシンプルです。
SASE = SD-WAN(ネットワーク) + SSE(セキュリティ)
つまり、SASE から「ネットワーク機能(回線制御など)」を抜き出し、「セキュリティ機能」だけに特化したセット商品 が SSE です。
- SASE: 拠点間通信(SD-WAN)も、リモートアクセスも全部まとめて面倒を見る。
- SSE: 拠点間通信は今のままでいい。リモートワークのセキュリティだけ強化したい。
「SD-WAN は既存のルーターで十分」という企業が、無理にフルスペックの SASE を導入するとコスト高になります。今の課題に合わせて 「SSE だけ導入する」 という選択肢が、コスト適正化の鍵となります。
SSE を構成する「3種の神器」
SSE(SASEのセキュリティ部分)は、主に以下の 3 つの機能で構成されています。これらが連携して、徹底的な防御を行います。
ZTNA(Zero Trust Network Access)/ 脱VPN
- 役割
-
社内システムへの安全なアクセス
- 解説
-
従来の VPN の代わりとなる機能です。「一度繋げば社内ネットワークが見放題」の VPN と違い、「許可された特定のアプリだけ」 に接続させます。万が一 ID が漏れても、被害を最小限に抑えられます。
SWG(Secure Web Gateway)/ 安全な Web 閲覧
- 役割
-
インターネットアクセスの監視・制御
- 解説
-
危険なサイトへのアクセスをブロックしたり、ダウンロードファイルにウイルスがないか検査します。URL フィルタリングの超高機能版と考えてください。
CASB(Cloud Access Security Broker)/ クラウドの可視化
- 役割
-
SaaS(Box, Microsoft 365, Slackなど)の利用制御
- 解説
-
「会社が許可していないクラウドストレージへのアップロードを禁止する(シャドー IT 対策)」や「機密情報が含まれるファイルの送信を止める(DLP)」など、クラウド利用時の情報漏えいを防ぎます。
比較: 主要ベンダー8選と選び方のコツ
リプレイスを成功させるための最大の鍵は、「シングルベンダー」か「ベストオブブリード」か という選択です。
シングルベンダー SASE
- 特徴
-
ネットワークもセキュリティも、1社のプラットフォームで完結させる。
- メリット
-
管理画面が1つで運用が楽。責任分界点が明確。遅延が起きにくい(最適化されている)
- 向いている企業
-
「遅い・高い・管理が面倒」を解消したい企業
ベストオブブリード(Best of Breed)
- 特徴
-
SD-WAN は A 社、SWG は B 社のように、各分野の No.1 製品を組み合わせる。
- メリット
-
各機能で最高レベルの要件を満たせる。
- 向いている企業
-
特定のセキュリティ機能に極めて細かい要件がある大企業
現在のトレンドは、運用の複雑さと遅延を解消するため、「シングルベンダー」への回帰 が進んでいます。
代表的な SASE/SSE ベンダーの特徴
| ベンダー | 分類 | 特徴と「遅延・コスト」への効果 |
| Cato Networks | Single Vendor SASE | 真のクラウドネイティブ 世界中に自前のバックボーン回線を持つため、「遅延」解消に強い。管理画面がシンプルで、情シスの運用負荷(コスト)を激減させる。 |
| Zscaler | SSE | SSE の代名詞 セキュリティ(プロキシ)分野の絶対王者。SD-WAN 機能は持たないため、他社ルーターと組み合わせる必要がある。実績重視ならこれ。 |
| Palo Alto Networks (Prisma Access) | SASE / SSE | セキュリティ最強 高機能だが、設定が複雑でコストも高めになる傾向がある。「高くても最高レベルのセキュリティが必要」な企業向け。 |
| Fortinet (FortiSASE) | Single Vendor SASE | コスパ最強 既存の FortiGate を活用できるため、導入コストを圧倒的に抑えられる。中小〜中堅企業の「コスト削減」リプレイスで人気。 |
| Cisco (Secure Connect) | SASE | ネットワークの巨人 社内 LAN が Cisco 製品(Meraki など)で統一されている場合、親和性が高く管理しやすい。 |
| Netskope | SSE | CASB/DLP に強い データの可視化や漏えい対策に定評がある。セキュリティ重視の SSE として Zscaler の強力なライバル。 |
| Cloudflare (Cloudflare One) | SASE | 爆速ネットワーク CDN(コンテンツ配信)の基盤を使うため、とにかく通信速度が速い。Web アクセスのパフォーマンス重視なら候補。 |
| Versa Networks | Unified SASE | SD-WAN 特化 高度な SD-WAN 機能を持ち、オンプレミスとクラウドのハイブリッド構成が得意。通信キャリアのサービス基盤としてよく採用される。 |
まとめ
本記事では、SASE 導入後に発生する「遅延」や「コスト増」の原因と、その解決策としての SSE、そしてベンダー選びのポイントを紹介しました。
- 見直しのサイン: 「Web 会議が遅い」「円安で更新費が高い」「管理が複雑」はリプレイスの合図
- SSE という選択: 必ずしもフルスペックの SASE は必要ない。既存回線を活かしてセキュリティだけ強化する 「SSE」 も検討する。
- 統合のメリット: 継ぎ接ぎの構成をやめ、「シングルベンダー」 に統一することで、パフォーマンスと運用効率は劇的に改善する。
数年前、コロナ禍対応として「とりあえず急いで導入した SASE」は、その役割を十分に果たしたと思いjます。 しかし、ビジネス環境が落ち着いた今こそ、自社のネットワークを「最適化」する時期かもしれません。
以上、最後までお読みいただきありがとうございました。
