SASEを構成する要素を完全解説|SD-WAN・SWG・CASB・ZTNA・FWaaSの役割と選び方
リモートワーク・SaaS活用が当たり前となり、企業ネットワークの『境界』が曖昧になった現在、新しい標準として注目を集めているのがSASE(Secure Access Service Edge)です。
2019年に米Gartnerが提唱したこのアーキテクチャ概念は、もはや大企業だけのものではなく、中堅・中小企業でも段階導入が現実的な選択肢になっています。一方で、「SASEに何が含まれるのか」「自社に必要な要素はどれか」を体系的に説明する情報は意外と少ないのが現状です。
本記事では、SASEを構成する5つの主要コンポーネント(SD-WAN/SWG/CASB/ZTNA/FWaaS)と関連機能について、それぞれの役割・代表機能・なぜ必要かを実務目線でわかりやすく解説し、自社にフィットする組み合わせの選び方までを整理します。
SASEとは|「ネットワーク機能 × セキュリティ機能」のクラウド統合
SASE(サシー/サッシー)は、これまで個別に存在していたネットワーク機能とセキュリティ機能を、クラウド上で1つのサービスとして統合するアーキテクチャです。
従来の境界型ネットワークとの違い
オフィスにUTM/ファイアウォールを置き、社内LANから外部に出る通信を境界で守る「境界型防御」は、社員がオフィスに出社して業務を行う前提では十分機能しました。しかし、リモートワーク/クラウドサービス/モバイル端末が当たり前になった現在、守るべき対象が社内ネットワークの中にあるという前提が崩れています。
SASEは、この前提を「あらゆる場所のユーザー・端末」を守る発想に切り替えた仕組みです。
▶ 関連記事:SASEとUTMの違いを徹底比較|クラウド時代に選ぶべきセキュリティは?
SASEを構成する5つの主要コンポーネント+α
SASEは単一の製品ではなく、以下の5つの主要機能群がクラウドで統合された総称です。
- SD-WAN(ネットワーク最適化)
- SWG(Web通信のセキュアゲートウェイ)
- CASB(SaaS利用の可視化・制御)
- ZTNA(VPNに代わるゼロトラストアクセス)
- FWaaS(クラウド型ファイアウォール)
さらに関連機能としてDLP(情報漏えい防止)/RBI(リモートブラウザ分離)/DNSセキュリティなどを組み合わせるのが一般的です。それぞれを順に見ていきます。
① SD-WAN|拠点間通信の最適化とインターネットブレイクアウト
SD-WAN(Software-Defined WAN)は、複数拠点をつなぐWAN(拠点間ネットワーク)をソフトウェアで柔軟に制御する技術です。
主な役割と機能
- 複数回線の自動切り替え:MPLS/専用線/インターネット/LTEなどを動的に最適化
- インターネットブレイクアウト:SaaSトラフィックは本社経由ではなく、拠点から直接インターネットへ
- QoS(品質制御):業務アプリ/Web会議など重要トラフィックを優先
- 運用の集中管理:拠点ごとに設定する手間を削減
なぜSASEに必要か
クラウドサービスが業務基盤になった今、すべての通信を本社のUTMに集約して検査する旧来のWAN設計は遅延と帯域逼迫の原因になります。SD-WANは「インターネット直結+クラウドセキュリティ検査」というSASEの基本動線を実現する土台です。
② SWG|Webアクセスの脅威防御とフィルタリング
SWG(Secure Web Gateway)は、ユーザーがWebサイトにアクセスする際の通信をクラウド上で検査し、悪性サイト・カテゴリ違反サイトを遮断する仕組みです。
主な役割と機能
- URLフィルタリング:業務外サイト・危険サイト・規制カテゴリの遮断
- マルウェア検知:Webからのダウンロードファイルを検査
- SSL/TLS可視化:暗号化通信の中身を復号化して検査
- サンドボックス:未知ファイルを仮想環境で実行し挙動分析
- RBI(Remote Browser Isolation)連携:危険な可能性のあるサイトをクラウド上で実行し、レンダリング結果のみ転送
従来のプロキシサーバとの違い
社内に設置していた従来のプロキシ/URLフィルタは、リモートワーカーの通信が経路に入らないという致命的な弱点がありました。SWGはクラウド上で同じ機能を提供し、社員がどこにいても同じポリシーで保護できます。
③ CASB|SaaS利用の可視化と制御
CASB(Cloud Access Security Broker)は、Microsoft 365・Google Workspace・Salesforce・BoxなどクラウドSaaSの利用状況を可視化・制御するセキュリティレイヤーです。
主な役割と機能
- シャドーIT検出:会社が把握していない非承認SaaSの利用を可視化
- SaaS設定の継続診断(SSPM):M365/GW等の設定不備を自動検出
- SaaS内データのDLP:機密情報のクラウド保存・共有を検知・制御
- マルウェアスキャン:SaaSにアップロードされたファイルを検査
- ユーザー行動分析(UEBA):異常なダウンロード・大量送信を検知
2つの動作モード
- API連携モード:SaaS事業者のAPIを通じて、保存後のデータを継続的にスキャン
- プロキシモード:通信経路に入り、リアルタイムにブロック・改変
両モードを組み合わせることで「業務利用中の制御」と「保存データの管理」の両面をカバーできます。
④ ZTNA|VPNに代わるゼロトラスト型リモートアクセス
ZTNA(Zero Trust Network Access)は、従来のVPNに代わるゼロトラスト原則に基づくリモートアクセス方式です。
VPNの限界
- 一度認証すれば社内ネットワーク全体にアクセス可能 → 侵害時の被害が広範に
- VPN機器の脆弱性悪用が攻撃の主要侵入経路化(ランサム被害の最頻パターン)
- ユーザー増加で集中/遅延/帯域逼迫が発生
- BYOD・取引先・委託先の管理が困難
ZTNAの基本原則
- 「誰が/どの端末で/どのアプリに」アクセスするかでポリシーを判断
- 必要なアプリにだけアクセス可(社内ネットワーク全体に通すことはしない)
- 常に継続的に検証(一度OK=ずっとOKではない)
- デバイス信頼性チェック(OSパッチ・EDR有無・盗難端末の遮断など)
▶ 関連記事:「ゼロトラスト」って何?中小企業でも実践できる考え方と最初の一歩
SASEにおけるZTNAの位置づけ
SASEの中で、『リモートアクセス領域からまずSASE化を始める』のがほとんどの企業の最初の一歩になります。VPN廃止+ZTNA導入は、ランサム被害の主要侵入経路を断つ即効性の高い対策でもあります。
⑤ FWaaS|クラウド型ファイアウォール
FWaaS(Firewall as a Service)は、従来オフィスに設置していたUTM/ファイアウォール機能をクラウド上のサービスとして提供する仕組みです。
主な機能
- ステートフルパケットインスペクション(従来FWと同等)
- IPS/IDSによる侵入検知・防御
- アプリケーション識別・制御
- サービス間のセグメンテーション制御
従来UTMとの違い
- 機器購入不要(拠点ごとのUTM配備が不要)
- クラウドでスケールするため、トラフィック増加にも自動対応
- ポリシー一元管理(拠点ごとの設定差分が発生しない)
- SD-WAN/SWG/CASB/ZTNAと同一プラットフォーム上で連携
関連機能|DLP・RBI・DNSセキュリティ
5つの主要コンポーネント以外にも、SASEの一部または併用機能としてよく組み合わされる要素があります。
DLP(Data Loss Prevention)
機密情報・個人情報・財務情報などが社外に持ち出されることを検知・遮断する仕組み。SWG/CASBと連携して、Web経由・SaaS経由のデータ流出を制御します。
RBI(Remote Browser Isolation)
危険な可能性のあるWebサイトをクラウド上の隔離ブラウザで実行し、画面の描画結果だけをユーザー端末に送る仕組み。マルウェア感染リスクをほぼゼロにできます。
DNSセキュリティ
DNSクエリ段階で悪性ドメインを遮断する仕組み。SWGよりも軽量で、初期感染・C&C通信を早い段階で止められる利点があります。
SaaSセキュリティポスチャ管理(SSPM)
CASBの一機能として実装されることが多く、M365/GW/Salesforce等の設定が安全かを継続診断します。設定ミス起因のインシデントが多い昨今、価値が再評価されています。
SASEとSSEの関係
SASEから「SD-WAN(ネットワーク最適化)」を除き、セキュリティ機能だけを束ねた概念がSSE(Security Service Edge)です。
| 概念 | 含まれるもの | 選ばれる主な理由 |
|---|---|---|
| SASE | SD-WAN + SWG + CASB + ZTNA + FWaaS | ネットワーク基盤も刷新したい |
| SSE | SWG + CASB + ZTNA + FWaaS(SD-WAN除く) | 既存のWAN/SD-WANは継続利用したい |
SD-WANを既存ネットワーク機器ベンダーで構築済みの企業は、SSEを中心に据え、SD-WAN/FWaaSは別ベンダーで補完するハイブリッド構成を選ぶケースが増えています。
シングルベンダー型 vs ベストオブブリード型
SASE/SSEの実装には大きく2つのアプローチがあります。
シングルベンダーSASE
1つのベンダーが全コンポーネントを提供する方式。代表例: Cisco/Netskope/Zscaler/Cato Networks/Palo Alto Networks/Fortinet 等。
- 管理コンソール統合・ポリシー一元化
- 運用負荷を最小化
- ベンダーロックインのリスクは存在
ベストオブブリード型
各コンポーネントごとに最強の製品を組み合わせる方式。
- 機能の最先端性で勝る
- 運用負荷・コスト・統合工数が増加
- SOCを内製する大企業向け
中小〜中堅企業の選び方
運用人員が限られる組織は、シングルベンダーSASE/SSEを基本とし、必要に応じて1〜2機能だけ別ベンダーで補完する構成が現実的です。
段階導入の現実解|中小企業向けロードマップ
SASEを「全部一気に導入する」のは現実的ではありません。優先度の高い領域から段階的に整備します。
STEP 1|まず取り組むべきこと
- リモートアクセスのZTNA化(VPN廃止または併用)
- 多要素認証(MFA)の徹底
- 主要SaaS(M365/GW)の設定診断と権限見直し
STEP 2|半年〜1年で整備したい対策
- SWGによるWebセキュリティのクラウド化(プロキシ廃止/ローカルブレイクアウト)
- CASBでSaaS利用の可視化と制御
- DLPとの連携で情報漏えい監視を強化
STEP 3|中長期で目指したい体制
- FWaaS/SD-WANによるネットワーク基盤刷新(拠点UTMの更改タイミングと連動)
- SOC/MSSPによる常時監視(XDR連携)
- RBI・DNSセキュリティで未知脅威への耐性を強化
まとめ:「全部入り」ではなく「自社の入り口」から
SASEは、SD-WAN・SWG・CASB・ZTNA・FWaaSという5つの主要コンポーネント+関連機能(DLP/RBI/DNS/SSPM)の集合体です。すべてを一気に揃える必要はなく、自社の「最も困っている領域」「リスクが高い領域」から段階的に置き換えていくのが王道です。
中小企業の場合、最初の一歩としては「ZTNAでVPN問題を解決」「SWG/CASBでクラウド利用を可視化・制御」の2つが特に費用対効果が高く、ランサム被害・情報漏えいの主要リスクを大きく低減できます。
c-compe.comでは、SASE/SSE関連製品を含む法人向けセキュリティを複数ベンダーで比較・お見積もりできます。自社にフィットするSASE構成のご相談はお気軽にお問い合わせください。