SASE(サシー)とは?クラウド時代の新しいVPN「VPN as a Service」を徹底解説
「テレワークで VPNが遅い・繋がりにくい」
「Microsoft 365 や Box などクラウドサービスのトラフィックで 本社VPN装置が悲鳴を上げている」
「拠点・在宅・出張中のスマホで セキュリティ設定がバラバラになり管理しきれない」
こうした課題を抱える企業が今、急速に注目しているのが SASE(サシー:Secure Access Service Edge) です。
SASE は ネットワーク機能とセキュリティ機能をクラウド上に統合 した次世代のサービスモデルで、
「クラウド型VPN」「VPN as a Service」として導入する企業が増えています。
本ページでは、SASEの基本概念から従来VPNとの違い、主要構成技術(SWG・CASB・ZTNA・FWaaS・SD-WAN)、導入メリット、製品選定のポイントまで、まとめて解説します。
SASE(サシー)とは?
SASE(Secure Access Service Edge) は、米国の調査会社 Gartner 社が2019年に提唱 した、ネットワークとセキュリティを統合した新しいクラウド型サービスモデルです。読み方は「サシー」または「セイシー」。
従来は、ファイアウォール・VPN・プロキシ・URLフィルタ・ウイルス対策といった機能を、それぞれ別々の機器(アプライアンス)として本社や拠点に設置していました。SASE では、これらの機能を すべてクラウド上の一つのサービスとして提供 し、ユーザーがどこにいても近くのクラウド拠点(PoP:Point of Presence)経由でインターネットや社内システムに安全にアクセスできるようにします。
端的に言えば、SASE は 「クラウド版のセキュリティ+ネットワーク統合サービス」 であり、その一機能として VPN(リモートアクセス)が含まれているため、「VPN as a Service」 と呼ばれることも多いのです。
📌 SASEを構成する2つの大きな要素
| 分類 | 含まれる主な機能 |
|---|---|
| ネットワーク機能 (WAN Edge Services) |
SD-WAN/WAN最適化/キャリアサービス/コンテンツ配信 |
| セキュリティ機能 (Security Service Edge:SSE) |
SWG(セキュアWebゲートウェイ)/CASB(クラウドアクセス制御)/ZTNA(ゼロトラストネットワークアクセス)/FWaaS(クラウド型FW)/DLP(情報漏えい対策) |
※ セキュリティ機能だけを切り出したものを SSE(Security Service Edge) と呼びます。「まずは VPN 置き換えから始めたい」という企業は SSE から導入し、後から SD-WAN を追加して SASE 完成形にステップアップする方式が一般的です。
従来型VPNの限界とSASEで解決できる課題
⚠️ 従来型VPN(拠点設置型)で起きている問題
- 本社VPN装置がボトルネック:在宅勤務者全員のトラフィックが一旦本社を経由し、装置の処理能力やライセンス数が限界に。
- クラウドサービスが遅い:Microsoft 365 や Google Workspace、Zoom などのクラウド利用も「在宅 → VPN → 本社 → インターネット」と遠回りするため遅延が発生。
- VLAN内に入れば全部見える:VPN接続するとIPベースで広い範囲にアクセスでき、マルウェア感染端末から横展開(ラテラルムーブメント)されやすい。
- 機器更新・パッチ運用が重い:VPN装置・FW装置の脆弱性攻撃が多発し、迅速なパッチ適用と機器リプレース対応が常時必要。
- 拠点ごとに設定がバラバラ:本社・支店・工場・在宅・出張先で異なるセキュリティポリシーになり、管理しきれない。
✅ SASEで解決できること
- ユーザーの最寄りクラウド拠点(PoP)に直接接続するため、本社を経由せず低遅延でクラウド利用可能。
- ユーザー単位・アプリ単位で細かくアクセス制御するゼロトラスト方式に変わり、横展開リスクを大幅低減。
- 機器ではなくクラウドサービスのため、パッチ運用・機器リプレースから解放される。
- クラウドコンソールで全社ポリシーを一元管理。在宅も拠点もモバイルも同じセキュリティを適用できる。
SASEを構成する主要技術(SWG/CASB/ZTNA/FWaaS/SD-WAN)
SASE は単一の技術ではなく、複数のセキュリティ・ネットワーク技術の組み合わせで実現されます。それぞれが何の役割を担うのか、整理して解説します。
🛡️ SWG(Secure Web Gateway/セキュアWebゲートウェイ)
社員がアクセスするWebサイトを クラウド上でフィルタリング・検査 する機能です。URLフィルタ、ウイルス/マルウェアスキャン、SSL通信の復号検査、危険なファイルダウンロードのブロックなどを担当します。従来は社内に設置していたプロキシサーバーの役割をクラウドが代行するイメージです。
☁️ CASB(Cloud Access Security Broker/キャスビー)
Microsoft 365・Google Workspace・Box・Salesforce など、クラウドサービスへのアクセスを可視化・制御 する仕組みです。「個人アカウントの Gmail へのファイルアップロードを禁止」「会社契約以外のクラウドストレージを検出」など、シャドーIT対策に有効です。
🔐 ZTNA(Zero Trust Network Access/ゼロトラストネットワークアクセス)
従来VPNの直接の置き換えとなる機能です。「ネットワーク」ではなく「アプリケーション単位」で接続 を許可し、ユーザー・端末・状況(場所・時刻・端末状態)を毎回検証してからアクセスを許可します。「社内ネットワークに入る」のではなく「特定のアプリだけに穴を開ける」ため、感染端末の横展開を防げます。
🔥 FWaaS(Firewall as a Service/クラウド型ファイアウォール)
従来本社や各拠点に設置していた UTM/ファイアウォール装置をクラウドサービス化 したものです。次世代FW(NGFW)相当のアプリケーション制御、IPS(侵入防止)、サンドボックスなどを含み、機器のリース・更新・パッチ管理が不要になります。
🌐 SD-WAN(Software-Defined WAN)
拠点間ネットワークを ソフトウェアで柔軟に制御 する技術です。インターネット回線・LTE・専用線などを束ねて使い、通信内容に応じて最適な経路を自動選択します。SASE では SD-WAN を入口として、クラウド上のセキュリティ機能(SSE)と組み合わせて利用します。
📤 DLP(Data Loss Prevention/情報漏えい対策)
マイナンバー・クレジットカード番号・機密情報などが社外へ送信されていないかを 通信内容レベルで監視・ブロック する機能です。SWG・CASB と連携して、クラウド・メール・Webアップロードを横断的に保護します。
SASE導入の5つのメリット
SASE導入が向いている企業・利用シーン
従来型VPN vs SASE 比較表
| 比較項目 | 従来型VPN(アプライアンス) | SASE(VPN as a Service) |
|---|---|---|
| 導入形態 | 本社・拠点に物理装置を設置 | クラウドサービス(PoP経由) |
| 通信経路 | 在宅→本社→インターネット(U字型・遠回り) | 在宅→最寄PoP→インターネット(最短経路) |
| アクセス制御 | IP/ネットワーク単位(広範囲) | ユーザー/アプリ単位(最小権限) |
| 感染拡大リスク | VPN接続後にラテラルムーブメント可能 | アプリ単位接続のため横展開を防止 |
| スケーラビリティ | 機器のスペック上限が壁になる | クラウド側で自動スケール |
| 初期費用 | 機器購入・構築費で高額(数百万円〜) | 低額(初期費+月額サブスク) |
| 運用負担 | パッチ・脆弱性対応・機器リプレース必須 | クラウド側で自動更新(運用不要) |
| 管理コンソール | 機器ごと・拠点ごとに別管理 | クラウドで全社一元管理 |
| 適したシーン | 社内システム中心・在宅少数の企業 | クラウド利用・テレワーク・多拠点企業 |
製品選定のポイント・チェックリスト
SASE は提供ベンダーによって含まれる機能・PoP拠点数・課金方式が大きく異なります。自社の課題に合った製品を選ぶための7つのチェックポイントをご紹介します。
| No | チェック項目 | 確認内容 |
|---|---|---|
| 1 | 提供機能の範囲 | ZTNA/SWG/CASB/FWaaS/DLP のうち、どこまで含まれるか。SD-WAN 連携可能か。 |
| 2 | 国内PoP拠点の有無 | 日本国内(東京・大阪)にPoPがあるか。海外PoPだと遅延の原因になる。 |
| 3 | 既存環境との連携 | Microsoft Entra ID(旧Azure AD)等のIdP連携、既存EDR/SIEMとのログ連携が可能か。 |
| 4 | 導入対象範囲 | PC のみか、スマホ・タブレットも対応か。エージェントレスでブラウザのみ利用可能か。 |
| 5 | 段階導入の可否 | まず ZTNA だけ → 後で CASB/SWG 追加といったステップ導入ができるか。 |
| 6 | 課金体系 | ユーザー単位/トラフィック量/機能セット単位のどれか。最低契約数・最低期間。 |
| 7 | サポート・運用支援 | 日本語サポートの有無、24時間対応、初期設計・移行支援サービスの有無。 |
アーデントでは、デジタル化・AI導入補助金を活用したSASE/VPN as a Service の導入をサポートしています。
補助金を活用することで、初期導入費用・初年度ライセンス費用の負担を大幅に抑えることが可能です。
自社に最適な製品選定から申請書類の作成、導入・運用までワンストップでお任せください。
よくある質問(FAQ)
Q1. SASE を導入すると、今ある VPN 装置はすぐ捨てる必要がありますか?
A. いいえ、段階的な移行が一般的です。まずは在宅勤務者やテストグループから SASE(ZTNA)に切り替え、効果を確認しながら全社展開します。最終的に VPN 装置のリース満了や保守切れのタイミングで完全廃止するスケジュールがおすすめです。
Q2. SASE と SSE の違いは何ですか?
A. SASE は「ネットワーク機能(SD-WAN等)+セキュリティ機能」を統合した概念です。一方 SSE(Security Service Edge)は SASE のうち セキュリティ機能のみを切り出したもの で、SWG/CASB/ZTNA/FWaaS が含まれます。多くの企業は「まず SSE 導入 → 後から SD-WAN を追加して SASE 完成形」というステップを踏みます。
Q3. 中小企業でも SASE は導入できますか?
A. はい、SASE はサブスクリプション型のため、数十名規模の中小企業でも導入できます。むしろ専任の情報システム部門がない企業ほど、機器運用が不要な SASE のメリットは大きいといえます。デジタル化・AI導入補助金を活用すれば、コスト負担も抑えられます。
Q4. 既存のEDRやウイルス対策ソフトと併用できますか?
A. もちろん可能です。SASE は ネットワーク層 のセキュリティを担当し、EDR は エンドポイント(端末) を担当するため役割が異なります。両者を組み合わせることで、入口・出口・端末すべてを守る多層防御を実現できます。SASE 側のログを EDR/SIEM と連携することで、相関分析も可能です。
Q5. SASE 導入までの期間はどれくらいかかりますか?
A. 規模や機能範囲によりますが、ZTNAだけのスモールスタートなら最短2〜4週間、本格的なSASE展開で2〜6ヶ月 が目安です。既存のIdP(Microsoft Entra ID等)との連携設計、アクセスポリシー設計、利用者へのエージェント配布などのステップを踏みます。
お問い合わせ
SASE/VPN as a Service の導入をご検討の方は、ぜひお気軽にご相談ください。
アーデントでは、お客様の現状(拠点数・テレワーク比率・クラウド利用状況)をヒアリングしたうえで、最適な製品の選定から、デジタル化・AI導入補助金の申請サポート、導入・運用までワンストップでサポートしています。