SASE/SSE導入ガイド — 中小企業でも手が届くネットワークセキュリティの最適解
SASEとSSEとは
SASE(Secure Access Service Edge)
SASE(サシー)は、ネットワーク機能とセキュリティ機能をクラウド上で統合するアーキテクチャです。Gartnerが2019年に提唱した概念で、従来はオフィスに設置していたファイアウォール、プロキシ、VPN装置などを、クラウドサービスとして提供します。
SASEの構成要素は大きく2つに分かれます。ネットワーク側のSD-WAN(Software-Defined Wide Area Network)と、セキュリティ側のSSEです。
SSE(Security Service Edge)
SSE(エスエスイー)は、SASEのセキュリティ機能のみを切り出した概念です。具体的には、SWG(Secure Web Gateway、Webアクセスのフィルタリング)、CASB(Cloud Access Security Broker、SaaS利用の可視化・制御)、ZTNA(Zero Trust Network Access、ゼロトラスト型のリモートアクセス)の3つの機能を統合したものです。
「SASEはネットワーク+セキュリティの全体像、SSEはセキュリティ部分だけ」と理解してください。
中小企業に関係あるのか
従来型セキュリティの限界
多くの中小企業のネットワークセキュリティは、オフィスのルーターにUTM(統合脅威管理)機器を設置し、VPNで拠点やテレワーカーを接続する、という構成です。
この構成には3つの課題があります。
第一に、クラウドシフトとの不整合です。業務の大半がMicrosoft 365やGoogle Workspaceなどのクラウドサービスで行われる場合、わざわざVPNでオフィスを経由してからクラウドにアクセスする「ヘアピン通信」が発生します。これはネットワークのボトルネックになるだけでなく、UTMの処理能力を圧迫します。
第二に、テレワークのスケーラビリティ問題です。VPN同時接続数には上限があり、テレワーカーが増えると接続できない事態が起きます。UTMの帯域も有限で、全社員がVPN経由でTeams会議を行うと帯域が逼迫します。
第三に、UTMの運用負担です。ファームウェアの更新、シグネチャの管理、ルールの設定変更——これらはすべてIT担当者が手動で行う必要があります。ひとり情シスの企業では、UTMの適切な運用が維持できなくなるケースが少なくありません。
SASE/SSEが解決すること
SASE/SSEは、セキュリティ機能をクラウドに移行することで、これらの課題を解決します。
ユーザーはVPNを経由せず、最寄りのクラウドPOP(Point of Presence)を通じてインターネットやSaaSに直接アクセスします。アクセスの際にSWGがWeb通信をフィルタリングし、CASBがSaaSの利用状況を監視し、ZTNAがアクセス権限を検証します。
UTMのように物理機器を管理する必要はなく、セキュリティポリシーはクラウドの管理コンソールから一元管理できます。
中小企業向け製品比較
中小企業が検討しやすい主要なSASE/SSE製品を比較します。
Zscaler(SSE特化)
Zscalerは、SSE分野で最も実績のあるベンダーです。SWG(Zscaler Internet Access)、ZTNA(Zscaler Private Access)、CASB機能を提供します。
中小企業にとってのメリットは、エージェント型のデプロイでネットワーク構成を変更せずに導入できる点です。Intuneなどで端末にZscaler Clientをインストールするだけで、すべての通信がZscaler経由になります。
一方、SD-WAN機能は含まれないため、拠点間接続が必要な場合は別途対応が必要です。料金体系は1ユーザーあたりの年間サブスクリプションです。
Cato Networks(SASE統合)
Cato Networksは、SD-WANとSSEを1つのプラットフォームに統合した「シングルベンダーSASE」の代表的な製品です。
複数拠点を持つ中小企業や、オンプレミスサーバーへのアクセスが残っている企業に適しています。各拠点にCato Socketという小型アプライアンスを設置し、Catoのクラウドに接続する構成です。テレワーカーはCato Clientで接続します。
すべての通信がCatoのクラウドを経由するため、拠点間通信、インターネットアクセス、リモートアクセスのすべてが1つの管理画面で可視化・制御できます。
Cisco Umbrella + Meraki(SASE統合)
既にCisco Merakiを拠点ルーターとして利用している企業は、Cisco UmbrellaをSSEレイヤーとして追加することで、SASEを構成できます。既存のMerakiインフラを活かせるため、追加投資を抑えられます。
Microsoft Entra Internet Access / Private Access
Microsoft 365を利用している企業は、Microsoftが提供するSSE機能を検討する価値があります。Entra Internet Access(SWG)とEntra Private Access(ZTNA)は、Entra IDの条件付きアクセスと統合されており、追加のエージェント不要でMicrosoft 365のトラフィックを保護できます。
Microsoft 365中心の環境で、まずSaaS通信の保護から始めたい場合に適しています。
| 製品 | 分類 | 最小構成の目安(年額) | SD-WAN | 特徴 |
|---|---|---|---|---|
| Zscaler | SSE | 50ユーザー〜 | なし | SSE最大手、導入実績豊富 |
| Cato Networks | SASE | 拠点数に応じて | あり | SD-WAN+SSE統合 |
| Cisco Umbrella + Meraki | SASE | Meraki利用企業向け | あり | 既存インフラ活用 |
| Microsoft Entra SSE | SSE | M365 E5に含む | なし | M365環境との親和性 |
導入判断フローチャート
以下の質問に順番に答えることで、自社に適したアプローチを判断できます。
Q1: 業務はクラウド(M365/GWS/SaaS)中心か?
Yesの場合 → SSEの導入を検討。オンプレミスサーバーへのアクセスがほぼないなら、VPNを廃止してSSEに移行できます。
Noの場合(オンプレミスが残っている)→ Q2へ。
Q2: 複数拠点があるか?
Yesの場合 → SASEの導入を検討。SD-WAN+SSEの統合で、拠点間接続とセキュリティを一元化。
Noの場合(単一拠点+テレワーク)→ SSEの導入を検討。ZTNAでオンプレミスアクセスも対応可能。
Q3: 既にCisco Meraki / Microsoft 365 E5を利用しているか?
Merakiの場合 → Cisco Umbrella追加を優先検討。 M365 E5の場合 → Microsoft Entra SSEを優先検討。 どちらでもない場合 → Zscaler、Cato等のベストオブブリード製品を比較検討。
段階的な導入ステップ
Step 1:SWGの導入(1〜2か月)
最初のステップとして、SWG(Webフィルタリング)を導入します。全社員のWeb通信をクラウドのSWG経由にすることで、悪意あるサイトへのアクセスをブロックし、通信の可視化を実現します。
UTMを置き換えるのではなく、まずはUTMと並行稼働させ、SWGの挙動を検証します。
Step 2:CASBの有効化(1か月)
SWGの通信ログをもとに、CASB機能を有効化します。社内で利用されているSaaS(シャドーITを含む)を可視化し、リスクの高いサービスをブロックまたは警告対象にします。
Step 3:ZTNAの導入(2〜3か月)
VPNの代替として、ZTNA機能を導入します。オンプレミスサーバーやプライベートアプリケーションへのアクセスを、VPNからZTNAに段階的に移行します。VPNとZTNAを一定期間並行稼働させ、問題がないことを確認してからVPNを廃止します。
Step 4:UTMの撤去(最終段階)
SWG、CASB、ZTNAがすべて稼働し、UTMのセキュリティ機能がSSEに完全に移行できたことを確認した上で、UTMを撤去します。UTMのハードウェアリースやサポート契約の更新時期に合わせると、無駄なコストを削減できます。
コスト比較:UTM vs SASE/SSE
50名規模の企業を想定したコスト比較です。
UTM方式の場合、UTM機器のリース費用が月額3〜5万円、VPN装置が月額1〜2万円、保守費用が月額1〜2万円で、月額合計5〜9万円が目安です。これに加えて、IT担当者のUTM運用工数(ファームウェア更新、ルール管理等)が月数時間発生します。
SSE方式の場合、Zscaler等のサブスクリプション費用が50ユーザーで月額10〜20万円が目安です。UTM運用の人的コストは大幅に削減されますが、サブスクリプション費用は高めです。
単純なコスト比較ではUTMが安くなりますが、テレワーク対応、シャドーIT対策、UTM運用の属人化リスク解消まで含めると、中長期的にはSSEのほうが合理的な選択となるケースが多くあります。
まとめ
SASE/SSEは大企業向けの技術と思われがちですが、中小企業でも導入しやすい製品が増えています。特に、クラウド中心の業務環境でテレワークを行っている企業には、UTMよりもSSEのほうが合理的な選択肢です。
すべてを一度に導入する必要はありません。SWG → CASB → ZTNAの順に段階的に導入し、効果を確認しながら進めてください。
情シス365では、SASE/SSEの製品選定から設計・導入・運用まで一括で支援しています。現在のネットワーク構成の診断も行っていますので、お気軽にご相談ください。