はじめに
サイバー攻撃の高度化やリモートワークの普及に伴い、企業や組織のネットワーク・セキュリティ対策に対する要求は劇的に変化しています。従来の境界防御(境界型セキュリティ)では、社内ネットワークにアクセスしたユーザーやデバイスを「信頼できるもの」とみなし、内部に入ってきた不正アクセスを検知・阻止することに重点を置いていました。
しかし、クラウド利用やモバイル端末の活用が進む現代では、物理的なオフィスやデータセンターを守るだけでは不十分であり、ユーザーがどこからでも様々なサービスにアクセスできるようになったことを前提としたセキュリティ設計が必要になっています。
こうした背景の中で注目されているのが「ゼロトラスト(Zero Trust)」と「SASE(Secure Access Service Edge)」という二つのコンセプトです。一見似たような文脈で語られることが多いのですが、実際はアプローチや目的、構成要素が異なります。本記事では、ゼロトラストとSASEの基本的な概念を整理し、両者の違いや共通点を解説したうえで、どのように導入・運用を検討していくべきかを探っていきます。
スライド資料作成の時間短縮したい人におすすめ!!!↓
ゼロトラストとは
ゼロトラストの概念
ゼロトラストは、文字通り「何も信頼しない」ことを前提としたセキュリティの考え方を指します。従来の境界防御型セキュリティでは、「社内ネットワーク=安全」「外部ネットワーク=危険」とみなしていました。
しかし、クラウドの利用やリモートワークの普及、モバイル端末の活用などにより、もはや「社内ネットワーク」と「社外ネットワーク」の境界線は曖昧になっています。そこで、ネットワーク内外を問わず、常にユーザーやデバイスを検証し、信頼を動的に判断するというのがゼロトラストの基本思想です。
ゼロトラストの代表的なフレームワークとしては、米国国立標準技術研究所(NIST)が公表している「NIST SP 800-207」が知られています。ここでは「継続的検証」「最小権限アクセス」「セグメンテーション」など、ゼロトラストを実現するうえでの基本原則が示されています。
どのような課題を解決するか
ゼロトラストが注目される背景には、企業のIT環境が多様化し、セキュリティ・脅威の侵入経路も複雑化していることがあります。従来の境界防御では、ファイアウォールやVPNを通じて社内ネットワークに入れば「信頼できる」とされるケースが多かったため、一度侵入を許してしまうと横展開が容易になるという課題がありました。
ゼロトラストでは、ネットワークや場所の境界に依存せず、「アクセスしようとするユーザー(人・端末・ワークロードなど)が本当に必要なリソースに、適切なアクセス権で接続しているか」を都度検証します。
これにより、万が一攻撃者が内部に侵入しても、不要なリソースへのアクセスをブロックできるため、被害を最小限に抑えることができます。
ゼロトラストのメリットとデメリット
- メリット
- きめ細かなアクセス制御が可能になる
- リモートワークやクラウド利用を前提とした柔軟なセキュリティ運用が可能
- 万が一内部に侵入された場合でも、被害を局所化・限定化できる
- ユーザーエクスペリエンスの向上(IDベース認証とワークフローの自動化により、セキュアかつスムーズなアクセスを提供)
- デメリット
- 導入コストの増大:既存ネットワーク構成を大幅に見直す必要がある場合が多い
- 運用の複雑化:アクセス制御ポリシーを細かく定義・更新する必要がある
- ツールや技術要素が多岐にわたり、統合管理や運用ルールの整備が重要
- 全てをゼロトラスト化するには時間がかかり、段階的な導入が求められる
SASE とは
SASEの背景
SASE(サッシー)は「Secure Access Service Edge」の略で、2019年頃にアナリスト企業のガートナー(Gartner)が提唱した概念です。従来は、ファイアウォールやゲートウェイなどのセキュリティ機能と、SD-WANなどのネットワーク機能が別々のアプライアンスやサービスとして提供されていました。
しかし、クラウド時代のセキュリティ対策としては、拠点ごとやユーザーごとに膨大な機器を管理・運用するよりも、クラウドを活用してセキュリティとネットワークを一体型で提供する方が効率的であるという潮流が高まりました。
SASEは、ネットワーク機能とセキュリティ機能を統合し、クラウドサービスとして提供することで、ユーザーがどこからアクセスしても安全かつ最適なパフォーマンスを得られるようにするためのフレームワークです。
ネットワークとセキュリティを一元的に管理し、必要に応じて柔軟にスケールや機能を拡張できるため、特にリモートワーカーや分散拠点を多く抱える企業で注目されています。
SASEを構成する要素
SASEは大きく分けて、以下のような機能を統合したクラウドプラットフォームを指します。
- SD-WAN
拠点やクラウドへのトラフィックを最適化・制御するネットワーク技術。従来型のWANよりも柔軟なトラフィックルーティングや、ネットワーク品質の改善が可能。 - SWG(Secure Web Gateway)
Webアクセスに対してマルウェア対策やURLフィルタリングを施し、危険なサイトへのアクセスをブロックする。従来のプロキシと似た役割。 - CASB(Cloud Access Security Broker)
クラウドサービスへのアクセス制御や監査を行う。SaaSアプリケーションなどに対するデータ保護や可視化、シャドーIT対策などが中心となる。 - FWaaS(Firewall as a Service)
従来はオンプレミス機器で行っていたファイアウォール機能をクラウド上で提供する。IPアドレスやポートベースの制御だけでなく、アプリケーションレベルの制御も含む。 - ZTNA(Zero Trust Network Access)
ゼロトラストの考え方をネットワークアクセスに適用するサービス。利用者やデバイスの認証・認可を行い、必要最小限のリソースへのアクセスのみを許可する。
SASEは、これらの機能をクラウドベースで統合し、「ユーザーがどこにいても、どのようなデバイスを使っても、安全かつ最適なネットワーク接続を実現する」ことを目指しています。
【参考】Secure Web Gatewayとプロキシの違い
SWG(Secure Web Gateway)とは、Webアクセスに対してマルウェア検知やURLフィルタリングなどのセキュリティ機能を提供するゲートウェイのことです。一般的にプロキシ技術をベースとしており、HTTPS通信の復号化や詳細な分析を行うことで、不正なアクセスやコンテンツをブロックします。
一方、プロキシは単にクライアントの要求を代理送信する仕組みであり、キャッシュ機能や匿名化などにとどまる場合があります。SWGはこのプロキシ機能を拡張し、包括的なセキュリティ対策を実現する点が特徴です。また、ポリシー管理やレポーティング機能にも優れ、企業のコンプライアンス要件に応じた統制を行いやすいのも利点といえます。
SASEのメリットとデメリット
- メリット
- ネットワークとセキュリティを一元管理でき、運用負荷を軽減
- クラウドサービスとして提供されるため、導入規模に応じて柔軟に拡張可能
- ユーザーがどこからアクセスしても同様のセキュリティポリシーを適用できる
- ゼロトラストやSWG、CASB、SD-WANなどの機能を包括的に利用しやすい
- デメリット
- 従来のオンプレミス中心の環境から移行する際の設計・構築が複雑
- 一社ですべてのSASE機能を提供できるベンダーは限られており、統合化の成熟度に差がある
- 一括で導入するとコストが大きくなる場合がある(段階的導入が望ましい)
- 事業者のクラウドサービスに依存するため、サービス停止などのリスク対応も必要
ゼロトラストとSASEの共通点・相違点
ゼロトラストとSASEは、それぞれが単独で成り立つ概念ではなく、相互に補完的な関係にあるといわれています。ここでは、共通点と相違点を整理します。
共通点
クラウドやリモートワークの普及を前提とする
ゼロトラストもSASEも、場所にとらわれないアクセスや、クラウドサービス利用が増える現代のIT環境を前提としています。
ネットワーク境界に依存しないセキュリティ
従来の境界型防御を見直し、ユーザーやデバイスを都度検証しながらアクセスを制御するという方向性は共通しています。
ゼロトラストの概念はSASEにも含まれる
SASEの中核機能の一つとしてZTNA(Zero Trust Network Access)が挙げられており、ゼロトラスト的なアクセス制御はSASEの重要な要素です。
相違点
定義の範囲が異なる
ゼロトラストは、セキュリティポリシー全般における「考え方」や「アーキテクチャ」を示すものであり、特定の製品やサービスを指すわけではありません。
一方、SASEは「ネットワーク機能+セキュリティ機能」をクラウドベースで統合提供する「サービス提供モデル」を指します。
導入の対象範囲の広さ
ゼロトラストは、ネットワークだけではなく、アプリケーションやデータ、ID管理など、多面的なアーキテクチャとして組織全体に影響します。
SASEは主に「ネットワークの入り口部分」と「そこに付随するセキュリティ機能」を統合しようとするアプローチです。
実装の形態
ゼロトラストは必ずしもクラウドベースで実装する必要はなく、オンプレミス環境の中で段階的に取り入れることも可能です。
対してSASEは「クラウドサービスとしての提供」を前提としており、拠点やユーザーがインターネットを経由してSASEサービスに接続し、そのサービスを通じてアクセス制御やセキュリティ機能を適用します。
ユーザー企業が求める成果の違い
ゼロトラストは「内部の脅威にも対処し、アクセス権を最小限に抑える」というセキュリティ強化の側面が強調されます。
一方、SASEは「拠点やクラウドへのアクセスを効率的に最適化しつつ、セキュアに管理する」というネットワークとセキュリティの統合メリットに焦点があたりやすいといえます。
どちらを導入すれば良いか?
結論として、ゼロトラストとSASEは「競合する概念」ではなく、「相補的に活用する」ことが推奨されるケースが多いです。以下のような観点で導入の優先度を考えるとよいでしょう。
- 段階的なアプローチ
まずはゼロトラストの考え方を自社のポリシーに適用していき、重要データや重要システムへのアクセス制御を厳密化するところから始めるのがおすすめです。一方で、拠点が複数あり、クラウドサービスも多用している場合は、並行してSASEの導入を検討すると効率的です。 - ネットワーク刷新のタイミング
例えば、従来のWAN環境をSD-WANに移行しようと考えているタイミングであれば、一度にSASE基盤を導入し、ネットワークとセキュリティを統合管理するほうが長期的にはコストを抑えられる可能性があります。 - クラウド活用度合い
クラウドファーストを積極的に推進する企業であれば、SASEのクラウドベースな特性を活かすことで、セキュリティ運用を大幅に効率化できます。また、ゼロトラストのポリシーを組み込んだZTNA機能を使うことで、より厳密なアクセス制御が可能になります。 - 既存環境との整合性
オンプレミス環境がまだ中心で、大規模なシステムが稼働している場合は、いきなりすべてをSASEに切り替えるのはリスクやコストが大きいでしょう。まずはゼロトラストの考え方をオンプレミス環境に取り込み、順次クラウド移行を進める中でSASEへの接続を検討すると、スムーズな移行が期待できます。
まとめ
ゼロトラストは「ネットワークの内外を問わず、常にユーザーやデバイスを検証し、必要最小限のアクセスを許可する」というセキュリティのアーキテクチャや思想を示すのに対し、SASEは「SD-WANやファイアウォール、CASB、SWGなどのネットワーク・セキュリティ機能をクラウドで統合提供する」というサービス提供モデルを指します。両者は決して競合するものではなく、SASEの中にもゼロトラスト(ZTNA)の要素が含まれているといえます。
クラウドが当たり前となり、リモートワークやモバイル端末の利用が増加している現代においては、どちらの考え方もセキュリティ戦略には欠かせないものとなっています。
ゼロトラストは組織のセキュリティポリシーや体制全体を見直す機会を提供し、SASEは具体的なツールやサービスを活用しながら、安全かつ高パフォーマンスなネットワーク接続を実現します。
自社や組織のIT環境、拠点数、クラウド活用度合い、予算などを総合的に勘案しながら、ゼロトラストとSASEを組み合わせた段階的な導入を検討することで、より強固で柔軟なセキュリティ体制を構築できるでしょう。
今後も新しいセキュリティ脅威が生まれ続けるなかで、両者の考え方や技術要素はさらに進化していくと考えられます。ぜひ継続的に情報をキャッチアップしながら、自社に最適なネットワーク&セキュリティ戦略を構築していってください。
