Secure_Access_Service_Edgeとは？ わかりやすく解説

デジタル大辞泉

サシー【SASE】

読み方：さしー

《secure access service edge》コンピューターセキュリティー上の観点から、企業などのコンピューターシステムを、社内外からアクセスするクラウドサービス上に集約して運用する手法。自社内でシステムを構築してファイアウォールで防御するのではなく、利用者の認証やアクセス権限の管理も含めた、統合的なセキュリティー対策として提供される。

ウィキペディア

セキュアアクセスサービスエッジ

(Secure_Access_Service_Edge から転送)

出典: フリー百科事典『ウィキペディア（Wikipedia）』 (2026/02/16 02:50 UTC 版)

セキュアアクセスサービスエッジ（Secure Access Service Edge、略称：SASE、サシー）は、広域ネットワーク（WAN）とセキュリティ機能を、データセンター経由ではなく、接続元（ユーザー、デバイス、IoTデバイス、エッジコンピューティング拠点）に直接クラウドコンピューティングサービスとして提供するために使用される技術である^[1]。分散したユーザーやアプリケーションのオフプレミス化が進む中、すべてのWANトラフィックを一箇所または数箇所の企業データセンターに長距離バックホールすることで生じるレイテンシを削減するため、クラウドおよびエッジコンピューティング技術を活用する^[2]。これにより、組織は分散したユーザーをより効果的にサポートできるようになる。

セキュリティは、従来のファイアウォールのようなセキュリティアプライアンスではなく、デジタルアイデンティティ、リアルタイムのコンテキスト、企業およびコンプライアンスポリシーに基づいている。デジタルアイデンティティは、個人からデバイス、クラウドサービス、アプリケーションソフトウェア、IoTシステム、あるいはあらゆるコンピューティングシステムに紐付けることが可能である^[2]。

この用語は、2019年にガートナーの市場アナリストであるニール・マクドナルドによって提唱された^[3]。

概要

SASEは、SD-WANと、Cloud access security broker（CASB）、セキュアウェブゲートウェイ（SWG）、アンチウイルス/マルウェア検査、仮想プライベートネットワーク（VPN）、サービスとしてのファイアウォール（FWaaS）、データ損失防止（DLP）などのネットワークセキュリティ機能を組み合わせ、これらすべてをネットワークのエッジにおいて単一のクラウドサービスとして提供する。

SASEのSD-WAN機能には、信頼性とパフォーマンスを向上させるために、トラフィックの優先順位付け、WAN最適化、集約されたインターネットバックボーン、およびAIプラットフォームであるAIOpsを使用した自己修復機能が含まれる場合がある^[4][5]。

WANおよびセキュリティ機能は通常、分散したユーザー、支店、クラウドサービスにできるだけ近い場所に配置された、分散型のSASE Point of Presence（PoP）を通じて単一のサービスとして提供される^[2]。SASEサービスにアクセスするために、エッジ拠点またはユーザーは最も近い利用可能なPoPに接続する。SASEベンダーは、PoP間の長距離接続において高速で低レイテンシなWANパフォーマンスを顧客に提供するため、複数のインターネットバックボーンプロバイダーやピアリングパートナーと契約することがある^[2]。

歴史

SASEという用語は、ガートナーのアナリストであるニール・マクドナルドとジョー・スコルパによって生み出された。2019年7月29日のネットワーク分野のハイプ・サイクル^[6]、市場動向レポート、および2019年8月30日のガートナーレポートにおいて詳細が記述された^[2]。

2021年、ガートナーはSASEの機能の一部を抜粋したセキュアサービスエッジ（SSE）を定義した^[7]。SSEは、SD-WANのようなネットワークサービスと組み合わせて完全なソリューションを提供できる、SASEのセキュリティサービスの集合体である^[7]。

普及の要因

SASE普及の背景には、企業におけるLANや自社データセンターの重要性が低下し、モバイル、エッジ、クラウドコンピューティングが台頭していることがある。ユーザー、アプリケーション、データが企業データセンターからクラウドやネットワークエッジへ移動するにつれ、レイテンシやパフォーマンスの問題を最小限に抑えるためには、セキュリティとWANも同様にエッジへ移動させる必要が生じている^[8]。

クラウドコンピューティングモデルは、SD-WANやセキュリティ機能の提供を、複数のエッジコンピューティングデバイスや拠点へ委任し簡素化することを目的としている。ガートナーによれば、ポリシーに基づき、SaaSアプリケーション、SNS、データセンターアプリケーション、個人用オンラインバンキングなど、同一のエンティティからの異なる接続やセッションに対して、異なるセキュリティ機能を適用することも可能である^[2]。

クラウドアーキテクチャは、弾力性、柔軟性、俊敏性、グローバルな到達範囲、管理の委任といったクラウド特有の利点を提供する。

特徴

SASEの主な要素は以下の通りである。

• WAN機能とネットワークセキュリティ機能の統合。
• 統合されたWANとセキュリティをサービスとして提供する、クラウドネイティブなアーキテクチャ。すべてのクラウドサービスに典型的なスケーラビリティ、弾力性、適応性、自己修復機能を提供する。
• 世界中に分散されたPoPの基盤。ビジネス拠点、クラウドアプリケーション、モバイルユーザーがどこにいても、低レイテンシで広範なWANおよびセキュリティ機能を提供する。あらゆる場所で低レイテンシを実現するため、SASEのPoPは一般的なパブリッククラウドプロバイダーよりも多数かつ広範囲である必要があり、SASEプロバイダーは広範なピアリング関係を構築しなければならない。
• アイデンティティ主導のサービス。アイデンティティは、接続元の個人や支店から、デバイス、アプリケーション、サービス、IoTデバイス、エッジコンピューティング拠点まで、あらゆるものに紐付けられる。アイデンティティは、SASEのセキュリティポリシーに影響を与える最も重要なコンテキストである。ただし、場所、時間帯、接続デバイスのビジネスリスク/信頼状態、データやアプリケーションの機密性といった他のリアルタイムコンテキストも、各WANセッションに適用されるセキュリティサービスやポリシーを決定する。
• 物理拠点、クラウドデータセンター、ユーザーのモバイルデバイス、エッジコンピューティングなど、すべてのエッジを等しくサポートする。すべての機能はエッジ拠点ではなくローカルPoPに配置される。ローカルPoPへのエッジ接続は、支店用のSD-WANから、モバイルユーザー用のVPNクライアントやクライアントレスWebアクセス、クラウドからの複数のトンネル、またはグローバルデータセンター内の直接クラウド接続まで多岐にわたる^[8]。

ガートナーなどは、モバイルやクラウドを活用する企業向けにSASEアーキテクチャを推奨している。主なメリットは以下の通りである。

複雑さの軽減

SASEは、クラウドコンピューティングモデルを採用し、すべてのWANおよびセキュリティ機能を単一のベンダーで提供することにより、拠点ごとに複数のベンダーから複数のセキュリティアプライアンスを導入する場合と比較して複雑さを軽減する。また、トラフィックストリームを復号し、複数の検査サービスを連結するのではなく、複数のポリシーエンジンで一度に検査するシングルパスアーキテクチャによっても複雑さが軽減される^[9]。

ユニバーサルアクセス

SASEアーキテクチャは、企業データセンターを主眼に置くのではなく、あらゆる場所のあらゆるエンティティから、あらゆるリソースへの一貫した高速かつ安全なアクセスを提供できるように設計されている。

コスト効率

初期投資コストを月額サブスクリプション費用に転換するクラウドモデルにより、コスト効率が向上する。プロバイダーとベンダーを集約し、IT部門が社内で購入・管理・維持しなければならない物理的および仮想的な拠点用アプライアンスやソフトウェアエージェントの数を削減できる。また、メンテナンス、アップグレード、ハードウェアの更新をSASEプロバイダーに委任することでもコスト削減が図れる。

パフォーマンス

レイテンシが最適化されたルーティングにより、アプリケーションやサービスのパフォーマンスが向上する。これは、レイテンシに敏感なビデオ会議、VoIP、コラボレーションアプリケーションにおいて特に有益である。SASEプロバイダーは、通信事業者やピアリングパートナーと契約した高性能なインターネットバックボーンを通じてトラフィックを最適化・ルーティングできる。また、単一のPoP内でシングルパスアーキテクチャによりすべてのセキュリティ機能を実行することで、不要なルーティングを回避しパフォーマンスを高めている^[9]。実装によっては、SASEはデバイスに必要なアプリやエージェントの数を1つに削減しつつ、ユーザーがどこから何にアクセスしていても一貫した体験を提供できる^[9]。

一貫したセキュリティ

すべてのWANセキュリティ機能とWAN接続に単一のクラウドサービスを利用することで、一貫したセキュリティを実現する。セキュリティは同一のポリシーセットに基づいており、アプリケーション、ユーザー、デバイスの場所やアクセス先（クラウド、データセンター）に関わらず、同じクラウドサービスによって同じセキュリティ機能が提供される。SASEプロバイダーが新しい脅威に対応すれば、その対応は即座にすべてのエッジで利用可能になる^[2]。

批判

SASEに対する批判は、Tobias Mannによる2019年11月9日のsdxcentralの投稿で引用されているように、IDCやIHS Markitを含むいくつかの情報源から上がっている^[10]。両アナリスト企業は、SASEはガートナーによる造語であり、新しい市場や技術、製品ではなく、既存技術を単一の管理ソースに統合したものであると批判している。

IHS Markitのクリフォード・グロスナーは、SASEの概念に分析機能、人工知能、機械学習が含まれていないことや、企業がすべてのSD-WANおよびセキュリティ機能を単一のベンダーから導入することを望まない可能性を指摘している。これに対しガートナーは、複数のベンダーによるセキュリティとSD-WAN機能のサービスチェイニングは「一貫性のないサービス、低い管理性、高いレイテンシ」を招くと反論している^[10]。

IDCのアナリストであるブランドン・バトラーは、SD-WANは「SD-Branch（複数の支店拠点における仮想化されたSD-WANおよびセキュリティ機能の集中展開と管理）」へと進化するというIDCの見解を示している。

SASEの構成技術

SD-WAN

→詳細は「SD-WAN」を参照

SD-WANは、トラフィックを制御するネットワークハードウェアやソフトウェアの集中制御を通じて、広域ネットワークを簡素化する技術である。また、組織が専用のWAN接続を、インターネットブロードバンド、LTE、5G接続と組み合わせたり、置き換えたりすることを可能にする。セントラルコントローラーがポリシーを設定し、最適なパフォーマンスが得られるよう動的に最適なリンクとパスを選択して、WANトラフィックの優先順位付け、最適化、ルーティングを行う。SD-WANベンダーは、通常データセンターや支店に配備されるSD-WANの仮想または物理アプライアンスとともに、一部のセキュリティ機能を提供することがある。

通常、SASEはモバイルアクセスや、ローカルPoPから提供される完全なセキュリティソリューションスタックも提供するクラウドサービスの一部として、SD-WANを組み込んでいる。

次世代ファイアウォール (NGFW)

→詳細は「次世代ファイアウォール」を参照

NGFWは、従来のファイアウォールに、仮想化されたデータセンターに適した他のセキュリティおよびネットワーク機能を組み合わせたものである。セキュリティ機能には、アプリケーション制御、ディープおよび暗号化パケット検査、侵入防止、Webサイトフィルタリング、アンチマルウェア、アイデンティティ管理、脅威インテリジェンスプラットフォーム、さらにはWANのサービス品質（QoS）や帯域幅管理が含まれる^[11]。

NGFWはSASEが提供するセキュリティスタックのサブセットを提供し、通常はSD-WANサービスを含まない。NGFWはオンプレミスまたはクラウドサービスとして導入できるが、SASEは定義上、クラウドアーキテクチャである。SASEがWAN接続のセキュリティに焦点を当てているのに対し、NGFWはデータセンター内部を含むあらゆる場所に導入可能である。

Firewall as a Service (FWaaS)

→詳細は「FWaaS」を参照

FWaaSは、オンプレミスのソフトウェアやハードウェアではなく、クラウドサービスとして提供されるファイアウォールである。ほとんどのFWaaSプロバイダーはNGFW機能を提供している。通常、組織全体が単一のFWaaSクラウドに接続されるため、独自のファイアウォールインフラを維持する必要がない。SASEは、エッジにおけるFWaaSを他のセキュリティ機能やSD-WANと組み合わせたものである^[2]。

類似の技術

Network as a Service (NaaS)

→詳細は「Network as a Service」を参照

SASEとNaaSは概念的に重複している。NaaSは、クラウドサブスクリプションのビジネスモデルを使用して、仮想化されたネットワークインフラとサービスを提供する。SASEと同様に、複雑さと管理コストを軽減する。通常、NaaSプロバイダーごとに、WANとセキュアVPNをサービスとして提供するパッケージ、オンデマンド帯域幅、ホスト型ネットワークなど、異なるサービスパッケージを提供している。対照的に、SASEは、支店、モバイルユーザー、データセンター、その他あらゆる安全な企業WAN要件に対応する、単一かつ包括的なセキュアSD-WANソリューションであることを意図している。

ゼロトラスト・エッジ

調査会社のフォレスター・リサーチは、SASEのような統合ネットワークおよびセキュリティスタックのことを、ゼロトラスト・エッジ（ZTE）と呼んでいる^[12]。フォレスターはこのモデルをガートナーのものと類似していると説明しているが、ユーザーを認証・認可するためのゼロトラスト原則の組み込みにより重点を置いている^[12]。

市場

ガートナーは、SASEソリューションの市場が2025年までに150億ドルに成長すると予測しており、購入者は単一ベンダーのソリューションを採用するか、マルチベンダーのソリューションを採用するかで分かれると見ている^[13]。ネットワーキングの側面に焦点を当てるベンダーもあれば、現在はセキュアサービスエッジ（SSE）と呼ばれるセキュリティの側面に焦点を当てるベンダーもある^[13]。

標準化

もともとMetro Ethernet Forumとして知られていたMEFは、サービスプロバイダー、技術メーカー、企業ネットワーク設計向けのソフトウェア定義ネットワークおよびセキュリティインフラサービスを幅広く扱う次世代の標準化団体となっている。「ベスト・オブ・ブリード」ソリューション間の相互運用が可能な未来を創造するため、MEFはトレーニングや統合に活用できる多数の業界標準の策定に着手した。MEF SASE Services Definition (MEF W117) 委員会が設立され、公開用の技術仕様草案を提供している。この仕様は、多くの技術メーカーや複数のサービスプロバイダーの協力によるものであり、「MEF 70.1 Draft Release 1 SD-WAN Service Attributes and Service Framework」などの既存のMEF技術仕様に基づいている。

MEFは、2021年8月に作業用草案「MEF W117 draft 1.01 SASE (Secure Access Service Edge) SASE Service Attributes and Service Framework」をリリースした。このドキュメントは、MEFに参加している企業およびメンバーが利用可能である。

関連項目

• ネットワーク機能仮想化
• ゼロトラスト・セキュリティモデル
• SD-WAN
• Cloud access security broker（CASB）
• 仮想プライベートネットワーク（VPN）

脚注

[脚注の使い方]

出典

1. ^ “Invest Implications: 'The Future of Network Security Is in the Cloud'” (英語). Gartner. 2026年2月16日閲覧。
2. ^ ^{a b c d e f g h} MacDonald, Neil; Orans, Lawrence; Skorupa, Joe (2019). “The Future of Network Security Is in the Cloud”. Gartner. https://www.gartner.com/doc/reprints?id=1-1OG9EZYB&ct=190903&st=sb 2026年2月16日閲覧。. 
3. ^ Musthaler, Linda (2019年11月12日). “SASE is more than a buzzword for BioIVT”. Gartner. 2026年2月16日閲覧。
4. ^ Conran, Matt (2019年10月24日). “The evolution to Secure Access Service Edge (SASE) is being driven by necessity” (英語). Network World. 2026年2月16日閲覧。
5. ^ Mann, Tobias (2021年1月21日). “SASE is more than a buzzword for BioIVT”. SDxCentral. 2026年2月16日閲覧。
6. ^ “Hype Cycle for Enterprise Networking, 2019” (英語). Gartner. 2026年2月16日閲覧。
7. ^ ^{a b} Shackleford, Dave (2022年3月1日). “SASE is more than a buzzword for BioIVT”. TechTarget. 2026年2月16日閲覧。
8. ^ ^{a b} Conran, Matt (2019年10月3日). “Secure Access Service Edge (SASE): A reflection of our times” (英語). Network World. 2026年2月16日閲覧。
9. ^ ^{a b c} Maria, Dave (2020年9月7日). “What is SASE? A cloud service that marries SD-WAN with security”. Network World. 2026年2月16日閲覧。
10. ^ ^{a b} “Analysts Debate SASE's Merits as Vendors Board Hype Train”. SDxCentral. 2026年2月16日閲覧。
11. ^ “What is a Next Generation Firewall? Learn about the differences between NGFW and traditional firewalls”. Digital Guardian (2017年11月27日). 2026年2月16日閲覧。
12. ^ ^{a b} Mann, Tobias (2021年2月16日). “SASE is more than a buzzword for BioIVT”. Forrester. 2026年2月16日閲覧。
13. ^ ^{a b} “Forecast Analysis: Secure Access Service Edge, Worldwide”. Gartner (2022年3月1日). 2026年2月16日閲覧。