はじめに
近年、ビジネスでさまざまなクラウドサービスを利用する機会が増える一方で、サイバー攻撃対策としてセキュリティ強化が求められています。しかしシステムやアプリケーションの「使いやすさ」と「安全性」を同時に満たすのは簡単ではないうえ、管理が煩雑で業務負荷が大きくなってしまうといった問題もあり、対処に悩む情報システム担当者は少なくありません。
そこで本記事では、ネットワークとセキュリティを統合してセキュリティを強化するSASEという考え方をご紹介します。
目次
SASE(Secure Access Service Edge)とは
SASE(サシー)とは「Secure Access service Edge」の略称であり、2019年 アメリカのガートナー社により『The Future of Network Security is in the Cloud』というレポート内で提唱されました。ネットワーク機能とセキュリティ機能をまとめて、1つのクラウドサービスとして提供する考え方です。
ネットワーク機能とは、複数の端末をインターネットや社内ネットワークに接続してデータをやり取りする機能です。ビジネスでもWebサイトの閲覧やE-mailの送受信、クラウドサービス利用、リモートアクセスなどさまざまな形で利用されています。
セキュリティ機能とは、不正アクセスや情報漏洩などを防ぐ機能です。ユーザ認証やアクセス管理、ウイルス対策などさまざまな機能があり、一般的には安全性を高めるために複数のセキュリティ機能を組み合わせて利用します。
2つの機能をまとめたサービスを利用することで、「さまざまな端末・環境からのセキュアなアクセス」を実現可能です。また運用・管理の一元化につながるため、コスト削減や情報システム担当者の業務負荷軽減といった点にも期待できます。
SASE導入のメリット
SASEはクラウドサービスとして提供されるため、導入後は出張やテレワークといった社外環境からのアクセスがSASEを経由して認証をクリアする形になります。利用しているほかのクラウドサービスについてもオンプレミスと同様のポリシーを適用でき、社内からのアクセスと同じようにセキュリティを担保しつつネットワークに接続できます。
ただし、SASEをさまざまなアクセスの起点にする構造であるため、ネットワーク障害によってSASE自体にアクセスできない場合、幅広い業務に影響を及ぼす可能性がある点には留意が必要です。
SASEが注目される背景1:クラウド普及とセキュリティ対策の変化
最初に、ビジネスにおけるインターネット利用拡大により、セキュリティ対策がどのように変わったのかについて整理します。クラウドサービス普及やテレワーク導入は、セキュリティ対策を変える大きな契機でした。
クラウドサービスとテレワークによる社外からのアクセス増加
近年ではDX(Digital Transformation)の実現に向けて政府が施策を展開し、国内企業のクラウドサービス利用を推進しています。またコロナ禍の影響によりテレワークのニーズが急速に高まりました。
その結果、コロナ禍以前と比べてクラウドサービス導入が大きく進み、ネットワークに接続しないスタンドアローン機器や企業内イントラネットに接続した機器だけで機密データを管理する企業は減少しています。現在では機密データをクラウドストレージで管理する、機密データをクラウドアプリで使う、社外から社内と同じように基幹システムや業務システムにアクセスするといった企業も珍しくありません。
公的なデータでは、クラウドサービスやテレワークの導入率がどのように記録されているか、確認してみましょう。
2024年の6月に発表された総務省の『令和5年通信利用動向調査』 では、クラウドサービスの利用は増加傾向にあり、約8割の企業が利用していると記載されています。また、テレワークを導入している企業の割合は前回調査から引き続き減少傾向にあるものの、約50%とコロナ禍以前の約20%と比べて2倍以上に増加しています。
従来のセキュリティ対策と生産性
以前よく利用されていたセキュリティ対策は、社内ネットワークを安全な領域、インターネットのような社外ネットワークを危険な領域と区別して、境界を監視・制御する方法でした。この「境界防御モデル(ペリメータモデル)」と呼ばれるセキュリティ対策は、境界を跨ぐ通信を危険だと想定し、セキュリティ機能も社内外の境界を監視するシンプルな構造です。監視ポイントを絞り込んでいるため運用コスト面での強みもありました。
しかし、クラウドサービス普及の影響で社外ネットワークの利用が増えたことにより、従来のセキュリティ対策は新たに「生産性への悪影響」という問題を抱えることになります。増加した社外との通信トラフィックとその処理負荷がネットワークの遅延や障害という形で、クラウドサービスやテレワーク導入の目的である業務効率や利便性の向上を阻害してしまったのです。また、テレワークの導入や社外からの携帯端末でのアクセスにより単純に防御すべき境界の数が増えて運用・管理の負荷が大きくなるため、情報システム担当者にもマイナスの影響がありました。
境界防御モデルは監視ポイントを境界に絞り込む考え方のため、この「生産性への悪影響」を避けるのは構造的に難しく、セキュリティ対策の方法を見直す理由の1つになりました。
SASEが注目される背景2:増大するサイバー攻撃の脅威
次に、近年のサイバー攻撃の脅威動向を整理しておきましょう。
サイバー攻撃の高度化・多様化に対抗するため、境界防御モデルに加えて多要素認証やアクセス先のフィルタリングといった機能を導入し、増築を繰り返すようにセキュリティを強化する方法が取られています。しかしこの方法は、対策がツギハギ構造になり「全体最適」から遠ざかってしまう、管理負荷が大きくなる、製品やサービスごとにポリシーが異なる点が潜在的なセキュリティリスクになるといった課題もあります。そのためサイバー攻撃への対応の観点からも、セキュリティ対策方法の抜本的な見直しが求められるといえます。
サイバー攻撃や不法通信パケットの増加
NICT(国立研究開発法人情報通信研究機構)は大規模サイバー攻撃観測網(ダークネット観測網)を構築し、サイバー攻撃に関連する通信パケットを観測する「NICTER(Network Incident analysis Center for Tactical Emergency Response)プロジェクト 」を続けてきました。マルウェアに感染しボット化したホストによる探索行為やDoS攻撃の跳ね返り、機器の脆弱性を狙った攻撃といったサイバー攻撃に関連する通信パケットを監視しています。
2005年から、NICTERで観測しているダークネットの約29万IPアドレスの観測を続けており、通信パケットの増減により、サイバー攻撃につながるダークネットにおける活動を定量化できます。
2025年2月に公開された『NICTER観測レポート2024 』から、このパケット数の年ごとの推移につて考えてみましょう。
2024年に観測されたサイバー攻撃関連通信は合計6,862億パケットと2023年と比べて11%増加し、1年間で1IPアドレス当たり約242万パケットが届いています。これは過去10年を比較した際に、1IPアドレス当たりの年間総観測パケット数で考えても最大値です。インターネット上で到達可能かつ未使用のIPアドレス空間であるダークネットでのIoT機器や脆弱性を狙った探索活動がさらに活発化していることを読み取れます。
| 年 | 年間総観測パケット数 | 観測IPアドレス数 | 1IPアドレスあたりの 年間総観測パケット数 |
|---|---|---|---|
| 2015 | 約 631.6 億 | 270,973 | 245,540 |
| 2016 | 約 1,440 億 | 274,872 | 527,888 |
| 2017 | 約 1,559 億 | 253,086 | 578,750 |
| 2018 | 約 2,169 億 | 273,292 | 806,877 |
| 2019 | 約 3,756 億 | 309,769 | 1,231,331 |
| 2020 | 約 5,705 億 | 307,985 | 1,849,817 |
| 2021 | 約 5,180 億 | 289,946 | 1,747,685 |
| 2022 | 約 5,226 億 | 288,042 | 1,833,012 |
| 2023 | 約 6,197 億 | 289,686 | 2,260,132 |
| 2024 | 約 6,862 億 | 284,445 | 2,427,977 |
サイバー攻撃に関するトレンドの移り変わり
サイバー攻撃の誕生は、1980年代のインターネットの普及とほぼ同時期です。1990年代に入ると専門的な技術を持たなくてもインターネットを利用できるようになり、興味本位や自己顕示欲を満たすための愉快犯的なサイバー攻撃が増えるようになりました。当時の被害は大きな損害を生むようなものではなく、侵入したWebサイトにおかしな言葉や画像を表示させる、データを改ざんするといった「いたずら」が主流でした。
2000年代以降、ADSL回線や光回線が普及してインターネットは爆発的に発展します。情報の閲覧やE-mailといった用途だけでなく、個人ブログ利用といった個人的な用途が広がり、ECサイトやインターネット上での広報といった消費者をターゲットにしたビジネス利用も増えていきました。また、企業活動の主要業務を管理する基幹システムや顧客管理システムなどが登場し、次第にコンピュータとネットワークシステムはビジネスの基盤になりました。サイバー攻撃はこういったインターネット利用の変化にあわせて急激に増加・多様化し、標的となる企業・組織への嫌がらせや金銭要求を目的とした犯罪も増えています。また目的の変化に合わせて、昔は多かった不特定多数に向けた攻撃は減り、標的型攻撃の割合が増えました。企業各社は常に業務効率化や生産性向上を目指してIT技術の利活用を進める一方で、この苛烈なサイバー攻撃への対策を求められていますが、完璧な対策は簡単ではなく大規模な事件が続いているというのが実情です。
警視庁のサイバー警察局が2025年3月に公開した『令和6年におけるサイバー空間をめぐる脅威の情勢等について 』でも、サイバー犯罪の質的な変化に言及しています。
令和6年のランサムウェア被害件数を規模ごとに前年と比較すると、大企業の被害件数は減少する一方で中小企業の被害件数は37%増加。ターゲットが広がっていることが伺えます。この背景には、ランサムウェア開発者が攻撃実行者にソフトウェアを提供し、見返りとして身代金の一部を受け取るといった形の犯罪が増加し、攻撃者の裾野が広がっていると指摘されています。また、情報窃取や暗号資産獲得を目的としたサイバー攻撃が相次ぎ発生したほか、年末年始に金融機関のような重要インフラ事業者を狙ったDDoS攻撃とみられる被害が発生。攻撃の中には国家や犯罪組織の関与が疑われるものもあり、被害件数が減った大企業ターゲットの攻撃は巧妙化・複雑化し、対処が難しいケースが増えているといえます。
大規模な被害が続くランサムウェア
さまざまなサイバー攻撃の中でも特に警戒すべき脅威として、「ランサムウェアを用いた攻撃」についてご紹介します。この攻撃手法はここ数年、独立行政法人IPA(情報処理推進機構)が毎年発表している「情報セキュリティ10大脅威」でも毎年取り上げられており、特に警戒すべき脅威として注目されています。
ランサムウェアは、感染すると端末などに保存されているデータを暗号化して使用できない状態にして人質に取り、データを復号するかわりに身代金を要求することを目的に利用されるマルウェアの一種です。近年では、データを窃取したうえで「対価を支払わなければ当該データを公開する」といった恐喝も多く、大規模な被害が続いています。また、ランサムウェアによって流出したと思われる事業者の財務データや個人情報などが、ダークウェブに公開されている状況も確認されています。
ランサムウェアを用いた攻撃として、昔は不特定多数の利用者に電子メールをばらまき感染を広げる手法が一般的でしたが、最近では特定企業を狙ってネットワーク機器の脆弱性を悪用して侵入するケースが増えています。そのため「ランサムウェア対策」と言っても、攻撃手法の変化に応じて対策方法を変えることが必要なため、大手企業であっても対策は簡単ではなく、ランサムウェアを用いたサイバー攻撃は後を絶ちません。
実際、2025年6月に発生した大手出版社を狙った事件を記憶にしている方も多いはずです。大手出版社のサーバがランサムウェアを含む大規模な攻撃を受け、この攻撃によって同社が提供する動画共有サービスをはじめとしたウェブサービスが広く停止したほか、書籍の流通などの各種事業に影響が発生しました。同社は、この攻撃により25 万人分を超える個人情報や企業情報の漏洩と、調査や復旧費用等として20億円を超える損失 を同年度決算に計上する見込みであることを発表しました。
ランサムウェアの脅威だけ考えても、最新情報を収集し続け、新たな攻撃手法への対策や従業員への知識共有を継続する重要性と大変さは想像できるでしょう。
SASEが注目される背景3:取り組みが拡大するゼロトラスト
最後に、従来型の境界防御モデルに代わるセキュリティ対策の考え方として提唱されたゼロトラストと、ゼロトラストの実践方法たりえるSASEについて簡単に説明します。
どちらの概念も提唱された時期はコロナ前ですが、世界中でクラウド利用が進み、境界防御モデルの抱える問題が広く共有されるようになってから、大きく注目が集まっています。
ゼロトラストの基礎
ゼロトラストはそれまで主流だった「境界防御モデル」とは異なる、2010年代はじめに登場したセキュリティ構築に関する考え方です。英語のZeroとTrustを組み合わせた造語であり、「システムの中にすでに攻撃者がいるかもしれない」という前提でネットワークやユーザ、デバイスなどすべてを監視して、必要に応じてアクセスを許可します。従来の境界防御モデルに比べてセキュリティ強度を格段に高められるため、リモート環境からのネットワークアクセスやセキュリティ面に不安のあったクラウドサービスの利用も安心です。
しかしゼロトラストは、IDをはじめアクセス場所や時間など、さまざまな要素への対策を組み合わせてセキュリティを保つ考え方であり、従来の境界防御モデルと比べて、どうしても運用の手間が増えてしまいます。企業が管理するすべてのデータに対するすべてのユーザからのアクセスを、常に最大限警戒して監視するのは現実的ではありません。こういった理由もあり、ゼロトラストは「セキュリティを高く保つために効果的」だと認識されてはいましたが、2010年代はじめの提唱された直後には普及しませんでした。
ゼロトラスト実践の難しさとSASEの登場
ゼロトラストは実践が難しいこともあり、提唱された直後には普及しませんでした。
ゼロトラストを実践するためには、複数のセキュリティ対策技術を組み合わせて、社内外の境界だけでなくあらゆる場所やタイミングでの監視が必要です。アクセス監視やログ収集を常時行ない、不正アクセスやサイバー攻撃などのインシデントへ迅速に対応し、アクセス権限を細分化する。そのためには、たとえば多要素認証(MFA)や特権アクセス管理を導入してアクセス権限の細分化により機密性を保つ。役割や権限ごとにリソースへのアクセスを細かくコントロールし、情報漏洩リスクを低減する。アクセス監視やログ収集を常時行い不正アクセスやサイバー攻撃などのインシデントへの即時対応を可能にするといった具合に複数の機能を組み合わせる必要があります。
SASEはネットワーク機能とセキュリティ機能を1つにパッケージングした製品・サービスであり、ゼロトラストの実践方法の1つだと考えることもできます。
SASE登場は、従来の境界防御モデルでのセキュリティ対策に限界を感じていたものの、どのような製品・サービスへ移行すればよいかで悩んでいたユーザにとって、分かりやすく具体的な方法の提示だったといえるでしょう。
SASEの具体的な機能例
SASEは、ゼロトラストをどのように実現するのでしょうか。企業ごとにSASEに求める機能は異なります。また、多くのベンダがネットワークとネットワークセキュリティに関する幅広いニーズすべてに対応した製品・サービスを取り扱っている訳ではありません。そのため実際は、必要に応じて複数ベンダの提供するSASE製品・サービスを組み合わせて利用する形態が一般的です。
適切な組み合わせのためにも、ベンダ各社が提供しているSASE製品・サービスによく利用されている代表的な機能について、導入前に基礎知識を把握しておきましょう。
SD-WAN(Software-Defined WAN)
SD-WAN(Software-Defined WAN)は、直訳すると「ソフトウェア定義のWAN」であり、ソフトウェアにより既存の物理回線を利用して、仮想的なWAN(Wide Area Network)を構築するネットワーク機能です。
従来は、各拠点とデータセンターを物理的なWANで結び、各拠点が外部と通信を行う際にデータセンターを経由する方式が主流でした。しかし、固定経路で通信するため、通信量が増大して遅延が発生しやすく、柔軟性や拡張性に難がありました。
一方SD-WANは、物理回線上に仮想ネットワークを構築して物理回線に依存せず安全に各拠点から直接インターネットに接続。ソフトウェアで通信品質を監視し、柔軟に最適な通信経路をルーティングします。この方法により、通信遅延を最小限に抑えてWeb会議のような通信データ量が多いクラウドサービスも快適に利用できます。
SWG(Secure Web Gateway)
SWG(Secure Web Gateway)は、クラウド上でインターネットへの接続を中継し、Web通信の可視化やアプリケーション制御を担うセキュリティ機能です。
従来の「境界防御モデル」でプロキシサーバが担っていた役割に加えて、フィルタリングにより危険なWebサイトへのアクセスを防止する、マルウェア感染を防止するといった機能も備えています。
CASB(Cloud Access Security Broker)
CASB(Cloud Access Security Broker)は、複数のクラウドサービスを安全に利用するためのセキュリティ機能4つをまとめた総称であり、この4機能をまとめて提供するサービスを指す場合もあります。SASE提唱より7年前の2012年に、アメリカのガートナー社により概念として生み出されました。
機能4つとは、クラウドサービス利用状況の可視化とアクセス制御の一元管理、機密データの漏洩防止、異なるクラウドサービスへの同じセキュリティポリシー適用、マルウェア感染や目的外利用などの検出です。
FWaaS(FireWall as a Service)
FWaaS(Firewall as a Service)は、外部からの不正なアクセスや攻撃を防ぐ、クラウドサービスとして提供されるファイアウォールです。
従来の端末ごとにインストールするファイアウォールと比べて、アクセス地点に関わらずセキュリティを確保できる、ユーザ側のアップデートが不要、ネットワーク構成の変更に柔軟に対応できる、といった利点があります。
IPS(侵入防止システム)やアプリケーション制御などの機能を備えた、次世代ファイアウォール(NGFW)も登場しています。
ZTNA(Zero Trust Network Access)
ZTNA(Zero Trust Network Access)は、ゼロトラストの考え方にもとづき、アプリやデータにアクセスするたびに、ユーザのアイデンティティや端末のセキュリティ状態を確認してアクセスを管理するセキュリティ機能です。
VPNのように認証によってネットワーク上のリソースすべてへのアクセスを許可するのではなく、要求された特定アプリケーションへのアクセスのみを許可し、他アプリケーションやデータへのアクセスを拒否します。
DLP(Data Loss Prevention)
DLP(Data Loss Prevention)は、情報漏洩防止を目的としたセキュリティ機能です。データにアクセスするユーザに注目するのではなく、アクセスされる機密性の高いデータに焦点をあてた機能です。特定のデータを監視し、アクセスやコピー、社外への送信といったアクションをリアルタイムで監視して警告や動作制限します。
SASE導入前に考えておきたいポイント
SASE導入は、目的ではなくゼロトラスト実践、さらに言えばゼロトラストを実践して安全にクラウドを活用してDXを推進する手段です。そのため、製品・サービス選びが単純な費用比較になってしまわないように、SASE導入前に自社にとって重要なポイントを明確化しておきましょう。
自社のビジネスに必要な機能について把握する
ベンダ各社の提供するSASE製品・サービスが備えている機能は、同じではなく、ユーザごとに必要な機能は異なります。そのため、自社の保有するデータの量や質、どのように利用しているかといった情報を把握し、どのような機能を組み合わせて使いやすさと高いセキュリティの担保を両立するのかを考える必要があります。
ネットワーク機能について考える際には、クラウドサービスの利用状況やテレワークの利用割合といった要素が重要です。セキュリティ機能について考える際には、取り扱う機密データの多寡やアクセス頻度、アクセスするユーザの規模といった要素が重要になります。
SASEだけでなくSSEも選択肢に入れる
SSE(Security Service Edge)は、SWGやZTNA、FWaaSなどを組み合わせて提供するセキュリティサービスであり、SASEのネットワークセキュリティ部分に絞って提供するサービスだといえます。SD-WANのようなネットワーク機能をすでに利用しているといった理由で、既存サービスをすべて置き換えるよりもセキュリティ機能だけを強化したいという場合に有用です。
複数のサービスを組み合わせてSASEを実現する前提で限られた機能を提供するサービスもあるため、製品選びの際には1つのサービスを選ぶと考えるのではなく、SSEサービスを含む複数サービスを組み合わせた利用を視野に入れると、選択肢が広がります。
社内の経営層や現場ユーザの協力と理解を得る
SASE導入を成功させるためには、守るべきシステムやデータといった資産を明確化し、特に重要な資産を保管する場所を限定して保管場所へのアクセス監視の負荷を減らすといったような、全社的な取り組みが不可欠です。情報システム担当者だけでは主導しきれない部分もあるため、全社的な視点で資産について判断できる経営層の協力を得る必要があります。
また、SASE導入でセキュリティを担保するためにユーザの認証やアクセス周りの手順が煩雑になってしまいがちなため、業務効率に悪影響を与えないように現場ユーザの理解を得るのも重要です。新しい業務プロセスの必要性を理解してもらう、自動化によってユーザへの負荷を減らす、使い勝手や不満点についてヒアリングして改善を続けるといった取り組みで、無理のない定着を目指しましょう。
導入後の運用体制についても事前に考えておく
SASEサービス導入後の安定的な運用やトラブル解決のためには、専門知識が欠かせません。そのためベンダのサポート体制をはじめ、ユーザコミュニティやドキュメントの充実度も事前に確認しておくのがベターです。ベンダだけでなくコミュニティが公開しているドキュメントやナレッジが充実していると、社内人材だけで日常的な要望や疑問に対応できる幅が広がります。
また長期的に安定した運用のためには、専門人材の社内育成体制を整備する、専門人材を擁する適切なアウトソース先を見つけておく、といった取り組みを並行すると一層安心です。
まとめ
激化するサイバー攻撃への対策のため、「ゼロトラスト」の実践方法としてSASEが注目されています。また近年ではコロナ禍の影響もあり、社外から基幹システムや業務システムなどにアクセスしたいというユーザニーズが急速に高まり、DX推進が進められています。
ネットワーク機能とセキュリティ機能をまとめて提供するSASEを活用すれば、「使いやすさ」と「安全性」を同時に満たし、社内システムの「さまざまな端末・環境からのセキュアなアクセス」を実現可能です。しかし、SASE製品・サービスの導入を成功させるのは簡単ではありません。SASEやゼロトラストは考え方であり、それぞれ企業ごとに異なるデータ管理や社内ネットワーク構造、ビジネスにおけるデータ活用といった要素を勘案して、自社にマッチした製品・サービスを探す必要があるためです。
SASE導入には、情報システム担当者だけで対応できる範囲を超えて自社が保有するデータの整理やビジネスフローの見直しといった全社的な取り組みが不可欠であり、どうしても時間が掛かります。社内の担当者への負荷を軽減するために外部のプロフェッショナルの手を借りたい場合は、ぜひセラクへご相談ください。
セラクは、企業IT環境のインフラ・クラウド導入から運用保守サービスまで、ワントップで提供しています。ゼロトラストやSASEに関してもCato Networks社やSonicWall社、シスコシステムズ合同会社、Sophos社、Fortinet社をはじめとした各社製品・サービスを取り扱っています。
