// シス担のミカタ
ゼロトラスト・SASE

SSE(Security Service Edge) えすえすいー

ゼロトラストSASEクラウドセキュリティCASBSWGZTNA
SSEについて教えて

簡単に言うとこんな感じ!

SSEは「会社のセキュリティ機能をまるごとクラウドに引っ越した」イメージだよ!社内にどっしり置いてたファイアウォールやウイルス対策を、インターネット上のサービスとしてまとめて提供してくれるんだ。在宅勤務でも出張先でも、どこからでも同じセキュリティで守れるってこと!

SSE(Security Service Edge)とは

SSE(Security Service Edge) とは、企業のセキュリティ機能をクラウド上に集約して提供するアーキテクチャ(システムの設計思想)の総称です。2021年にITリサーチ会社のGartnerが提唱した概念で、従来は社内のサーバーやアプライアンス機器(専用ハードウェア)で実現していたセキュリティを、インターネット経由のクラウドサービスとして提供します。

SASE(Secure Access Service Edge) という、より広い概念の「セキュリティ半分」にあたるのがSSEです。SASEはセキュリティ+ネットワーク(通信経路)をセットにしたフレームワークですが、SSEはそのうちセキュリティ機能に特化しています。社内ネットワークを前提にしたオンプレミス型(自社設置型)のセキュリティが、クラウド・リモートワーク時代に合わなくなってきたことを背景に生まれました。

具体的には、SWG(Secure Web Gateway)CASB(Cloud Access Security Broker)ZTNA(Zero Trust Network Access) という3つのコア機能をクラウド上でひとまとめにして提供するのが典型的な構成です。これにより、社員がどこにいてもオフィスと同等のセキュリティ環境を利用できます。

SSEの構成要素と仕組み

SSEは主に3つのコア機能と、それを支えるクラウド基盤で成り立っています。

コンポーネント正式名称役割身近な例え
SWGSecure Web GatewayWebアクセスの監視・フィルタリング有害サイトへの入口を閉める門番
CASBCloud Access Security BrokerSaaS利用の可視化・制御社員のクラウドサービス利用を見張る管理者
ZTNAZero Trust Network Access社内システムへの安全なリモートアクセスVPNに代わる厳格な入館証
FWaaSFirewall as a Serviceクラウド型ファイアウォール(拡張機能)建物の外壁を守る警備システム
DLPData Loss Prevention機密データの外部流出防止(拡張機能)社外への情報持ち出しチェック

ゼロトラストとの関係

SSEは ゼロトラスト(Zero Trust)」 の考え方を実装する手段の一つです。ゼロトラストとは「社内にいても社外にいても、すべての通信を信頼しない」という原則で、アクセスのたびに本人確認・端末確認・権限確認を行います。SSEのZTNAがこの考え方をリモートアクセスに適用し、従来のVPNよりも細かいアクセス制御を実現します。

SSEとSASEの違いを覚えるコツ

「SASE = SSE + SD-WAN と覚えよう!

  • SSE → セキュリティ機能だけをクラウド化
  • SASE → SSE + SD-WAN(ネットワーク最適化)をセットにした完全版

歴史と背景

  • 2004年以前 — 企業のセキュリティは社内設置のファイアウォール・プロキシサーバーが主流。「境界型セキュリティ」と呼ばれ、社内=安全・社外=危険という考え方
  • 2010年代前半 — スマートフォン普及・クラウドSaaS(Salesforce, Office 365など)の台頭で、社内ネットワークの外にデータが出るようになり、境界型セキュリティが機能しにくくなる
  • 2019年 — GartnerがSASEの概念を発表。ネットワークとセキュリティをクラウドで統合するフレームワークとして提唱
  • 2020年 — 新型コロナウイルスによる在宅勤務の急拡大で、VPNの限界(速度低下・管理コスト)が顕在化。クラウド型セキュリティへの移行が加速
  • 2021年 — GartnerがSASEからセキュリティ機能を切り出した SSE という概念を定義・発表。NetskopeZscaler・Palo Alto Networksなどのベンダーが対応製品を相次いでリリース
  • 2022年〜現在 — 日本国内でも大手企業・官公庁がSSE/SASE導入を本格化。ゼロトラスト実現の具体的手段として注目が高まっている

SSE・SASE・従来型セキュリティの比較

SSE / SASE / 従来型セキュリティの比較 従来型(オンプレミス) 社内ファイアウォール プロキシサーバー VPN装置 社内設置型アンチウイルス ❌ リモートワークに弱い ❌ 拠点ごとに機器が必要 ❌ クラウドSaaSに対応困難 SSE(セキュリティ特化) SWG(Webフィルタリング) CASB(SaaS制御) ZTNA(ゼロトラスト接続) FWaaS / DLP(拡張) ✅ どこからでも同じセキュリティ ✅ クラウドSaaSに対応 ⚠️ ネットワーク最適化は別途 SASE(SSE+ネットワーク) SSEの全機能 (SWG・CASB・ZTNAなど) SD-WAN(通信最適化) クラウドネットワーク管理 ✅ セキュリティ+通信を統合 ✅ 拠点間通信も最適化 ✅ 完全なクラウドネイティブ 進化 拡張 Gartner定義より筆者作成

主要SSEベンダーと特徴

ベンダー製品名特徴
ZscalerZscaler Internet Access / Private Access業界最大規模のクラウドセキュリティ基盤。グローバル展開に強い
NetskopeNetskope OneCASBの老舗。SaaSの可視化・制御に定評
Palo Alto NetworksPrisma Access次世代ファイアウォールとの統合が強み
MicrosoftMicrosoft Entra Internet Access / Private AccessMicrosoft 365環境との親和性が高い
CloudflareCloudflare Oneコストパフォーマンスと導入容易性で注目

関連する規格・RFC

規格・文書内容
RFC 8446TLS 1.3 — SSEがWebトラフィック検査に利用するSSL/TLSの最新規格
RFC 7636PKCE(Proof Key for Code Exchange)— ZTNAの認証フローで利用されるOAuth拡張
RFC 8555ACME — SSEインフラで利用される証明書自動発行プロトコル

関連用語

  • SASE — SSEにSD-WANを加えた、ネットワーク+セキュリティの統合フレームワーク
  • ゼロトラスト — 「何も信頼しない」を前提にしたセキュリティの設計思想。SSEの根幹となる概念
  • ZTNA — ゼロトラストの考え方でリモートアクセスを制御する技術。VPNの後継として注目
  • CASB — クラウドサービス利用を可視化・制御するセキュリティ機能
  • SWG — Webアクセスを監視・フィルタリングするクラウド型ゲートウェイ
  • SD-WAN — ソフトウェアで広域ネットワークを制御・最適化する技術。SASEの通信側を担う
  • DLP — 機密データの外部流出を検知・防止するセキュリティ機能
  • クラウドセキュリティ — クラウド環境全体を守るセキュリティ対策の総称