SASEとSSEとは何か
セキュリティ境界はもはやネットワークのエッジにはありません。ユーザーは自宅、空港、支社など様々な場所から接続します。アプリケーションはSaaSプラットフォームやマルチクラウド環境に存在します。従来のファイアウォールやVPNコンセントレーターは可視性のないものを保護するのに苦労し、攻撃者はその隙間を突いてきます。
この現実に対応する2つのアーキテクチャフレームワークが、Secure Access Service Edge(SASE)とSecurity Service Edge(SSE)です。両者の違いを理解し、自組織に本当に必要なものを見極めることが、拡張性のあるセキュリティアーキテクチャを構築できるか、新たな死角を生むかを左右します。
- SASEは2019年にGartnerによって提唱され、WAN機能とSWG、CASB、FWaaS、ZTNAなどのネットワークセキュリティ機能を組み合わせ、デジタル企業の動的なセキュアアクセス要件をサポートするサービスです。SASEの機能は、エンティティのアイデンティティ、リアルタイムのコンテキスト、企業のセキュリティおよびコンプライアンスポリシーに基づいてサービスとして提供されます。このモデルは各セッションを通じてリスクと信頼を継続的に評価します。
- SSEはその後に登場したセキュリティに特化した対となるフレームワークです。 GartnerのSSE定義は、SASEのセキュリティ部分のみを提供し、アクセス制御、脅威防御、データセキュリティ、監視などのクラウドベースのセキュリティサービスをネットワーク層なしで実現します。
最もシンプルな整理方法は、SASE = SSE + SD-WANです。SSEは統合SD-WANネットワーキングを除いたSASEのサブセットです。
SASEとSSEがサイバーセキュリティに与える影響
両フレームワークは、 ゼロトラストの原則を NIST SP 800-207で定義された形で実装します。Gartnerの原論文では、ネットワークアクセスはIPアドレスや物理的な場所ではなく、ユーザー、デバイス、アプリケーションのアイデンティティに基づくべきとされています。また、SASEはユーザーが企業ネットワーク内外のどちらにいても一貫したセッション保護を提供することが明記されています。 NISTの実装ガイダンスでも、SDPやSASEがゼロトラスト実装のための企業構成例として含まれています。
CISAのクラウドガイダンスもこれを補強しており、Cloud Use CaseガイダンスでSASEやZTNAをリモートアクセス用のセキュリティメカニズムとして挙げています。CISAのポリシー施行ガイダンスでも、SASEベースのプライベートアクセスソリューションを個別のポリシー施行ポイントの例として引用しています。
セキュリティチームにとって、SASEやSSEはオプションの追加機能ではありません。すでに求められているゼロトラストポリシーを実現するための提供手段です。導入するか否かではなく、どの範囲が自組織に適しているかが問われます。
SASEとSSEのコアコンポーネント
両アーキテクチャは共通のセキュリティ基盤を持ちます。SASEはネットワークに特化したコンポーネントを追加し、全体の導入モデルを変えます。
- セキュアWebゲートウェイ(SWG)は、HTTPS/SSLなど暗号化通信を含む全てのインターネット向けトラフィックを検査・フィルタリングし、ユーザーをWebベースの攻撃から保護します。SSE導入では、SWGがクラウド上のプロキシとしてアウトバウンドトラフィックを処理します。SASEではSD-WANのトラフィックステアリングと統合され、支社のインターネットトラフィックが自動的に検査ポイントを経由します。
- クラウドアクセスセキュリティブローカー(CASB)は、SaaSアプリケーションの可視化、コンプライアンス施行、データ保護を提供します。CASBはインラインプロキシ型とAPI型の2つのモードで動作します。CASBは、SWGだけではカバーできないクラウドサービスのセキュリティギャップに対応します。
- ゼロトラストネットワークアクセス(ZTNA)は、従来のVPNに代わり、アイデンティティとコンテキストに基づいて特定のプライベートアプリケーションへのアクセスを提供します。VPNとの決定的な違いは、ZTNAがネットワークセグメント全体ではなく個々のアプリケーションへのアクセスのみを許可し、 ラテラルムーブメントの暗黙的な信頼を排除する点です。SSEではクラウドPoPが認証とデバイスポスチャ検証を仲介します。SASEでは支社からアプリケーションへのトラフィックもSD-WAN統合を通じてゼロトラストポリシーに従います。
- Firewall-as-a-Service(FWaaS)は、クラウドから侵入防止、アプリケーション制御、URLフィルタリング、レイヤ7のディープパケットインスペクションを提供し、各拠点の物理ファイアウォール機器を不要にします。
- データ損失防止(DLP)は、SWG、CASB、ZTNAに組み込まれた横断的な機能として動作します。Forresterは SSE DLPのモダナイゼーションをSSE導入の推進要因として挙げています。
- SD-WAN(SASE専用の差別化要素)。SD-WANは、複数の伝送リンクを横断するWANトラフィックをインテリジェントかつソフトウェア制御でルーティングし、動的パス選択、QoS、支社接続の集中管理を実現します。SD-WANがなければ、SSEのセキュリティツールは主にユーザーからインターネットやクラウドへのPoP経由トラフィックのみを可視化します。SASEでSD-WANが統合されることで、支社間、支社-データセンター間、支社-クラウド間など全WANトラフィックの可視性が得られます。
これらの共通および固有コンポーネントが、各フレームワークが保護できる範囲を定義します。実際の運用方法は、導入モデルやプラットフォームが可視化すべきトラフィックフローによって異なります。
SASEとSSEの動作
日常運用では、両フレームワークともユーザートラフィックをクラウドのPoP(Point of Presence)にルーティングし、そこでセキュリティポリシーを実行します。違いはスコープとトラフィック可視性にあります。
- SSEの場合:リモートユーザーがブラウザを開くと、トラフィックは最寄りのSSE PoPを経由し、SWGがリクエストを検査、CASBがSaaSポリシーを施行、ZTNAがアイデンティティとデバイスポスチャを検証してプライベートアプリケーションへのアクセスを許可します。セキュリティチームは全てを単一のクラウドコンソールで管理します。ネットワークチームとの連携は不要です。
- SASEの場合:同じセキュリティ検査が適用されますが、SD-WANが支社トラフィックもプラットフォーム経由で制御します。支社ユーザーが内部アプリケーションにアクセスする際も、リモートユーザーと同じゼロトラストポリシーが適用されます。WAN最適化によりアプリケーションパフォーマンスが向上し、FWaaSが拠点間のイースト-ウエストトラフィックを検査します。セキュリティチームとネットワークチームがそれぞれのコンポーネントを1つのプラットフォームで管理します。
GartnerのSSE基準は、復号化対応のアイデンティティ認識型フォワードプロキシ、主にクラウド提供の管理・データプレーン、インラインおよびアウトオブバンドのSaaS保護、エージェント有無両対応の適応型アクセス制御、外部IDプロバイダーとの統合など、必須の運用機能を定義しています。
実際の導入モデルは次のように現れます:
- セキュリティ主導、SSE先行:一般的なパターンです。まずZTNAでVPNを置き換え、次にSWGを追加し、SaaS可視化のためにCASBを重ねます。SD-WANは後から、または導入しない場合もあります。
- ネットワーク主導、SD-WAN先行:MPLSオフロードプロジェクトを進める組織は、まずSD-WANを導入し、その上にSSEセキュリティ機能を追加します。
- 二重チーム導入:ネットワークチームがSD-WANを運用し、セキュリティチームが別のSSEサービスを管理します。これにより運用上の摩擦が生じます。
- マネージドSASE/SSE:導入やポリシー管理をマネージドセキュリティプロバイダーに委託します。
エンドポイント保護はZTNA層で統合されます。 EPP/EDRプラットフォームがデバイスヘルスシグナルをZTNAの条件付きアクセス判定に提供します。デバイスがポスチャチェックに失敗した場合、ZTNAが自動的にアクセスを制限します。SASEもSSEもエンドポイントセキュリティの代替ではありません。補完的なレイヤーで動作します。
SASEとSSEのベストプラクティス
コンポーネントや導入モデルの理解が第一歩です。どちらのフレームワークも効果的に運用するには、最初から運用上の規律が求められます。
製品ではなくアーキテクチャから始めましょう。まずゼロトラストを設計し、それに合わせてソリューションを選定します。設計の悪いシステムにツールを導入しても価値を発揮できません。
- 稼働率以外のSLAも精査する。可用性だけでなく、問題特定までの時間、復旧までの時間、変更精度、SOCフィードの可用性、セキュリティアップデート頻度などのコミットメントを要求しましょう。
- 移行プレイブックを要求する。プロバイダー選定前に、VPNやオンプレミスゲートウェイからの移行計画を詳細に提示させましょう。
- エンドポイントヘルスをZTNAに連携する。エンドポイント保護プラットフォームがデバイスポスチャシグナルをZTNA条件付きアクセスエンジンに連携できない場合、ゼロトラストで最も価値のあるシグナルを活用できていません。Singularity PlatformはSASEおよびSSEフレームワークと統合し、アイデンティティコンテキストと組み合わせたデバイスヘルスシグナルをリアルタイムで提供します。
- サイロ化したチーム構造を避ける。ネットワークチームとセキュリティチームが別々のプラットフォームを運用し、統合計画がない場合、コストが増え可視性が低下します。SASEを選ぶ場合は、最初からクロスチームガバナンスを計画しましょう。
これらの運用基盤は、どちらのフレームワークを選んでも適用されます。次のステップは、自組織に合ったスコープを見極めることです。
SASEとSSEの選択
SASEとSSEの選択は、どちらが優れているかではなく、自組織の現状と将来像にどちらのスコープが合致するかです。
| ディメンション | SSE | SASE |
| スコープ | セキュリティサービスのみ | セキュリティ+WANネットワーキング |
| SD-WAN | 含まれない | コアコンポーネント |
| WANトラフィック可視性 | PoP経由フローに限定 | 全WANトラフィックを完全可視化 |
| 主なユースケース | クラウドファースト、リモートファースト組織 | 支社を持つ分散型企業 |
| チームの所有権 | セキュリティチームが単独管理 | セキュリティ+ネットワークの統合が必要 |
| 導入の複雑さ | 低く、段階的導入に適する | 高く、同時変革が必要 |
SSEを選ぶべき場合:
- 既に機能するSD-WANを導入済みで、クラウドセキュリティのみを追加したい場合(ネットワークインフラの置き換え不要)。
- セキュリティチームが独立して変革を主導し、ネットワークチームとの連携が不要な場合。
- 主なユースケースがリモートユーザーやSaaSアプリケーションの保護である場合。
- 予算や組織上の制約からZTNAやSWGから段階的に導入したい場合。
フルSASEを選ぶべき場合:
- MPLSオフロードとセキュリティ変革を同時に進める場合。
- 支社ハードウェアのリフレッシュサイクルとセキュリティアーキテクチャの計画が重なる場合。
- SSE単独では実現できない、全WANトラフィックの可視性をセキュリティツールに求める場合。
- ネットワークとセキュリティ両方のベンダー契約統合を目指す場合。
市場は単一ベンダーによるSASEプラットフォームへと移行しています。 Forrester SASE Waveでは、SD-WAN、SSE、ZTNAを統合コンソールで提供することが評価対象の条件となっています。
多くの組織にとって、SSEが現実的な出発点であり、SASEが長期的なアーキテクチャの到達点です。Gartnerによれば、組織は平均 45種類のサイバーセキュリティツールを利用しています。SSEとSASEは、その乱立を統合する道筋を提供します。
SSEからフルSASEへの移行
多くの組織はSASEを一度に導入しません。一般的なパスはSSEから始まり、ネットワーク要件の進化に応じてフルSASEへ拡張します。GartnerのSASEコンバージェンス戦略ロードマップは、既存ITスキル、ベンダー契約、ハードウェアリフレッシュサイクルとSASEロードマップの整合を支援します。
移行計画
SSEからSASEへの移行は、通常以下の順序で進みます:
- フェーズ1:ZTNAによるVPN置き換え。最も一般的な導入入口です。レガシーVPNコンセントレーターを廃止し、リモートユーザーアクセスをクラウドベースZTNA経由に切り替えます。セキュリティチームが独立して推進します。
- フェーズ2:SWGとCASBの統合。オンプレミスWebプロキシやスタンドアロンCASBツールをSSEプラットフォームに移行します。DLPポリシーをWeb、SaaS、プライベートアプリケーショントラフィック全体で統一します。
- フェーズ3:SD-WAN統合。支社WANインフラをMPLSや静的VPNからSD-WANへ移行します。この段階ではネットワークチームの関与や支社ハードウェアのリフレッシュが必要です。
- フェーズ4:統合SASE運用。セキュリティとネットワークのポリシーを単一の管理プレーンに統合し、クロスチームガバナンスモデルで共同所有を正式化します。
フェーズ2からフェーズ3への移行トリガーは、MPLS契約更新、支社ハードウェアの寿命、主要オフィスの拡張などインフライベントが多いです。これらのトリガーがなければ、SSEのままでもセキュリティ価値を損なうことはありません。
コストと予算要素
SSEは支社ハードウェアの置き換えやWAN再設計が不要なため、初期コストが低くなります。SSEとフルSASEのコスト差は以下の要素に分かれます:
| 要素 | SSE | フルSASE |
| 初期ハードウェア | 不要(クラウド提供) | 各支社にSD-WANエッジデバイス |
| ライセンスモデル | ユーザー単位のセキュリティサービス | ユーザー単位のセキュリティ+拠点単位のネットワーク |
| WAN伝送 | 既存インフラは変更なし | 新規伝送リンクまたはMPLSオフロード |
| チームリソース | セキュリティチームのみ | セキュリティ+ネットワーク統合 |
| ベンダー統合 | セキュリティスタックのみ | セキュリティ+ネットワークを単一ベンダーで統合 |
Gartnerは2026年までに新規SD-WAN購入の60%が単一ベンダーSASEの一部になると予測しています。予算制約のあるチームにはSSEが最速のセキュリティROIを提供します。SASEはWANインフラが近代化のタイミングにある場合にネットワークROIも加わります。SSEとSD-WANを契約更新時に単一ベンダーへ統合すれば、早期解約手数料を回避し、交渉力も高まります。
SentinelOneによるゼロトラストアクセスの保護
SASEとSSEはネットワーク層アクセスとクラウドトラフィックを保護しますが、エンドポイントにはデバイスレベルでの自律的な保護が必要です。Singularity Platformはこの役割を担い、SASE/SSEフレームワークと統合してデバイス層でゼロトラストアーキテクチャを強化します。
最も重要な統合ポイントはZTNAの条件付きアクセスです。SentinelOneは外部セキュリティプラットフォームとの連携を通じて、リアルタイムのデバイスポスチャシグナルをZTNA判定に提供します。エンドポイントでユーザーアイデンティティが侵害された場合、SentinelOneはその情報をリアルタイムでアイデンティティ制御に共有し、条件付きアクセスのポリシーを発動してラテラルムーブメントが始まる前に企業リソースへのアクセスを遮断できます。
Singularity™ Platformは、ネットワークテレメトリとエンドポイント、クラウド、アイデンティティデータを単一の統合ビューで相関させるXDR機能を提供します。特許取得済みのStoryline™テクノロジーにより、これらの異なるシグナルを自動的に結び付け、統一されたインシデントタイムラインを構築します。
これにより、セキュリティチームはラテラルムーブメントの特定、セキュリティエージェント未導入のシャドウアセットの発見・プロファイリング、侵害デバイスの隔離や未知の脅威との通信遮断などの自動対応が可能となります。セキュリティチームのアラート疲労を軽減し、セキュリティ効率を向上させます。ツアーをご覧ください。
Purple AIはこれをさらに拡張します。単一の調査セッションで複数ソースのデータをクエリできます。 IDC調査によると、Purple AIは以下の運用改善をもたらします:
- 63%の脅威特定高速化(相関データソース全体で)
- MTTRを55%削減(統合調査ワークフローによる)
これは、SSEプラットフォームが疑わしいアクセスパターンを検知し、アナリストがエンドポイントテレメトリ、プロセスツリー、アイデンティティシグナルを1つのワークフローで確認する必要がある場合に重要です。
SentinelOne Singularity AI SIEMおよびData Lakeは、さらなる統合メリットを提供します。大規模並列クエリエンジンとカラムナデータベースを活用し、OCSF正規化によるあらゆるソースからの高速データ取り込みを実現します。スキーマフリーアーキテクチャにより、ストリーミングデータ上でリアルタイム検知が可能となり、従来型SIEMよりも大幅に高速なクエリ性能を提供します。SASEやSSEのテレメトリをエンドポイントやアイデンティティイベントと統合するチームにとって、そのスピードは調査・対応の迅速化に直結します。
Singularity Network Discoveryはエージェント技術でネットワークをマッピングし、不正デバイスを特定します。これはSASEやSSE導入に必要な継続的なデバイスポスチャ評価を直接サポートします。SentinelOneは 2024 MITRE ATT&CK Evaluationsで中央値比88%少ないアラート、100%検知・遅延ゼロを達成し、 Gartner Magic Quadrantのエンドポイント保護部門で5年連続リーダーに選出されています。アラートが少ないことは、ゼロトラストアーキテクチャでアイデンティティ、エンドポイント、ネットワークのコンテキストを管理する際のアナリスト疲労軽減につながります。
現在SSEを導入している場合も、フルSASEを目指す場合も、エンドポイント保護プラットフォームはゼロトラストを現実のものとするシグナルソースです。Singularity Platformはネットワークセキュリティとエンドポイント可視性のギャップを埋めます。 SentinelOneのデモをリクエストし、自律型エンドポイント保護がSASEやSSE導入とどのように統合されるかをご確認ください。
主なポイント
SASEはセキュリティサービスとSD-WANネットワーキングを組み合わせたものです。SSEはセキュリティ部分のみを提供します。多くの組織にとってSSEが現実的な導入入口であり、SASEが長期的な到達点です。両フレームワークはゼロトラスト原則を実装し、ZTNAアクセス判定にエンドポイントヘルスシグナルの連携が不可欠です。
市場は統合プラットフォームへと収束しています。Singularity Platformのような自律型エンドポイント保護はZTNA層で統合され、どちらのアーキテクチャにも必要なデバイスポスチャインテリジェンスを提供します。
よくある質問
SASE(Secure Access Service Edge)は、クラウド提供型のセキュリティサービスとSD-WANネットワーキングを単一のプラットフォームに統合します。SSE(Security Service Edge)は、セキュリティ部分のみを提供し、SWG、CASB、ZTNA、FWaaSを含みますが、SD-WANネットワーキングコンポーネントは含みません。
最も単純な説明は、SASE = SSE + SD-WAN です。セキュリティ変革とWANの近代化の両方が必要な組織はSASEを選択し、ネットワークインフラを変更せずにリモートユーザーやSaaSアクセスのセキュリティ強化に注力する組織はSSEを選択します。
はい。SSEはSWG、CASB、ZTNA、FWaaSをカバーするクラウド提供型のセキュリティスタックとして独立して動作します。ユーザートラフィックはSD-WANに依存せず、SSEのポイントオブプレゼンス経由でルーティングされます。
既存のWANインフラが稼働している組織や、主にリモートおよびSaaS接続ユーザーのセキュリティを重視する場合、SSEは低複雑性の選択肢となります。
いいえ。SSEはネットワーク層のアクセスおよびクラウドトラフィックフローを保護します。エンドポイント保護はデバイス自体を保護します。これらは補完的なレイヤーで動作します。統合ポイントはデバイスの健全性証明です。EPPがポスチャーシグナルをZTNAの条件付きアクセス判断に提供します。
エンドポイントテレメトリがなければ、ZTNAポリシーは真のゼロトラスト実施に必要なデバイスレベルのコンテキストを欠くことになります。
段階的なアプローチが一般的です。多くの組織は、レガシーVPNを置き換えるためにZTNAから開始し、次にオンプレミスのWebプロキシを置き換えるためにSWGを追加し、その後SaaSの可視化とDLPのためにCASBを導入します。SD-WANの統合は、組織がフルSASEを目指す場合に後から行われます。
特定のユーザーグループから開始し、全社展開へと拡大することでリスクを低減できます。
市場は統合プラットフォームへと移行しています。Forresterの2025年第3四半期SASE Waveでは、統合コンソールの提供が要件となりました。つまり、セキュリティとネットワークを別々のベンダーが担当するパートナーシップ型プラットフォームは減少傾向にあります。
両方の機能をネイティブに提供する、または選択したネットワークプロバイダーと深く統合された管理プレーンを持つベンダーを優先してください。
拠点ハードウェアのリフレッシュサイクルがセキュリティ変革と一致する場合、WANトラフィックの可視性を完全に確保してセキュリティ検査を行いたい場合、またはMPLSオフロードへの対応を同時に進める場合はSASEを選択してください。
主な課題がリモートユーザーやSaaSアクセスのセキュリティ強化であり、拠点ネットワークの変更が不要な場合は、SSEがより迅速かつ低複雑性で価値を提供します。
