SASEは、ネットワーク機能とネットワーク・セキュリティー機能を、単一のクラウド・サービスに統合したネットワーク・セキュリティー・アプローチです。 SASEと従来型のネットワーク・セキュリティーの主な違いは、SASEは、セキュリティー・ポリシーを適用するためにすべてのトラフィックがデータセンターにルーティングされるのではなく、セキュリティー機能とその他のサービスを、ネットワーク・エッジで、ユーザーとエンドポイントが接続される場所により近いところで提供することです。

SASEモデルは、ネットワーク・セキュリティーを強化し、ネットワーク・パフォーマンス管理を簡素化し、ユーザー・エクスペリエンス全体を向上させる非常に大きな可能性を持っています。

より多くの組織が、デジタ・トランスフォーメーションを追求し、クラウド環境、エッジコンピューティング、リモート・ワーク、またはハイブリッド・ワーク・モデルの導入をさらに進めるにつれて、ますます多くのユーザーとITリソースは、従来のネットワークの境界の外にあるという状況になってくるでしょう。 SASEにより、組織は、ユーザーやリソースがどこにあるかに関わらず、ユーザーとリソースの間を直接つなぐ、セキュアで、低遅延の接続を提供できます。 SASEは比較的新しいテクノロジー（2019年に業界アナリストのGartner社がこの用語を定義しました）ですが、多くのセキュリティー専門家は、SASEがネットワーク・セキュリティーの将来を象徴するものになると考えています。

SASEは、SD-WAN（Software Defined Wide Area Networking）と、SSE（Secure Service Edge）の2つの中核となるテクノロジーを組み合わせたもの、または収束したものです。 これらの各テクノロジーの機能を最初に理解すれば、SASEの仕組みをを理解しやすくなります。

SD-WAN

SD-WANは、サーバーが仮想化される方法とほぼ同じ方法で仮想化された広域ネットワークです。 基盤となるハードウェアの接続、スイッチ、ルーター、ゲートウェイからネットワーク機能を切り離し、ソフトウェア制御下のトラフィックに分割、集約、および適用が可能なネットワーク・キャパシティーとネットワーク・セキュリティー機能のプールを作成します。

従来型の広域ネットワーク（WAN）は、企業の支社のユーザーを、企業の中心にあるデータセンターのアプリケーションに接続することを目的に設計されており、通常は、高額な専用のプライベート・リース回線ネットワーク上に構築された接続でした。 各支店にインストールされたルーターにより、最も重要なアプリケーションの最適なパフォーマンスを確保するために、トラフィックの制御と優先付けが行われていました。 パケット・インスペクションやデータ暗号化などのセキュリティー機能が、中央のデータセンターに適用されていました。

SD-WANは当初、組織がWAN機能を、より安価で拡張が容易なインターネット・インフラストラクチャーで複製できるようにするために開発されました。 しかし、まずます多くの企業がインターネット・セキュリティーを完全に信頼できるものに整える前にクラウド・サービスを導入するにつれて、SD-WANに対する要求が増加していきました。 WANのセキュリティー・モデルは困難に直面しました。すなわち、企業のデータセンターを介して、かつてないほどに増大するボリュームのインターネット・トラフックをルーティングすることは、多額の費用がかかるボトルネックを生み出し、ネットワーク・パフォーマンスとユーザー・エクスペリエンスの双方に機能低下を招きました。

SD-WANは、トラフィックをセキュリティーにルーティングするのではなく、セキュリティーを接続ポイントでトラフィックに適用できるようにすることで、このボトルネックを排除しました。 こうすることで、組織は、SaaS（Software as a Service）アプリケーション、クラウド・リソース、またはパブリック・インターネット・サービスなどユーザーが必要とするものが何であれ、こうしたものとユーザーとの間を、直接つなぐセキュアで最適化された接続を確立できるようになります。

SSE

Gartner社によって提唱されたもう1つの用語であるSSEは、「SASEの半分のセキュリティー」です。 Gartner社は、SSEを3つの主要なクラウドネイティブ・セキュリティー・テクノロジーとして指定しています。

Secure Web Gateway（SWG）。 SWGは両方向のインターネット・トラフィックを管理するものです。 悪意のあるトラフィックが、ネットワーク・リソースに到達するのを防ぎ、トラフィック・フィルターやドメイン・ネーム・システム（DNS）クエリー・インスペクションなどの技術を使用して、マルウェア、ランサムウェア、およびその他のサイバー脅威を特定しブロックします。 また、権限を持ったユーザーが疑わしいWebサイトに接続するのを防ぎます。すなわち、インターネットに直接接続する代わりに、ユーザーとエンドポイントは、SWGに接続し、ユーザーとエンドポイントは承認されたリソース（例、オンプレミスのデータセンター、ビジネス・アプリケーション、クラウド・アプリケーション、クラウド・サービスなど）のみにアクセスすることを通じてSWGに接続します。

Cloud Access Security Broker（CASB）。 CASBは、ユーザーと、クラウド・アプリケーションおよびクラウド・リソースの間に存在します。 CASBは、ユーザーがクラウドにアクセスする際に、ユーザーの場所とアクセス方法に関わらず、暗号化、アクセス制御、マルウェア検知などの企業のセキュリティー・ポリシーを強化します。これは、エンドポイント・デバイスでソフトウェアのインストールを行わずに実行することが可能で、BYOD（個人所有デバイスの業務使用）やその他のワークフォース・トランスフォーメーションのユースケースに最適です。 また、CASBはその他にも、ユーザーが不明なクラウド資産に接続する際のセキュリティー・ポリシーを強化することもできます。

ゼロトラスト・ネットワーク・アクセス（ZTNA） ネットワーク・アクセスへのゼロトラスト・アプローチとは、すべてのユーザーとエンティティ―に対して、外部のものか、既にネットワークの中にいるかに関わらず、決して信頼せず、継続的に検証を実行するアプロ―チです。 検証済みのユーザーとエンティティーには、タスクを完了するために必要な最低限の特権アクセスが付与されます。 すべてのユーザーとエンティティーは、コンテキストが変更されるたびに強制的に再検証され、あらゆるデータのやりとりは、接続セッションが終了するまでパケット・ベースで認証されます。

ZTNAは、それ自体はセキュリティー製品ではありませんが、ID管理とアクセス管理（IAM）、多要素認証（MFA）、ユーザーとエンティティーの行動分析（UEBA）、およびさまざまな脅威検出対応ソリューションなどの多様なテクノロジーを使用して実装されたネットワーク・セキュリティー・アプローチです。

個々のベンダーのSASEプラットフォームには、Firewall as a Service（FWaaS）、データ損失防止（DLP）、ネットワーク・アクセス制御（NAC）、エンドポイント保護プラットフォーム（EPP）などの、他の脅威防止機能とセキュリティー機能が含まれています。

すべてを統合

SASEソリューションは、SD-WANを使用して、ユーザー、デバイス、その他のエンドポイントが、ネットワーク・エッジで接続されている場所、またはその近くで、SSEセキュリティー・サービスを提供します。

具体的には、検査と暗号化のために中央のデータセンターにすべてのトラフィックを送信する代わりに、SASEアーキテクチャーにより、エンド・ユーザー、またはエンドポイントの近くにある分散されたポイント・オブ・プレゼンス（PoP）に直接トラフィックを送信します。 （PoPは、SASEのサービス・プロバイダーが所有するか、またはサード・パーティー・ベンダーのデータセンターに設置されます。） PoPは、クラウド配信のSSEサービスを使用してトラフィックを保護し、その後、ユーザー、またはエンドポイントが、パブリッククラウドとプライベートクラウド、Software as a Service（SaaS）アプリケーション、 パブリック・インターネット、またはその他のあらゆるリソースに接続されます。

SASEは、セキュリティー・チーム、ITスタッフ、エンド・ユーザー、および組織全体に重要なビジネス上のメリットをもたらします。

コスト削減 - 具体的には、資本支出の削減。 SASEは、基本的にはSaaSのセキュリティー・ソリューションです。すなわち、お客様は、SASEの設定と制御を行うソフトウェアへのアクセス権を購入することで、配信されるクラウド・サービス・プロバイダーのハードウェアのメリットをすべて利用できます。 セキュリティーのために、支社のルーターをオンプレミスのデータセンターのハードウェアにルーティングする代わりに、SASEをご利用のお客様は最寄りのインターネット接続ポイントからクラウドにトラフィックをルーティングします。

企業はまた、SASEを、パブリッククラウドと企業のオンプレミスのインフラストラクチャーの両方にわたって提供するハイブリッド・ソリューションとして利用し、物理的なネットワーク・ハードウェア、セキュリティー・アプライアンス、データセンターを、仮想化されたクラウドネイティブ環境のものに統合します。

管理と運用の簡素化。 SASEフレームワークは、ネットワークに接続する、または接続しようとするものを保護するための、一貫性のある単一ソリューションを提供します。ユーザーだけでなくモノのインターネット（IoT）デバイス、API、コンテナ化されたマイクロサービス、またはサーバーレス・アプリケーション、さらにはオンデマンドで展開される仮想マシン（VM）のネットワークへの接続を保護します。 また、ルーター、ファイアウォールなどの接続ポイントごとに、一連のセキュリティー・ポイント・ソリューションを管理する必要性がなくなります。 その代わりに、ITチーム、またはセキュリティー・チームは、ネットワーク上のすべての接続とリソースを保護するための、単一の中央集約型のポリシーを作成し、単一の制御ポイントからすべてを管理できます。

より強力なサイバーセキュリティー。 SASEは、適切に実装されると、さまざまなレベルでセキュリティーを向上できます。 管理を簡素化することで、エラーや構成ミスの可能性を減らし、セキュリティーを強化します。 リモート・ユーザーからのトラフィックのセキュリティー保護のために、SASEは、アプリケーション、ディレクトリー、データセット、ワークロードのアクセス制御について、仮想プライベート・ネットワーク（VPN）アクセスの、1つですべての許可に対応するブランケットを、ZTNAの微細化されたIDベースおよびコンテキスト・ベースのアクセス制御に置き換えます。 

より一貫性のある優れたユーザー・エクスペリエンス。 SASEにより、支社から、家から、または外出先からに関わらず、またアプリケーションとリソースがクラウドにホストされているかオンプレミスにホストされているかに関わらず、オンサイトで働いているときと同じ方法でネットワークに接続できます。 SD-WANサービスは、自動的にトラフィックを最寄りのPoPへルーティングし、セキュリティー・ポリシーが適用されると、可能な限り最高のパフォーマンスを提供できるように接続を最適化します。

SASEは、アプリケーション配信において中央集約型のデータセンター・モデルからの脱却を進めていこうとしている企業にメリットをもたらしてくれます。 しかし、今日SASEの導入を推進しているのは、特定のほんの一握りのユースケースで見られるだけです。

VPNのボトルネックの発生がなく、ハイブリッド・ワーカーを保護します。 VPNは、20年近くの間、リモート・ユーザー、またはモバイル・ユーザーを保護するための主要な手段でした。 しかし、VPNは簡単に、または安価に拡張することができません。これは、新型コロナウイルス感染症のパンデミックで、従業員が全員リモート・ワークになったときに企業が学んだ厳しい側面でした。 対称的に、SASEは、特にリモート・ワーカーの、また一般的には進化するワークフォースのセキュリティー要件をサポートするために動的に拡張できます。

ハイブリッドクラウドの採用とクラウドへの移行。 ハイブリッドクラウドは、パブリッククラウド、プライベートクラウド、およびオンプレミスのインフラストラクチャーを組み合わせて、単一の柔軟なコンピューティング環境に統合します。そこでは、ユーザーは、状況の変化に応じて自由にインフラストラクチャーの使用を切り替えることが可能です。 WANセキュリティー・ソリューションは、この種のワークロード・モビリティー用に設計されていませんが、SASEは、基盤となるインフラストラクチャーからセキュリティー機能を抽出し、どこに移動してもトラフィックを保護できます。 また、企業は作業のペースに応じて、ワークロードをクラウドに柔軟に移行できるようになります。

エッジコンピューティングとIoT/OTデバイスの急増 エッジコンピューティングは、アプリケーションとコンピューティング・リソースを一元化されたデータセンターから外に出し、携帯電話、IoT、または運用テクノロジー（OT）デバイスとデータ・サーバーの近くに配置する分散型コンピューティング・モデルです。 このように近接して配置することで、特に、リアルタイムで膨大な量のストリーミング・データを処理する人工知能（AI）や、機械学習アプリケーションの応答時間の改善と洞察の取得の迅速化につながります。

こうしたアプリケーションを有効化するために、組織、またはソリューション・ベンダーは、何千ものIoTセンサー、あるいはIOTデバイスを展開してきましたが、その多くはセキュリティーがほとんど構成されていないか、まったく構成されていませんでした。 これにより、デバイスはハッカーの格好のターゲットになり、ハッカーはこうしたデバイスをハイジャックし、機密データ・ソースにアクセスしたり、業務の中断を引き起こしたり、または段階的にDDoS（分散型サービス妨害）攻撃を実行できるようになります。 SASEは、ネットワークに接続する際に、これらのデバイスにセキュリティー・ポリシーを適用し、中央のダッシュボードから接続されたデバイスすべての管理を可視化できるようになります。