SSEとは？
SASEとの違い、導入メリット、
具体的な導入ステップを徹底解説！

DX推進やリモートワーク普及などの影響により、情報資産をクラウド上で扱う企業が多くなりました。

令和５年には企業の80%近くがクラウドサービスを利用しているというデータがあります。

そのような状況において、情報漏洩やマルウェア感染などの事態を防ぐために、クラウド環境におけるセキュリティの強化を重視する姿勢が求められています。

そこで、ぜひ押さえておきたいセキュリティのプラットフォームが「SSE（セキュリティサービスエッジ）」です。SSEを導入することで、企業はセキュリティ強化やコスト削減といったさまざまな恩恵を享受できます。

この記事では、SSEの機能やSASEとの違い、メリット、導入までの流れについて解説します。SSEの導入を検討している方は、ぜひ参考にしてください。

SSE（Security Service Edge）は、テクノロジーリサーチやコンサルティングを行うアメリカのGartner社 が、2021年に提唱したセキュリティ概念です。SSEはセキュアな状態を維持することで、インターネットへのアクセスやリモート環境からのアプリケーションへのアクセスを保護します。

クラウドに特化してセキュリティ機能を統合しており、コストを抑えて簡単に利用できる点が、従来のオンプレミス型との違いです。

SSEでは、「SWG」「CASB」「ZTNA」という3つの機能を組み合わせ、網羅的にセキュリティサービスを提供しています。ここからは、各セキュリティ機能の概要と特徴を紹介します。

SWG

SWG（Secure Web Gateway）は、インターネットアクセスの安全を守るためのソリューションです。

SWGには、URLフィルタリングやマルウェア検知といった機能が備わっており、アクセス先が安全かどうか、企業のセキュリティポリシーをもとに判定します。クラウド型でサービスを提供しているため、社外からアクセスする際もセキュリティリスクを 軽減することが可能です。
例えば、ある企業ではSWGを導入することで、従業員が悪意あるWebサイトにアクセスするリスクを大幅に減少させました。
このように悪意あるWebサイトやコンテンツからユーザーを守るSWGは、安心してインターネットを利用するために欠かせない機能といえます。

CASB

CASB（Cloud Access Security Broker）は、クラウドサービスを利用する際のセキュリティを担うソリューションです。ユーザー活動の監視やデータ暗号化、コンプライアンス管理といった機能を備えています。

そのため、クラウドサービスの利用状況を可視化することができ、企業が把握していない「シャドーIT」の存在も検知可能です。その結果、想定外のセキュリティインシデントを未然に防ぐ効果も期待できます。
例えば、あるIT企業ではCASBを導入することで、シャドーITの検出率が90%向上し、未承認のクラウドサービス利用を防止したとのことです。
このように、不正アクセスを防ぎ、機密データを保護するうえで重要な機能がCASBです。

ZTNA

ZTNA（Zero Trust Network Access）は、「ゼロトラスト」の考え方に基づいてネットワークアクセスを制御する機能です。ゼロトラストとは、あらゆる通信が信用できないとする立場から、社外と社内を区別せずにセキュリティ対策を講じる考え方を指します。
例えば、ある金融機関ではZTNAを導入することで、リモートワーク環境でもセキュリティを確保しつつ、従業員の生産性を維持することができたとしています。
ZTNAには、アクセス管理やマルチファクタ認証といった機能があり、すべてのアクセスに対して認証と認可を行ないます。BYODやリモートワークといった状況でも、ZTNAを活用することで、リスクを最小限に抑えながら必要なリソースへのアクセスを提供できます。

SASE（Secure Access Service Edge）は、2019年にアメリカのGartner社がSSEに先立って提唱しました。ゼロトラストネットワークを実現するためのセキュリティモデルで、このSASEの機能の1部がSSEです。

SASEの考え方では、ネットワークの領域とセキュリティの領域を1つのクラウドサービスに統合します。これによって、従来のように複数のソリューションを組み合わせずとも、ゼロトラストネットワークが実現できます。また、コスト削減や管理者の負担軽減、インシデント発生における迅速な対応の実現といったメリットもSASEの魅力です。

SASEを構築する2つのサービスのうち、セキュリティ領域を担うのがSSEです。SSEの3要素に、ネットワークセキュリティの領域を担う「SD-WAN」「FWaaS」の2要素を加えた5要素からSASEは構成されます。

SSEが注目を集める背景として、社会情勢の変化によりゼロトラストの重要性が高まったことが挙げられます。

まず、DX推進や働き方改革などの影響で、情報資産のクラウド移行が進みました。情報資産をクラウド上で扱うと、ネットワーク機器やシャドーITの増加などによってセキュリティ対策が難しくなります。

クラウドサービスの普及に加え、ランサムウェアなどのサイバー攻撃も多様化しており、従来型の境界防御では十分とはいえなくなりました。ゼロトラストの体制構築が求められているなか、SASEやSSEが大きな注目を集めることになります。

しかし、SASEはネットワーク領域の機能も備えなくてはならず、導入のハードルが高いことが難点です。そこで、SASEのセキュリティ領域をフォローするSSEを切り離し、よりシンプルに導入する形が人気となりました。

ここからは、SSEを導入することで得られる4つのメリットを紹介します。

ゼロトラストネットワークが実現する

ゼロトラストの考え方に基づき、SSEではすべてのアクセスに対して認証と認可を行なっています。信頼できるアクセスのみを許可することで、セキュリティリスクを最小限に抑えられるでしょう。

巧妙化するサイバー攻撃や内部不正の対抗策としてSSEを導入し、現代的なセキュリティ体制を整えることが大切です。

セキュリティポリシーを統合できる

エンドポイントセキュリティなどでは、セキュリティポリシーがバラバラに策定されていることが多いです。その場合、ポリシーを個別に管理しなくてはならず、複雑で把握が難しいうえに手間もかかります。

一方、クラウド上にセキュリティポイントを置くSSEなら、セキュリティポリシーを一元的に管理可能です。その結果、管理の手間が省け、ネットワーク全体のセキュリティも強化できます。

コスト削減につながる

複数のツールでSSE並みの体制を整えようとすると、どうしても導入や運用のコストがかさみます。セキュリティをSSEに一本化することで、ベンダーを選ぶ手間が省けるうえ、コスト削減も期待できるでしょう。

また、セキュリティの一本化はパフォーマンス管理の工数を省くことにもつながるため、人件費の削減にも役立ちます。

ユーザーの利便性を損なわない

複数の製品を組み合わせて高度なセキュリティ体制を構築しようとすると、どうしてもネットワークに負荷がかかります。納期が迫っているときに通信が遅くなるなど、効率的な業務の遂行が妨げられる場合もあるでしょう。

一方、セキュリティ機能が統合されたSSEなら、ユーザーの業務を妨げる事態は起こりにくいです。リモートワークでも通信の安全性が担保されるようになり、ユーザーは必要なリソースに安心してアクセスできます。

SSEを導入する大まかな流れは、以下のとおりです。

1. 現在運用しているセキュリティ製品を洗い出す
   まず、現在運用しているセキュリティ製品を洗い出します。このとき、情報資産の内容や管理場所なども正確に把握しておきましょう。例えば、各製品のバージョンやサポート状況も確認しておくと良いでしょう。ある企業では、このステップで未更新のセキュリティ製品が見つかり、事前に対策を講じることができたといいます。
2. セキュリティ製品の選定
   セキュリティ製品は、現状のシステムにできるだけ影響が少ないものを選ぶことが大事です。例えば、カスタマイズ性の高い製品なら必要な機能だけを導入できるため、ユーザーへの影響も抑えられるうえ、事業拡大への対応もしやすくなります。また、ライセンス体系がシンプルなら、かかるコストも予測しやすいでしょう。カスタマイズ性の高い製品を選定することで、導入後の運用がスムーズに進むことでしょう。
3. SSEへ移行
   導入する製品を選んだら、既存システムから段階を踏んでSSEへと移行していきます。移行のフェーズを複数に分け、計画的に導入することで、大規模な変更にともなうリスクを避けることができます。フェーズごとにSSEを導入する際は、「SWG→CASB→ZTNA」という流れが一般的です。各段階の導入が完了するごとに、システムのテストと必要な調整を行えば、スムーズに移行できるでしょう。トラブルなく導入を完了することにもつながります。

SSEは、SASEのセキュリティ領域を担うセキュリティプラットホームです。クラウド環境におけるセキュリティ体制を強固にしたい場合は、ゼロトラストネットワークの構築やコスト削減に役立つSSEを計画的に導入しましょう。

セキュリティソリューションを一本化できれば運用・管理が容易になり、担当者の負担軽減にもつながります。

ネットワークとセキュリティの基盤を丸ごと提供できるマネージドセキュリティサービスをお探しなら、ドコモビジネスの「VxGPlatform」（ブイエックスジープラットフォーム ）がおすすめです。VxGPlatformでは、サイバーセキュリティ・メッシュに必要な機能をシングルベンダーSASEで提供しています。SSEの導入やセキュリティ対策を検討中の方は、ぜひご利用ください。