Network Security Architecture — 境界からSASEへの進化

article technology medium #network-security#zero-trust#sase#sse#nac#ztna#sd-wan#security-architecture#cloud-security
Created: 2026-05-31 Updated:

ネットワークセキュリティのアーキテクチャが境界モデルから NAC・ゼロトラスト・SSE・SASE へと進化した経緯を俯瞰する。各モデルの前提と限界を整理し、2028 年に向けた single-vendor SASE 移行の実務的示唆を提供する。

Network Security Architecture — 境界からSASEへの進化

ネットワークセキュリティのアーキテクチャは「城壁と堀」型の境界防御から、クラウドネイティブな SASE(Secure Access Service Edge)へと約 20 年かけて段階的に進化してきた。各世代は前世代の前提崩壊を受けて登場しており、現在は single-vendor SASE が新規導入の 30%(2025 年)から 50%(2028 年予測、Gartner)を占める臨界点にある。本記事では境界モデル → NAC → ゼロトラスト → SSE → SASE の各層を、なぜ重要か・どこが限界かという観点で地図化する。

境界モデル(Castle-and-Moat)の前提と限界

境界モデルは「内部は信頼、外部は不信」という二分法に基づく。ファイアウォール(FW)と DMZ でインターネットとの境界を引き、内部セグメントへのアクセスは VPN 経由に集約する。FW はステートフルインスペクションで L4 以下のトラフィックを制御し、DMZ に公開サーバを置くことで内部ネットワークとの直結を避ける。

この設計は 2000 年代初頭まで機能したが、SaaS・IaaS の普及と BYOD(Bring Your Own Device)によって前提が崩れた。トラフィックがデータセンターを経由せずにクラウドへ直接向かう「ローカルブレイクアウト」需要が増大し、VPN 経由のバックホールがボトルネックになった。また、境界を突破されると内部は無防備になる「水平展開(Lateral Movement)」問題が顕在化した。

アンチパターン: 境界モデルを維持しながら SaaS を全トラフィック VPN バックホール経由にするケース。帯域圧迫と遅延増大でユーザー体験が悪化し、シャドー IT を誘発する。

NAC — 境界の内側を強化する端末認証

NAC(Network Access Control)は境界内部の不審端末を排除するためのレイヤーだ。IEEE 802.1X 標準に基づき、スイッチやアクセスポイントが端末を認証してからネットワークに参加させる。認証に失敗した端末はゲストネットワークや隔離 VLAN に振り分けられ、内部セグメントへのアクセスを遮断する。

認証方式は EAP(Extensible Authentication Protocol)を拡張した EAP-TLS(証明書ベース)や PEAP(パスワードベース)が主流で、RADIUS サーバと連携する。NAC は境界モデルの補完技術として 2005 年前後に普及し、端末のパッチ適用状況や OS バージョンを確認する「ポスチャーチェック」機能も加わった。

NAC の限界は「ネットワークに繋いだ後」の制御が薄い点にある。認証後は同一セグメント内で自由に通信できるため、侵害端末が水平展開する余地がある。また、クラウドや BYOD には有線 LAN 前提の 802.1X が適用しにくい。

ゼロトラスト ZTA — NIST SP 800-207 と継続的検証

ゼロトラスト(Zero Trust Architecture、ZTA)は NIST SP 800-207(2020 年)で定義された概念で、「すべてのアクセスを都度検証する」ことを原則とする。キーワードは 4 つだ。

  1. 信頼の非永続性: 一度認証されても次のアクセスで再検証する。セッション継続は最小限。
  2. 最小権限: ユーザー・デバイス・アプリ単位で必要最小限のリソースへのアクセスのみ許可。
  3. マイクロセグメンテーション: 東西トラフィック(内部間通信)も FW ポリシーで制御し、水平展開を防ぐ。
  4. アイデンティティ中心: IP アドレスではなくユーザー/デバイスのアイデンティティをポリシーの基点にする。

ゼロトラストはアーキテクチャの「考え方」であり特定製品ではない。ZTA の実装には ZTNA(Zero Trust Network Access)、IAM(Identity and Access Management)、MDM(Mobile Device Management)、SIEM などが組み合わさる。

アンチパターン: 「ゼロトラスト製品を買えばゼロトラストになる」という誤解。ZTNA 製品導入は一要素に過ぎず、ポリシー設計・ユーザー認証基盤・ログ収集が伴わなければ機能しない。

SSE — クラウド型セキュリティサービスの統合

SSE(Security Service Edge)は Gartner が 2019 年に命名した概念で、SWG・CASB・ZTNA・FWaaS をクラウドで統合したセキュリティサービスの束だ。オンプレのアプライアンスを廃し、PoP(Point of Presence)と呼ばれるクラウドノードを経由してトラフィックを検査・制御する。

SSE の構成要素は以下の通り。

機能役割
SWG(Secure Web Gateway)ウェブプロキシ・URLフィルタ・マルウェアスキャン
CASB(Cloud Access Security Broker)SaaS 可視化・シャドー IT 検出・データ保護
ZTNAアプリ単位のゼロトラストアクセス
FWaaS(Firewall as a Service)クラウド型次世代 FW

Gartner MQ SSE 2025 Leaders は Palo Alto(3 年連続)・Zscaler(4 年連続)・Netskope(2022 年の初回以来)の 3 社で、Palo Alto は Advanced SSE Critical Capabilities 評価で最高評価を獲得している(情報カットオフ ~2025-08、confidence: medium 固定)。

SASE — SSE と SD-WAN の統合

SASE(Secure Access Service Edge)は SSE にネットワーク機能の SD-WAN を加えた完全統合モデルだ。2019 年に Gartner が発表し、「セキュリティとネットワークをクラウドで一体化する」方向性を示した。

SASE の市場は 2025 年に約 15.7BInsightAce推定)で、Gartner2028年に15.7B(InsightAce 推定)で、Gartner は 2028 年に 28.5B(5 年 CAGR 26%)に達すると予測する。single-vendor SASE は新規導入の 2025 年時点 30% から 2028 年に 50% まで拡大する見込み(Gartner)。米国が 2025 年市場の 42.6%(約 $3.95B)を占め最大・最成熟市場だ。

Gartner MQ SASE Platforms 2025 Leaders は Palo Alto / Cato Networks / Netskope / Fortinet の 4 社(Fortinet が新たに Leader 入り)。Palo Alto は SSE MQ / Single-Vendor SASE MQ / SD-WAN MQ の 3 つすべてで Leader に立つ唯一のベンダーだ(情報カットオフ ~2025-08)。

single-vendor vs dual-vendor: single-vendor は統合ポリシー管理・単一コンソールの運用効率が強みで、ベンダーロックインが懸念。dual-vendor は SSE と SD-WAN を別社から調達する柔軟性があるが、ポリシー連携・ログ統合に追加コストが生じる。

移行パターン — VPN から ZTNA、境界から SASE へ

実際の移行は段階的に行われる典型的パターンがある。

フェーズ 1(VPN → ZTNA 移行): リモートアクセス VPN を ZTNA に置き換える。認証基盤は IdP(Okta / Azure AD / Google Workspace)と統合し、アプリ単位のアクセス制御を実現する。全社一斉移行は現実的でなく、重要アプリから順に切り替える。

フェーズ 2(境界 FW → SSE 追加): インターネット向けトラフィックを SSE PoP 経由に切り替え、SWG・CASB を有効化する。オンプレ FW は DC 向けの東西トラフィック制御に残す。

フェーズ 3(SD-WAN 統合 → SASE 完成): 拠点に SD-WAN 対応ルータを導入し、SASE PoP への動的ルーティングを実現する。オンプレのアプライアンスを段階的に廃止する。

アンチパターン表(AP)

アンチパターン症状対策
ZT を製品購入で達成と誤解ZTNA 製品導入後もセッション制御ポリシー未整備ポリシー設計・IdP 統合・ログ収集を先行
dual-vendor の運用分断SSE と SD-WAN のポリシー不整合、ログ未統合統合コンソール要件を RFP に明記
VPN 残置と ZTNA の並存ユーザーが VPN/ZTNA を使い分ける混乱移行スケジュールを確定し VPN を計画廃止
SSL 復号未設定暗号化トラフィックへの SWG 盲点証明書ピンニング対応アプリを事前調査して SSL 復号を有効化

2026 年フロンティア

single-vendor SASE の採用比率は 2028 年に 50% へ到達する見込みで、AI 統合による脅威検知の強化が次の競合軸になりつつある。Zscaler は 2025 年 6 月に Vectra AI との連携(AI 脅威検知)を発表しており、各社が AI-Native SSE を標榜し始めている(外部検証 2026-05 時点未実施、confidence: medium 固定)。

ポスト SASE の議論として、「Universal SASE」(複数ベンダーをメッシュ接続する相互運用レイヤー)や AI エージェントによるポリシー自動生成なども浮上しているが、標準化は途上だ(情報カットオフ ~2025-08、confidence: medium 固定)。

Local graph