【サイバーセキュリティ】SASE・クラウドセキュリティ入門 ― テレワーク時代に中小企業が検討すべき製品カテゴリ
SASE・クラウドセキュリティ入門 ― テレワーク時代に中小企業が検討すべき製品カテゴリ
~UTMだけでは守れない時代に、中小企業が知っておくべきクラウドセキュリティの全体像~
「テレワークを導入してからクラウドサービスの利用が一気に増えた。でも、セキュリティ対策はオフィスのUTMだけ。本当にこれで大丈夫だろうか?」
こうした不安を感じている中小企業の経営者・情シス担当者が増えています。従来のセキュリティ対策は、「社内ネットワークの境界をUTMで守る」という考え方が基本でした。しかし、テレワークの普及やクラウドサービスの活用拡大により、守るべきデータが社内ネットワークの外にも広がっているのが現実です。
このコラムでは、SASE(サシー)やCASBなど、クラウド時代のセキュリティ製品カテゴリを中小企業向けにわかりやすく解説します。
この記事でわかること
・SASE、CASB、SWG、ZTNAなどクラウドセキュリティ製品の役割と違い
・UTMだけでは守れない領域とその理由
・中小企業がクラウドセキュリティ対策として最初にやるべきこと
・サイバーセキュリティ対策促進助成金を活用したクラウドセキュリティ製品の導入方法
1. なぜUTMだけでは守れなくなったのか
UTM(Unified Threat Management:統合脅威管理)は、ファイアウォール、IPS、アンチウイルス、Webフィルタリングなどの機能を1台の機器に統合したものです。社内ネットワークとインターネットの境界に設置し、出入りする通信を監視・制御します。
このアプローチは、「社員はオフィスで仕事をし、データは社内サーバーにある」という前提で成り立っています。しかし、現在の中小企業の多くは以下のような環境に変化しています。
変化1:クラウドサービスの利用拡大
Microsoft 365、Google Workspace、Salesforce、freee、マネーフォワードなど、業務データがクラウド上にあるケースが急増しています。これらのサービスへのアクセスは、UTMを経由せずに直接インターネット経由で行われるため、UTMでは通信の中身を検査できません。
変化2:テレワーク・リモートワークの定着
社員が自宅やカフェからクラウドサービスにアクセスする場合、UTMが設置されたオフィスのネットワークを通りません。つまり、UTMの保護範囲の外で業務が行われている状態です。
変化3:BYODの拡大
個人のスマートフォンやタブレットを業務に使うBYOD(Bring Your Own Device)が広がっています。これらの端末は社内ネットワークに接続されないことが多く、UTMの管理対象外になります。
| 従来の環境 | 現在の環境 |
|---|---|
| 社員はオフィスで勤務 | テレワーク・モバイルワークが常態化 |
| データは社内サーバーに保管 | データはクラウドサービスに保管 |
| 社内ネットワークの境界をUTMで防御 | 境界の外にもデータとユーザーが存在 |
| 会社支給PCのみ使用 | 個人端末(BYOD)も業務利用 |
この環境変化に対応するために生まれたのが、SASE(Secure Access Service Edge)をはじめとするクラウドセキュリティの概念です。
2. クラウドセキュリティ製品カテゴリの全体像
クラウド時代のセキュリティ製品には、さまざまなカテゴリがあります。ここでは、中小企業が知っておくべき主要なカテゴリを整理します。
| 製品カテゴリ | 正式名称 | 何を守るか | 中小企業での必要度 |
|---|---|---|---|
| SASE | Secure Access Service Edge(サシー) | ネットワークとセキュリティを統合的にクラウドで提供 | 将来的に検討 |
| CASB | Cloud Access Security Broker(キャスビー) | クラウドサービスの利用状況を可視化・制御 | クラウド利用が多い企業は高 |
| SWG | Secure Web Gateway | Webアクセスのセキュリティ(フィルタリング・マルウェア検査) | テレワークが多い企業は高 |
| ZTNA | Zero Trust Network Access | 社内リソースへの安全なリモートアクセス(VPNの代替) | VPNを使っている企業は検討 |
| CSPM | Cloud Security Posture Management | クラウド環境の設定ミスやリスクを自動検出 | IaaS利用企業は検討 |
| IDaaS | Identity as a Service | クラウドサービスへのシングルサインオン・多要素認証 | 複数のクラウドを使う企業は高 |
SASEとは ― すべてを統合するフレームワーク
SASE(サシー)は、ネットワーク機能(SD-WAN等)とセキュリティ機能(CASB、SWG、ZTNA、FWaaS等)をクラウド上で統合的に提供するフレームワークです。Gartner社が2019年に提唱した概念で、「場所を問わず、どこからでも安全にアクセスできる環境」を実現するものです。
ただし、SASEは大企業向けの包括的なソリューションであり、中小企業がフルスペックのSASEを導入するのは現実的ではありません。中小企業の場合は、SASEの構成要素の中から自社に必要な機能だけを選んで導入するのが賢明です。
CASBとは ― クラウド利用の「見える化」
CASB(キャスビー)は、社員がどのクラウドサービスをどのように使っているかを可視化し、制御するためのツールです。
たとえば、「社員が会社に報告していないファイル共有サービスに顧客データをアップロードしている」といったシャドーITを検出できます。シャドーITは情報漏洩の大きなリスク要因であり、特にテレワーク環境では管理が難しくなります。
IDaaSとは ― 認証の統合
IDaaS(Identity as a Service)は、複数のクラウドサービスへのログインをシングルサインオン(SSO)と多要素認証(MFA)で統合管理するサービスです。Microsoft Entra ID(旧Azure AD)やOktaなどが代表的です。
中小企業にとって特に重要なのは多要素認証です。パスワードだけでなく、スマートフォンの認証アプリやSMSコードを組み合わせることで、不正アクセスのリスクを大幅に低減できます。
3. 中小企業がまず取り組むべきクラウドセキュリティ対策
「全部やらなければならないの?」と不安になるかもしれませんが、そんなことはありません。中小企業の場合、以下の3つを優先的に取り組むことをお勧めします。
優先度1:多要素認証(MFA)の導入
最も効果が高く、コストも低い対策が多要素認証の導入です。Microsoft 365やGoogle Workspaceには、追加費用なしで多要素認証を設定できる機能が標準で備わっています。
多要素認証を設定するだけで、アカウント乗っ取りのリスクを99%以上低減できるとMicrosoftは報告しています。まだ設定していない場合は、今すぐ有効化してください。
優先度2:クラウドサービスのアクセス権限の見直し
クラウドサービスの共有設定を確認し、「誰が何にアクセスできるか」を整理しましょう。退職者のアカウントが残っていないか、全社員に管理者権限が付与されていないか、外部共有が不適切に設定されていないかをチェックします。
優先度3:端末のセキュリティ対策強化(EDR)
テレワーク環境では、端末(PC・スマートフォン)が直接インターネットに接続されるため、端末レベルのセキュリティが重要になります。EDR(Endpoint Detection and Response)を導入することで、UTMの保護範囲外にある端末でも不審な挙動を検知・対処できます。
これらの対策は、サイバーセキュリティ対策促進助成金の対象経費に含まれる可能性があります。特にEDRの導入費用はサイバーセキュリティ対策促進助成金で助成を受けられるケースが多いため、東京都内の中小企業はぜひ活用を検討してください。
自社にどの対策が必要かの判断に迷う場合は、リモートセキュリティ顧問サービス(月額5万円〜)で気軽に相談できます。
4. UTMとクラウドセキュリティの使い分け
「クラウドセキュリティが重要なら、UTMはもう不要なのか?」という疑問が浮かぶかもしれません。結論から言うと、UTMとクラウドセキュリティは「置き換え」ではなく「補完」の関係です。
| 守る範囲 | UTMの役割 | クラウドセキュリティの役割 |
|---|---|---|
| 社内ネットワーク | 境界防御(入口・出口対策) | 対象外(社内ネットワークには関与しない) |
| テレワーク環境 | VPN経由の場合のみ有効 | 場所を問わず保護 |
| クラウドサービス | 制限あり(暗号化通信は検査困難) | クラウド上で直接制御・監視 |
| モバイル端末 | 社内ネットワーク接続時のみ | 端末に直接エージェントを導入して保護 |
オフィスに社内サーバーがあり、社員がオフィスで勤務する時間もある企業であれば、UTMは引き続き必要です。そのうえで、テレワーク環境やクラウドサービスの利用に対応するために、クラウドセキュリティ製品を追加するという考え方が適切です。
一方、オフィスに社内サーバーがなく、業務がほぼ完全にクラウドで完結している企業であれば、UTMの優先度は低く、クラウドセキュリティ対策を先に整備すべきでしょう。
このような判断は企業ごとの環境によって異なります。セキュリティ伴走コンサルティング(vCISO)では、御社のIT環境を分析したうえで、UTMとクラウドセキュリティの最適な組み合わせを提案いたします。
5. サイバーセキュリティ対策促進助成金でクラウドセキュリティ製品を導入する
クラウドセキュリティ製品の導入費用は、サイバーセキュリティ対策促進助成金の対象になる可能性があります。
対象になり得る製品・サービスの例
| 製品カテゴリ | 対象の可能性 | 備考 |
|---|---|---|
| EDR | 高い | 端末のセキュリティ対策として対象になるケースが多い |
| IDaaS(多要素認証・SSO) | あり | 認証強化としてのセキュリティ対策に該当する可能性 |
| CASB | あり | クラウド利用の可視化・制御としてセキュリティ対策に該当 |
| SWG | あり | Webセキュリティ対策として該当する可能性 |
注意:サイバーセキュリティ対策促進助成金の対象経費は公募回ごとに異なる場合があります。導入を検討している製品が対象になるかどうかは、最新の公募要領を確認するか、東京都中小企業振興公社に事前相談することをお勧めします。
サイバーセキュリティ対策促進助成金を活用すれば、クラウドセキュリティ製品の導入費用の1/2(最大1,500万円)の助成を受けられます。「クラウドセキュリティは費用が高い」というイメージがありますが、サイバーセキュリティ対策促進助成金を活用することで、中小企業でも手の届く投資になります。
サイバーセキュリティ対策促進助成金の申請から製品選定まで一貫したサポートが必要な場合は、サイバーセキュリティ対策促進助成金 申請サポートサービスをご活用ください。
まとめ
テレワークとクラウドサービスの普及により、UTMだけでは守れない領域が広がっています。中小企業がクラウドセキュリティに取り組む際のポイントを整理します。
・UTMは「不要」ではなく、クラウドセキュリティと「補完」の関係
・中小企業がまず取り組むべきは多要素認証の導入、アクセス権限の見直し、EDRの導入の3つ
・SASE、CASB、SWG等のフルスペック導入は不要。自社に必要な機能だけを選んで段階的に導入する
・サイバーセキュリティ対策促進助成金を活用すれば、クラウドセキュリティ製品の導入費用も抑えられる
・自社に何が必要かの判断に迷ったら、中立的な専門家に相談する
アクセルパートナーズへのご相談
クラウドセキュリティ製品の選定でお悩みですか?
アクセルパートナーズでは、御社のIT環境を分析し、本当に必要なクラウドセキュリティ対策を提案いたします。
・「テレワーク環境のセキュリティが心配。何から始めればいいか知りたい」
・「UTMを入れているが、クラウド対策が不十分な気がする」
・「サイバーセキュリティ対策促進助成金でクラウドセキュリティ製品を導入したい」
セキュリティ製品導入支援サービスで、中立的な立場からの製品選定をサポートいたします。
初回60分のZoom相談は無料です。お気軽にお問い合わせください。
お問い合わせ:0120-659-057(平日対応)
参考・出典
・Gartner「The Future of Network Security Is in the Cloud」(SASE概念の提唱)
・IPA「中小企業の情報セキュリティ対策ガイドライン 第3.1版」 https://www.ipa.go.jp/security/guide/sme/about.html
・総務省「テレワークセキュリティガイドライン 第5版」 https://www.soumu.go.jp/main_sosiki/cybersecurity/telework/
・東京都中小企業振興公社「サイバーセキュリティ対策促進助成金」公式ページ







