すべてのプロダクト
Search
ドキュメントセンター

Secure Access Service Edge:SASE の概要

最終更新日:Jun 04, 2026

Secure Access Service Edge (SASE) の購入、設定、および使用方法について学びましょう。このガイドは、SASE の使用を開始するのに役立ちます。

対象ユーザー

SASE の初めてご利用になるユーザー。

SASE について学ぶSASE

SASE とは

Secure Access Service Edge (SASE) は、Alibaba Cloud の全国にわたるエッジノードおよび専用回線ネットワークを活用し、ゼロトラストセキュリティをネットワークエッジまで拡張します。分散型の支社、小売店舗、またはリモートワーカーを擁する企業向けに、リモートゼロトラストアクセス、プライベートアクセス動作監査、データ損失防止 (DLP)、ネットワークアクセス制御、オフィスアプリケーション高速化を提供します。Secure Access Service Edge とはをご参照ください。

異なるSASEエディションで対応している機能

SASE はサブスクリプション(前払い)課金方式のみをサポートしています。以下の表からエディションを選択してください。課金方法および課金項目については、「SASE 課金概要」をご参照ください。

エディション

説明

Private Access

(Basic)

SASE プライベートアクセス (Basic) は、従業員がクラウドまたはオンプレミス上のエンタープライズアプリケーションにリモートアクセスできるゼロトラスト VPN を提供します。このエディションは、100 名を超える従業員がいる企業に適しています。必要に応じてオフィス帯域幅を購入する必要があります。

Private Access

(Advanced)

SASE プライベートアクセス (Advanced) は、従業員がクラウドまたはオンプレミス上のエンタープライズアプリケーションにリモートアクセスするためのゼロトラストVPNを提供します。また、オフィスネットワークアクセス制御およびグローバルオフィスアクセスもサポートしています。

Internet Access

(DLP)

Internet Access (DLP) は、Cloud Data Loss Prevention (DLP) サービスアーキテクチャに基づいて構築されています。企業がオフィスデータを即座に検出し、モニターし、保護できるように支援します。

Endpoint Protection

(Antivirus)

Endpoint Protection (Antivirus) は、Alibaba Cloud の悪意あるファイル検出プラットフォームと統合されています。ファイルウイルスに対するリアルタイム防御およびエンドポイントセキュリティアラートイベントのリアルタイム検出を提供します。

設定 SASE

前提条件

SASE に接続する前に、エンタープライズ ID プロバイダー (IdP) とユーザーグループを設定します。LDAP IdP に接続するユーザーグループを管理するをご参照ください。

SASE は、サードパーティおよびセルフマネージドの ID システムの両方をサポートしています。従業員は、割り当てられた認証情報を使用して SASE アプリにログインします。サポートされているサードパーティの IdP には、LDAP、DingTalk、WeCom、Lark、および IDaaS が含まれます。カスタム IdP を使用して組織を管理することもできます。

プライベートアクセスの構成

この機能はソフトウェア定義ペリメーター (SDP) 技術に基づいて構築されており、SaaS 型のゼロトラストネットワークアクセスを提供します。パブリック IP を公開したり、ネットワークアーキテクチャを変更したりすることなく、プライベートアプリケーションへのアクセスを制御できます。

手順 1:プライベートビジネスアプリケーションの構成

非公開ビジネスアプリケーションとは、パブリック IP を必要としない Web アプリケーション、サーバー、またはデータベースなどの内部リソースです。従業員は、SASE アプリがインストールされた会社支給デバイスを使用する必要があります。ID およびセキュリティチェックに合格した後、非公開アプリケーションにアクセスできます。オフィスアプリケーションの設定をご参照ください。

手順 2:アプリケーションネットワークの接続

ビジネスデプロイメントに応じて、ネットワーク接続ソリューションを選択してください。

サービスデプロイメント環境

ソリューション

環境要件

企業のサービスおよびリソースが Alibaba Cloud 上にデプロイされている

ネットワーク構成機能を使用して、指定された Alibaba Cloud VPC リソースと SASE エンドユーザーとの間でネットワーク接続を確立します。

[ネットワーク構成] > [Alibaba Cloud サービス]ページで、対象サービスサーバーが配置されている VPC のネットワーク接続を有効化します。

オフィスコンピューターの要件:

  • Windows (64 ビット、32 ビット、.msi 64 ビット、.msi 32 ビット):Windows 7 以降

  • macOS:macOS 10.10 以降

  • Linux:Ubuntu 18.04 以降、UOS

企業のサービスおよびリソースが AWS や Tencent Cloud など、Alibaba Cloud 以外の環境にデプロイされており、すでに Alibaba Cloud 仮想ボーダールーター (VBR)、クラウド相互接続ネットワーク (CCN)、または VPN Gateway がネットワーク接続に使用されている

Alibaba Cloud のネットワークチャネル([Leased Lines, SAG, Or IPsec-VPN])を使用して、SASE クライアントが Alibaba Cloud 以外の環境にあるサービスリソースにアクセスできるようにします。

ネットワーク設定 > Alibaba Cloud 以外のサービス > クラウドネットワークインスタンス タブで、back-to-origin VPC を設定し、ネットワーク接続を有効化します。

オフィスコンピューターの要件:

  • Windows (64 ビット、32 ビット、.msi 64 ビット、.msi 32 ビット):Windows 7 以降

  • macOS:macOS 10.10 以降

  • Linux:Ubuntu 18.04 以降、UOS

企業のサービスおよびリソースが Alibaba Cloud 以外の環境にデプロイされている

SASE には、Alibaba Cloud 以外のネットワークに接続するために使用できるコネクタ機能が用意されています。これにより、SASE アプリを使用して Alibaba Cloud 以外の環境にあるサービスにアクセスできます。

この方法は、ネットワークアクセスのために他のネットワーク製品に依存しません。

[ネットワーク構成] > [Alibaba Cloud 以外のサービス] > [コネクタリスト]タブで、SASE コネクタを手動で追加します。その後、コマンドを実行してコネクタをデプロイし、コネクタインスタンスが有効になっていることを確認します。

オフィスコンピューターの要件:

  • Windows (64 ビット、32 ビット、.msi 64 ビット、.msi 32 ビット):Windows 7 以降

  • macOS:macOS 10.10 以降

  • Linux:Ubuntu 18.04 以降、UOS

コネクタをデプロイするサーバーの要件:

  • 仮想マシンまたはサーバー構成:

    • CPU:4 コア

    • メモリ:8 GB

    • ディスク:40 GB

    • オペレーティングシステム:CentOS 7 以降

  • ネットワーク構成:サーバーはインターネットにアクセスできる必要があります。ファイアウォールが設定されている場合は、コネクタがデプロイされているサーバーまたは仮想マシンに対してポート 443 および 8000 のアウトバウンドトラフィックを許可する必要があります。

  • 仕様制限:200 MB のトラフィック転送。

  • ポート要件:ポート 9000 ~ 9010 が使用されていないことを確認してください。

手順 3:ゼロトラストアクセスポリシー

ゼロトラストポリシーは、ユーザーグループとビジネスアプリケーションを関連付けることで、従業員およびパートナーのアプリケーションへのアクセスを制御します。デフォルトでは、すべてのアクセスが拒否されます。特定のユーザーグループにリソースを付与するには、許可ポリシーを構成してください。「ゼロトラストポリシーの構成」をご参照ください。

手順 4: SASE アプリにログインする

ユーザーは、認証情報を使用して SASE アプリにログインし、プライベートネットワークに接続します。アクセスは、お客様が設定したポリシーによって制御されます。SASE アプリをインストールしてログインするおよびプライベートアクセスセキュリティを有効化または無効化する

ネットワークアクセス制御

ネットワークアクセス制御では、EAP-TLS 証明書認証を使用して、ユーザー名やパスワードなしで企業のオフィスネットワークに接続します。ユーザーがSASEを使用してオフィスネットワークに接続する場合、SASEアプリへのアクセスは、設定された IP アクセス許可リストによって決定されます。

手順 1:ワイヤレスネットワークインスタンスの作成

企業用ワイヤレスネットワークインスタンスを SASE に作成し、EAP-TLS 証明書ベースの認証を使用して企業のオフィスネットワークに接続します。

手順 2:SASE サーバー情報の取得

ネットワークアクセスコントローラー (NAC) で、SASE RADIUS サーバーのリージョン、IP アドレス、UDP ポート、およびシークレットキーを設定して、SASE RADIUS サーバーと NAC 間の接続を確立します。

  • オフィスネットワークへのアクセスを分離および管理するには、ネットワークアクセス権限を設定します。VLAN ID を使用して、異なるユーザーおよびデバイス向けのきめ細かいアクセス権を作成します。

  • デフォルト証明書がお客様のシナリオに合わない場合は、その範囲と有効期間を変更するか、エンタープライズ証明書に置き換えてください。

データ損失防止 (DLP) の構成

DLP には、機密ファイル検出、周辺機器管理、ウォーターマーク管理が含まれます。適切なソリューションを選択するか、厳格なデータ制御要件がある場合はすべてを有効化してください。

アウトバウンドファイル検出

機密ファイル検出機能を使用して、従業員がインスタントメッセージやメールなどのチャネルを通じて機密ファイルを転送していないかを確認します。データディクショナリを定義し、データテンプレートを構築し、検出ポリシーを作成してアウトバウンドデータを追跡します。「データセキュリティを確保するためのアウトバウンドファイル転送の検出」をご参照ください。

手順 1:検出ポリシーの構成

SASE 機密ファイル検出は、カスタムキーワードを使用して機密コンテンツを識別します。キーワード、データの型、および感度レベルがデータテンプレートを構成します。このテンプレートに処理アクションを加えることで、機密ファイルを識別するための検出ポリシーが作成されます。

検出ポリシーを構成するには、次の手順を実行します。

  1. 機密コンテンツの特性を定義する機密データディクショナリを作成します。

  2. 機密データディクショナリに基づいてデータテンプレートを構築します。

  3. 検出ポリシーを作成し、適切なデータテンプレートを関連付けます。この際に、ポリシーの対象ユーザー、検出チャンネル、処理アクションを指定します。

手順 2:検出統計の確認

構成後、DLP は転送されたファイルを自動的に検出し、過去 30 日間、7 日間、24 時間のアウトバウンド動作および異常イベントを分析します。

  • 機密ファイル検出機能は、30 MB までのアウトバウンドファイルをスキャンし、トリガーされた上位 5 つの機密ファイルタイプをレポートします。

  • 異常イベントには、30 MB を超えるファイルの送信、外部デバイスへのコピー、またはユーザーによる累計 1 GB を超える送信などの操作が記録されます。ファイルの内容は検査されませんので、機密情報が含まれていないかを手動で確認してください。

周辺機器管理

周辺機器管理を使用して、USB ドライブ、プリンター、光学ドライブを無効にするポリシーを作成し、機密データの転送を防止します。「データセキュリティのための周辺機器管理」をご参照ください。

手順 1:デバイスポリシーの構成

対象ユーザーグループを指定し、Windows および macOS の周辺機器に対する制御ポリシーを構成します。

手順 2:周辺機器統計の確認

USB DriveRead/Write 権限を設定した場合、従業員が USB ドライブまたはストレージ経由でファイルを転送すると、機密動作検出がトリガーされます。システムは、過去 30 日間、7 日間、24 時間の検出結果を分析します。

ウォーターマーク管理

ウォーターマーク管理を使用して、指定されたユーザーの画面および印刷ドキュメントにウォーターマークを追加します。「ウォーターマークの管理」をご参照ください。

手順 1:ウォーターマークポリシーの構成

対象ユーザーグループを指定し、画面およびプリンターウォーターマークを構成します。

手順 2:印刷アクティビティ結果の確認

従業員がファイルを印刷すると、DLP がコンテンツを検査し、過去 30 日間、7 日間、24 時間の検出結果を分析します。

フィードバックとご提案

以下のチャネルを通じて、SASE に関するフィードバックを送信したり、テクニカルサポートを受けたりできます。

  • :質問を投稿し、オンラインでサポートを受けることができます。

  • :テクニカルサポートに問い合わせます。

  • ドキュメントフィードバック:リンク切れ、コンテンツの誤り、API のエラーなどを報告するには、右側のフローティングメニュー内の[フィードバック]をクリックするか、問題のあるコンテンツを選択してフィードバックを送信してください。