セキュア Web ゲートウェイ(SWG)とは
セキュア Web ゲートウェイ(SWG)は、Web/インターネット トラフィックを分析し、Web リクエストを検査および定義済みのポリシーと照合して、悪意あるパケットを送信先への到達前にフィルタリングすることにより、サイバー脅威やウイルス感染に対してセキュリティを確保する Web セキュリティ ソリューションです。
セキュア Web ゲートウェイはオンプレミスまたはクラウド経由で提供されます。これをユーザーとインターネットの間に設置することで、悪意あるアプリケーションをブロックし、既知の悪意ある Web サイトへのアクセスを防止することができます。そうすることで、セキュリティ保護されていないトラフィックがネットワークにアクセスするのを防ぎ、悪意あるトラフィック、Web サイト、ウイルス、その他のマルウェアによる感染からユーザーを保護できます。また、組織の規制関連ポリシーやフレームワークへのコンプライアンスも確保できます。
セキュア Web ゲートウェイは、次のような最小限の機能を備えているものと想定されます。
- URL フィルタリング
- 悪意あるコードの検知およびフィルタリング
- Skype や Zoom などの一般的な Web ベースのアプリケーションに対するアプリケーション制御
- ネイティブの、または統合されたデータ損失防止機能
一部のセキュア Web ゲートウェイにはアンチウイルス ソフトウェアも組み込まれており、脅威をダウンロードする試みの阻止やサンドボックスによるリアルタイムでの脅威ブロック、本番環境のエミュレーションによる攻撃の防御などが可能になっています。
安全で最適化された高パフォーマンスのアクセスをリモート/モバイル ユーザーに提供
How To Get From Here To Zero Trust
セキュア Web ゲートウェイのメリット
SWG はプロキシ アーキテクチャを採用しているため、ファイアウォールやその他のストリームベースのソリューションによる検知を回避する、Web トラフィックに隠された脅威を検出できます。損害の発生やポリシーおよびガバナンス要件への違反の発生に先だって攻撃を発見および防止するには、多くの場合 SWG が唯一の方法となります。
SWG が有効に機能するには最新のインテリジェンスの活用が不可欠であるため、SWG は監視ツールを利用して新しく出現した脅威を常に把握し、新たに特定された攻撃シグネチャを組み込んでいます。Web トラフィックの多くは暗号化されているため、SWG ではトラフィック(クラウドベースのものを含む)の復号化が可能になっており、暗号化による盲点の発生が防止されます。また SWG は、疑わしいコンテンツを DLP や CASB などのほかのセキュリティ システムに送信できるため、組織のセキュリティ体制全体の改善にも活用できます。
SWG は、Web トラフィックに存在し得る新しい攻撃経路の可視化にも役立ちます。新しいサイトとリンクはすべて、組織のセキュリティ対策を突破し、システム運用に損害を与えるための経路として悪用される可能性があります。SWG による可視化は、オンプレミスとクラウドのすべてのトラフィックを監視しログ収集することで行われるため、Web をだれがどのように使用しているかを組織で把握することができます。正当な Web サイトの多くにはパッチが適用されていない脆弱性があるため、この機能はますます重要になっています。また SWG は、Web トラフィックを検査して分類できるため、さまざまな政府および地域の規制要件や企業のガバナンス ポリシーに対するコンプライアンスを確保するうえでも役立ちます。
SWG は、組織のデジタル資産を保護するための包括的なソリューションを提供します。主なメリットは次のとおりです。
- 制御ポイントとしてトラフィックを終了およびエミュレートする機能
- Web トラフィックを制御および保護する機能
- Web トラフィックの可視化と分類
- トラフィックの復号化と再暗号化
- エンタープライズ ポリシーの適用
- データ損失防止とコンプライアンス確保
- ゼロデイ攻撃に対する保護
セキュア Web ゲートウェイの実装方法
セキュア Web ゲートウェイはほとんどのインフラストラクチャと同様に、オンプレミス、クラウド、ハイブリッド型のいずれでも展開できます。これらすべての展開方法において、プロキシ、クライアントベースのエージェント、またはその他のルーティング方法によってすべての Web トラフィックを SWG に送信する、インライン接続がサポートされます。
SWG は原則として、マシンが物理か仮想かを問わず、サーバ上で実行されるワークロードとして展開されます。一部の SWG はアプライアンスとして利用できます。現在もっとも成長の著しい市場は、クラウドベースの SWG です。
セキュア Web ゲートウェイの仕組み
セキュア Web ゲートウェイ(SWG)ではプロキシ アーキテクチャが採用されており、SWG がクライアントとサーバ間の仲介役として機能します。プロキシであるため、SWG はトラフィックの終了やエミュレーションを行って必要な保護を提供することができます。具体的には、インバウンド接続を終了し、サーバへの新しい別個のアウトバウンド接続を開始することで、クライアントをエミュレートします。この方法により、SWG は個々のリクエストについて、ヘッダーとメッセージ本文を含むすべてのパケットを受信し、サーバの応答の意図を正確に判断できます。この判断に基づいて、SWG はリクエストを送信先に送るか、または転送してポリシー適用、データ損失防止、サンドボックスなどによる追加の分析を行い、有害な可能性のあるペイロードを安全にデトネーションします。すべてのメッセージについて、パケットごとおよび全体としての検査が行われるため、オンプレミスでもクラウドでも、あらゆるタイプの通信に一貫したセキュリティ ポリシーを適用できます。
セキュア Web ゲートウェイが重要である理由
分散された業務環境で働く従業員の増加に比例して、SWG へのニーズが高まっています。新型コロナウイルス感染症のパンデミックにより、従業員がネットワークの境界を越えてデータやアプリケーションなどの企業リソースにアクセスしなければならなくなったため、このニーズに拍車がかかりました。従業員が自宅やリモート オフィスから、または無料の Wi-Fi を使用してあらゆる場所から業務を行うようになった今日、SWG が必要であることは一目瞭然です。さらに、従業員が複数のデバイス(ラップトップ、タブレット、スマートフォン)を使用して企業リソースにアクセスする可能性があることを考慮すると、リモート使用されるこれらのモバイル デバイスに適切なセキュリティを確実に適用することは困難、または不可能にさえなりかねません。
SWG を採用していない組織では、設計においてモビリティ、クラウド、デバイスのスケーリングが考慮されていないレガシーのネットワーク セキュリティ インフラストラクチャを使用せざるを得ない場合があります。驚異的なスピードで新しい攻撃方法が開発されている現在の状況を踏まえると、レガシーのハードウェアベースのセキュリティ アプライアンスを絶えず更新することは、時間と費用がかかりすぎて実質的に不可能といえます。
セキュア Web ゲートウェイのメリット
SWG には、ほかの対策では検知できないゼロデイ攻撃や標的型攻撃(APT)などを含む、既知と未知の両方の脅威を阻止する機能があります。
SWG はプロキシを使用することで、Web および Web プロトコルを悪用する高度な標的型攻撃を検知して被害を緩和します。
関連するソリューションおよび製品
VMware Secure Access
リモート/モバイル ユーザーに安全で高パフォーマンスなアクセスを提供
Secure Access Service Edge(SASE)
WAN、セキュリティ、コンピュートをクラウド配信型サービスによって統合し、場所を問わずユーザー、アプリケーション、アプリを安全に接続
ゼロトラスト セキュリティの実装
継続的な検証によるデータとアプリケーションの保護