セキュア Web ゲートウェイ(SWG)とは

セキュア Web ゲートウェイは、Web/インターネット トラフィックを分析し、Web リクエストを検査および定義済みのポリシーと照合して、悪意あるパケットを送信先への到達前にフィルタリングすることにより、サイバー脅威やウイルス感染に対してセキュリティを確保する Web セキュリティ ソリューションです。

 

セキュア Web ゲートウェイはオンプレミスまたはクラウド経由で提供され、ユーザーとインターネットの間に設置することで、悪意あるアプリケーションをブロックし、既知の悪意ある Web サイトへのアクセスを防止します。

 

このような仕組みにより、セキュリティ保護されていないトラフィックがネットワークにアクセスするのを防ぎ、悪意あるトラフィック、Web サイト、ウイルス、およびその他のマルウェアによる感染からユーザーを保護します。加えて、規制に関連する組織のポリシーとフレームワークへの準拠の維持にも役立ちます。

VMware Secure Access

VMware Secure Access:最適化されたセキュアな高パフォーマンスのアクセスをリモート/モバイル ユーザーに提供

無償ダウンロード 

セキュア Web ゲートウェイはオンプレミスまたはクラウド経由で提供され、ユーザーとインターネットの間に設置することで、悪意あるアプリケーションをブロックし、既知の悪意ある Web サイトへのアクセスを防止します。このような仕組みにより、セキュリティ保護されていないトラフィックがネットワークにアクセスするのを防ぎ、悪意あるトラフィック、Web サイト、ウイルス、およびその他のマルウェアによる感染からユーザーを保護します。加えて、規制に関連する組織のポリシーとフレームワークへの準拠の維持にも役立ちます。

セキュア Web ゲートウェイは、次のような最小限の機能セットを備えていることが想定されます。

  • URL フィルタリング
  • 悪意あるコードの検知およびフィルタリング
  • Skype や Zoom などの一般的な Web ベースのアプリケーションに対するアプリケーション制御
  • ネイティブの、または統合されたデータ損失防止機能

一部のセキュア Web ゲートウェイには、アンチウイルス ソフトウェアも組み込まれており、脅威をダウンロードする試みの阻止、リアルタイムで脅威をブロックするためのサンドボックスの使用、または本番環境のエミュレーションによる攻撃の防止を提供します。

 

 

セキュア Web ゲートウェイの仕組み

セキュア Web ゲートウェイ(SWG)の仕組みでは、クライアントとサーバ間の仲介役として SWG を機能させるプロキシ アーキテクチャが使用されます。SWG は必要な保護機能を提供するために、プロキシとしてトラフィックの終了とエミュレーションを行います。具体的には、インバウンド接続を終了し、サーバへの新しい別個のアウトバウンド接続を開始することによってクライアントをエミュレートします。

 

この方法により、SWG は個々のリクエストにおいてヘッダーとメッセージ本文を含むすべてのパケットを受信して、サーバの応答の意図を正確に判断できます。この判断に基づき、SWG はリクエストを送信先に送るか、ポリシー適用、データ損失防止、または有害な可能性のあるペイロードを安全にデトネーションするサンドボックスなどに転送して追加の分析を行います。すべてのメッセージにおいて、パケットごとおよび全体を対象とした検査を行うため、オンプレミスおよびクラウド内のすべてのタイプの通信に対し、一貫性のあるセキュリティ ポリシーの適用が可能です。

 

 

セキュア Web ゲートウェイが重要である理由

分散された業務環境で働く従業員が増えたことに伴い、SWG の重要性が高まっています。新型コロナウイルス感染症のパンデミックにより、ネットワークの境界を越えてデータやアプリケーションなどの企業リソースにアクセスすることへの従業員のニーズが増加したことも、この傾向に拍車をかけました。従業員が自宅やリモート オフィスから、または無料の Wi-Fi を使用してあらゆる場所から業務を行うようになった今日、SWG が必要であることは一目瞭然です。さらに、従業員が複数のデバイス(ラップトップ、タブレット、スマートフォン)を使用して企業リソースにアクセスする可能性があることを考慮すると、リモート使用されるこれらのモバイル デバイスに適切なセキュリティを確実に適用することは困難、または不可能にさえなりかねません。

SWG を採用していない組織は、設計においてモビリティ、クラウド、デバイスのスケーリングが考慮されていないレガシー ネットワーク セキュリティ インフラストラクチャを使用せざるを得ない可能性があります。驚異的なスピードで新しい攻撃方法が開発される現在の状況を考えると、ハードウェアベースのレガシー セキュリティ アプライアンスを絶えず更新するにはあまりに多くの時間と費用が必要となり、実質的に不可能です。

 

 

セキュア Web ゲートウェイの機能

SWG には、ほかの対策では検知できないゼロデイ攻撃や標的型攻撃(APT)などを含む、既知と未知の両方の脅威を阻止する機能があります。

 

SWG はプロキシを使用することで、Web および Web プロトコルを悪用する高度な標的型攻撃を検知して被害を緩和します。

 

 

セキュア Web ゲートウェイのメリット

SWG はプロキシ アーキテクチャを採用しているため、ファイアウォールやその他のストリームベースのソリューションによる検知を回避する、Web トラフィックに隠された脅威を検出できます。損害の発生やポリシーおよびガバナンス要件への違反の発生に先だって攻撃を発見および防止するには、多くの場合 SWG が唯一の方法となります。

SWG を有効に利用するためには最新のインテリジェンスの活用が不可欠であるため、SWG では、脅威を監視して新しく特定された攻撃シグネチャを組み込む監視ツールを使用して、新たに出現する脅威の情報を取得しています。Web トラフィックの多くは暗号化されているため、SWG は、クラウドベースのものを含むトラフィックを復号して、暗号化によって盲点が発生することを防止しています。また SWG は、疑わしいコンテンツを DLP や CASB などのほかのセキュリティ システムに送信できるため、組織のセキュリティ体制全体の改善にも活用できます。

SWG は、Web トラフィックに存在し得る新しい攻撃経路の可視化にも役立ちます。新しいサイトとリンクはすべて、組織のセキュリティ対策を突破し、システム運用に損害を与えるための経路として悪用される可能性があります。SWG による可視化は、オンプレミスとクラウドのすべてのトラフィックを監視してログ収集することで実現され、Web をだれがどのように使用しているかの把握を可能にします。正当な Web サイトの多くにはパッチが適用されていない脆弱性があるため、この機能はますます重要になっています。また SWG は、Web トラフィックを検査して分類できるため、さまざまな政府および地域の規制要件や企業のガバナンス ポリシーに対するコンプライアンスを確保するうえでも役立ちます。

SWG は、組織のデジタル資産を保護するための包括的なソリューションを提供します。主なメリットは次のとおりです。

  • 制御ポイントとしてトラフィックを終了およびエミュレートする機能
  • Web トラフィックを制御および保護する機能
  • Web トラフィックの可視化と分類
  • トラフィックの復号と再暗号化
  • エンタープライズ ポリシーの適用
  • データ損失防止とコンプライアンス確保
  • ゼロデイ攻撃に対する保護

 

 

セキュア Web ゲートウェイの実装方法

セキュア Web ゲートウェイはほとんどのインフラストラクチャと同様に、オンプレミス、クラウド、ハイブリッドのいずれでも展開できます。これらすべての展開方法において、プロキシ、クライアントベースのエージェント、またはその他のルーティング方法によってすべての Web トラフィックを SWG に送信する、インライン接続がサポートされます。

SWG は原則として、物理マシンか仮想マシンかにかかわらず、サーバ上で実行されるワークロードとして展開されます。一部の SWG はアプライアンスとして利用できます。現在もっとも成長の著しい市場は、クラウドベースの SWG です。

 

 

セキュア Web ゲートウェイに関連する VMware の製品、ソリューション、リソース

Anywhere Workspace ソリューション

従業員が場所を問わず働けるように、セキュアかつスムーズな体験を提供します。

Work from Anywhere(場所を問わない働き方)

場所を問わない働き方に不可欠な、ネットワークのセキュリティ確保と最適化を実現します。VMware SD-WAN™ は、時間と場所を問わないアクセスを可能にします。

Secure Access Service Edge(SASE)

Secure Access Service Edge(SASE)は、クラウド ネットワークとクラウド セキュリティを統合して、シンプルさ、スケーラビリティ、柔軟性、広範なセキュリティを提供します。

VMware Secure Access

VMware SD-WAN と Workspace ONE を連携させることで、リモート/モバイル ワーカーに最適化されたセキュアな高パフォーマンスのアクセスを提供できます。