セキュアWebゲートウェイとは

サイバーセキュリティにおけるSWGの役割

Gartnerによると、セキュアWebゲートウェイには少なくともURLフィルタリング、悪意のあるコードの検出とフィルタリング、Microsoft 365などの一般的なクラウド アプリケーションのアプリケーション制御が含まれている必要があります。Gartnerは先日、CASBをセキュア アクセス サービス エッジ(SASE)フレームワークに基づくセキュリティ アーキテクチャーの重要なコンポーネントとして位置付けました。これについては、後ほど説明します。

SWGの機能

SWG (「スウィッグ」と発音)は、悪意のあるWebサイトやリンクへのアクセスをブロックするよう設計されており、セキュリティ ゲートウェイとして機能することで、きめ細かな使用ポリシーを施行し、脅威がWebアプリケーションにアクセスするのを阻止します。これは、アプリケーション レベルでWebやインターネットのトラフィックをフィルタリングすることで可能になります。

セキュアWebゲートウェイとファイアウォールの違い

ファイアウォールとSWGは同様のタスクを実行しますが、まったく同じというわけではありません。ファイアウォールは着信パケットの内容を確認し、その結果をネットワーク レベルでのみ既知の脅威のシグネチャーと比較するのに対し、SWGはアプリケーション レベルで動作し、組織のWeb使用ポリシーに従って接続やキーワードをブロックまたは許可します。

Webゲートウェイとプロキシーの違い

Webゲートウェイとプロキシーには決定的な違いがあります。プロキシー サーバーとゲートウェイはどちらもネットワークからインターネットにトラフィックをルーティングしますが、プロキシー サーバーはどの接続を許可するかフィルタリングする一方、ゲートウェイはフィルタリングを行いません。こういった意味で、ゲートウェイはインターネットにアクセスするためのドアに、プロキシー サーバーはネットワークの内部がインターネットにさらされるのを防ぐ壁にそれぞれ似ているといえます。

SWGが重要な理由

企業のデータ センターからのみ、データやアプリケーションにアクセスする時代は終わりました。従業員があらゆる場所から働くようになった今、ノートパソコン、スマートフォン、またはその他のエンドポイント デバイスからアプリにアクセスできる必要がありますが、こうしたアプリはデータセンターではなくクラウド上にあるため、従来のネットワーク セキュリティ制御では十分に保護できないのが実情です。

このようなレガシー インフラでインターネットに向かうトラフィックを保護する場合、高価なMPLSリンクを介してトラフィックをデータ センターの従来型のSWGにバックホールする必要があります。その結果、トラフィックの流れが遅くなり、従業員の不満と生産性の低下につながります。

さらに、こういった従来のソリューションでは、現在のクラウドベースの環境に適したサイバーセキュリティを提供できません。サイバー犯罪者は、悪意のあるコードと攻撃方法を驚異的なペースで開発しながら、新しいセキュリティ脅威を送り込んでいます。従来のハードウェアを更新して新たな脅威に対抗しようとしても、膨大なコストと時間が必要になるため、多くの組織は更新をまったく行わない、または更新できないという状況に陥り、脆弱性は残されたままとなってしまいます。

企業にSWGが必要な理由

場所を問わない働き方やSaaSが急速に普及したことで、クラウド ネイティブ セキュリティ ソリューションの必要性がますます高まっています。侵入の防止に加えて、組織はクラウド アクセス セキュリティ ブローカー(CASB)、情報漏洩防止(DLP)やクラウドDLP、ブラウザー分離サービスの形態による高度な脅威対策、マルウェア対策、サンドボックス、データ保護を必要としています。さらに、SSLで暗号化されたトラフィックを含むすべてのトラフィックを検査できる機能も求められます。

クラウド リソースを効果的に保護するには、Gartnerのセキュア アクセス サービス エッジ(SASE)の概念に従って、セキュリティ ソリューションを設計する必要があります。現在普及している「クラウド セキュリティ サービス」は、アプライアンスベースのアーキテクチャーであるものが多く、特にSSL復号や検査などの大量のコンピューティング リソースを必要とするため、機能的に限界があります。VPNのようなオンプレミスのハードウェアベースの機能をクラウドに移行するだけでは、何千台とあるDVDプレーヤーを一か所に集めて、それをNetflixと呼ぶようなものです。

つまり、接続先や使用するクラウド サービスのホスティング先に関わらず、同一の保護とポリシー施行が可能なのは、クラウドベースのソリューションだけなのです。

SASEの機能

SASEのクラウド型アーキテクチャーは、DNSセキュリティ、SWG、ゼロトラスト ネットワーク アクセス(ZTNA)、情報漏洩防止(DLP)などのさまざまなネットワーキングおよびセキュリティ サービスを1つのプラットフォームに集約します。また、SASEはSD-WANと組み合わせの相性がよく、次のようなユース ケースで効果を発揮します。

• ITコストと複雑さの軽減：効果的なSASEソリューションは、自動化されたクラウド サービスとして簡単に導入、管理でき、レガシー アーキテクチャーがもたらす技術的負債を負うことなくデジタル トランスフォーメーションを実現します。
• 優れたユーザー エクスペリエンスの提供：SASEはセキュリティ ポリシーをユーザーに近づけることで、不要なバックホールを排除し、最適な帯域幅を提供しながら低レイテンシーを実現します。
• リスクの低減：SASEでは、接続元のユーザーやアクセスしているアプリ、使用されている暗号化方式に関係なく、すべての接続がリアルタイムで検査されたうえで保護されます。

ZscalerとSWG

Zscalerは、Gartner® セキュアWebゲートウェイのMagic Quadrant™で、10年連続でリーダーの1社と評価されています。Gartnerは2021年、SASEの機能の一部であり、SWGを含む新しいカテゴリーとなるセキュリティ サービス エッジ(SSE)を提唱しました。その後、Zscalerは2022年Gartnerセキュリティ サービス エッジのMagic Quadrantでリーダーの1社として評価され、実行能力において最も高いポジションに位置付けられました。