Webセキュリティが保護する攻撃の種類

Webセキュリティは、悪意のあるメール、暗号化された脅威、悪意のある/侵害されたWebサイトやデータベース、悪意のあるリダイレクト、ハイジャックなどからユーザーやエンドポイントを保護するために、幅広い機能を提供します。特に一般的な脅威について詳しく見ていきましょう。ランサムウェア：データを暗号化し、復号化キーと引き換えに身代金の支払いを要求します。二重脅迫型攻撃では、データも流出させられます。一般的なマルウェア：データ漏洩、スパイ行為、不正アクセスからロックアウト、エラー、システムクラッシュまで、あらゆる被害につながる可能性のあるマルウェアの亜種が無数に存在します。フィッシング：多くの場合、メールやテキストメッセージ、悪意のあるWebサイトを介して実行されるこれらの攻撃は、ユーザーを欺いてログイン資格情報の漏洩やスパイウェアのダウンロードなどに導こうとします。 SQLインジェクション：データベースサーバーの入力に関する脆弱性を悪用し、データの取得、操作、削除などのコマンドを攻撃者が実行できるようにします。サービスの拒否(DoS) ：サーバーなどのネットワークデバイスに処理能力を超えるデータを送信し、速度を低下させたり、停止させたりする攻撃です。分散型DoS (DDoS攻撃)では、乗っ取られた多数のデバイスによって一度に上記のようなDoS攻撃が実行されます。クロスサイトスクリプティング(XSS) ：この種類のインジェクション攻撃では、攻撃者は保護されていないユーザー入力フィールドを通して、信頼できるWebサイトに悪意のあるコードを送り込みます。

Zscaler: 2024年Gartner®セキュリティ・サービス・エッジ(SSE)のMagic Quadrant™でリーダーの1社と評価

レポートを入手する(英語)

セキュリティに新しいエクスペリエンスを

ゼロトラストの変革力を体験する

Zscalerの違い

ゼロトラストの基礎

ゼロトラストネットワークアクセス(ZTNA)とは

セキュアWebゲートウェイ(SWG)とは

クラウドアクセスセキュリティブローカー(CASB)とは

SASE (セキュアアクセスサービスエッジ)とは

What is Data Security Posture Management (DSPM)?

ゼロトラストのリソース

ユーザーの保護

アプリやデータへのシームレスで安全なアクセスをユーザーに提供

ワークロードの保護

安全なクラウドアプリの構築と実行、ゼロトラストのクラウド接続、データセンターからクラウドまでのワークロードの保護を実現

IoTとOTの保護

IoT/OTデバイスにゼロトラスト接続を提供し、OTシステムへの安全なリモートアクセスを実現

製品

100%クラウドネイティブのサービスで組織を変革

インターネットへのセキュアなアクセス(ZIA)

セキュアなプライベートアクセス(ZPA)

デジタルエクスペリエンス(ZDX)

データ保護(CASB/DLP)

ソリューション

リソースの保護と接続を実現するゼロトラストソリューションでビジネスを推進

データセキュリティポスチャーマネジメント(DSPM)

製品またはソリューションを探す

パートナーとの統合業界と市場のソリューション

Zero Trust Exchangeプラットフォーム

世界最大のセキュリティクラウドを活用するZscalerのクラウドネイティブなプラットフォームがどのようにゼロトラストを実現するのかを学ぶ

ゼロトラストアーキテクチャーによる変革

トランスフォーメーションへの取り組みを推進

ビジネスゴールの保護

ビジネスとITのイニシアチブを達成

Zscaler Client Connectorをダウンロード

リソースとサポート

トランスフォーメーションを加速させ、セキュリティに新しいユーザーエクスペリエンスを提供するツールとリソースを探す

デジタル世界とゼロトラストの先駆者から学ぶ

ベストプラクティスの最新情報

プログラム、認定資格、イベント情報

すぐに使えるリサーチとインサイト

ニーズに合わせたツール

Executive Insightsアプリ

ランサムウェア対策のROI計算ツール

サポート情報とつながりを提供するコミュニティー

Customer Success Center

Zenith Community

CXO REvolutionaries

Zscalerヘルプポータル

Zscalerの最新のイノベーションを見る

業界や国の課題を解決に導くソリューション

リソースセンター

ベストプラクティスの最新情報

イベントとトレーニング

プログラム、認定資格、イベント情報

今後のイベント情報

Zenith Live

Zscaler Academy

セキュリティリサーチとサービス

すぐに使えるリサーチとインサイト

ThreatLabzによる分析

ツール

ニーズに合わせたツール

Executive Insightsアプリ

ランサムウェア対策のROI計算ツール

コミュニティーとサポート

サポート情報とつながりを提供するコミュニティー

Customer Success Center

Zenith Community

CXO REvolutionaries

Zscalerヘルプポータル

Zscalerの最新のイノベーションを見る

業界と市場のソリューション

業界や国の課題を解決に導くソリューション

Zscalerの歴史と今後の展望

Zscalerのパートナーエコシステム

Zscalerの最新情報

Zscalerの役員一覧

ニュース、株式情報、四半期報告書

ZscalerのESGアプローチ

Zscalerでキャリアを構築

Zscalerに関するさまざまな情報

Zscalerが準拠する厳格な標準

Zscalerが準拠する厳格な標準

/ Webセキュリティとは

Webセキュリティとは

Q: Webセキュリティとは

Web セキュリティは、侵害や情報漏洩につながる可能性のあるインターネットベースのサイバー攻撃 (マルウェア、フィッシングなど) からユーザーやデバイス、そしてより広範なネットワークを保護する幅広いカテゴリーのセキュリティ ソリューションです。Webセキュリティ ソリューションの多くは、ユーザーが誤って悪意のあるファイルやWebサイトにアクセスした際に、組織にもたらされるセキュリティ リスクを軽減します。

Webセキュリティは、侵害やデータ損失につながる可能性のあるインターネットベースのサイバー攻撃(マルウェア、フィッシングなど)からユーザー、デバイス、およびより広範なネットワークを保護する、幅広いセキュリティソリューションのカテゴリーです。ファイアウォール検査、侵入防御システム(IPS) スキャン、サンドボックス、URLフィルタリング、およびその他のさまざまなセキュリティおよびアクセス制御を活用しており、ユーザーが誤って悪意のあるファイルやWebサイトにアクセスした場合のセキュリティリスクが軽減されます。

Zscaler Internet Accessの仕組み | インターネットとWebセキュリティ

ネットワークセキュリティクラウドセキュリティ

WebセキュリティとWebアプリセキュリティ
目的
主なメリット
対応する攻撃の種類
仕組み
クラウド提供型の利点
Zscalerのソリューション
おすすめのリソース
関連するトピック

WebセキュリティとWebアプリケーション

最初に、用語の定義を明確にしましょう。Webセキュリティには、一般公開されているWebサイトを保護するための実践やツールのサブカテゴリーであるWebアプリケーションセキュリティ(別名、Webサイトセキュリティ)も含まれる場合があります。ここでは、サーバーまたはユーザーエンドポイントを保護するWebセキュリティソリューションと、それらとインターネットの間を移動するトラフィックに絞って説明します。

Webセキュリティの目的

現代の企業にとってインターネットは非常に重要であり、それに伴うサイバー攻撃の巧妙化、頻度、影響の増大により、Webセキュリティはビジネス継続に不可欠な存在となっています。機密データの漏洩、高額の身代金、風評被害、コンプライアンス違反を含む多くの悪影響につながる可能性がある脅威に対する、いわば最前線の防御壁となっているのです。

かつては、ほとんどが小規模なハッカーの領域であったインターネット上の脅威は、大規模なブラックマーケットビジネスに発展し、組織犯罪だけでなく、国家が支援するスパイ活動や破壊工作の世界にも影響を与えています。最新の脅威の中には非常に高度なものもあり、専門知識を持たない人を簡単に騙すだけでなく、従来型のセキュリティを回避することもできます。さらに、既製のツール、エクスプロイトキット、JavaScriptモジュール、準備が整った攻撃キャンペーンセットも販売されているため、初心者でも簡単に攻撃を仕掛けることができるようになっています。

Cybersecurity Venturesは、2025年までに世界のサイバー犯罪の被害総額は年間10.5兆ドル(世界の主要な違法薬物取引による収益を超える金額)に上り、世界中のデータの半分がクラウド上に保管されることになると推定しています。どれだけの規模の危機が迫っているかを考えると、今日の世界において効果的なWebセキュリティが重要である理由は考えるまでもありません。

Webセキュリティのメリット

現代の企業にとって、効果的なWebセキュリティには技術面だけでなく使う人間にとっても幅広いメリットが存在します。

機密データの漏洩を防ぐことで、ビジネスを保護し、コンプライアンスを維持する
個人情報を保護して顧客と従業員を保護する
感染やエクスプロイトを防ぐことで、大きな損害を生むサービス中断を回避する
ユーザーの安全性と生産性を保つことで、より優れたユーザーエクスペリエンスを提供する
安全を確保し、ニュースになるような事態を起こさないことで、顧客の信頼を維持する

クラウドとモビリティーの技術が大きく進歩したことで、従業員と顧客はかつてないほど簡単かつ柔軟に企業とつながることができるようになりました。一方で、この状況は組織の攻撃対象領域を拡大させ、より多くのサイバー攻撃のアプローチが生まれています。適切なWeb保護機能を導入することで、テクノロジーのメリットを十分に活用しながらセキュリティ上の脅威に対する心配を減らすことができます。

Webセキュリティが対応する攻撃の種類

Webセキュリティは、悪意のあるメール、暗号化された脅威、悪意があるか侵害されたWebサイトやデータベース、悪意のあるリダイレクト、ハイジャックなどからユーザーやエンドポイントを保護するために、幅広い機能を提供します。最も一般的な脅威をいくつか詳しく見てみましょう。

ランサムウェア：データを暗号化し、復号キーと引き換えに身代金の支払いを要求します。二重脅迫型攻撃では、データも盗み出されます。
一般的なマルウェア：データ漏洩、スパイ行為、不正アクセスからロックアウト、エラー、システムクラッシュまで、あらゆる被害につながる可能性のあるマルウェアの亜種が無数に存在します。
フィッシング：多くの場合、メールやテキストメッセージ、悪意のあるWebサイトを介して実行されるこれらの攻撃は、ユーザーを欺いてログイン資格情報の漏洩やスパイウェアのダウンロードなどに導こうとします。
SQLインジェクション：データベースサーバーの入力に関する脆弱性を悪用し、データの取得、操作、削除などのコマンドを攻撃者が実行できるようにします。
サービス拒否(DoS)：サーバーなどのネットワークデバイスに処理能力を超えるデータを送信し、速度を低下させたり、停止させたりする攻撃です。分散型DoS (DDoS攻撃)では、乗っ取られた多数のデバイスによって一度に上記のようなDoS攻撃が実行されます。
クロスサイトスクリプティング(XSS)：この種類のインジェクション攻撃では、攻撃者は保護されていないユーザー入力フィールドを通して、信頼できるWebサイトに悪意のあるコードを送り込みます。

理想的なWebセキュリティソリューションは、複数の技術を活用して、マルウェアやランサムウェアの阻止、フィッシングドメインのブロック、資格情報の使用への制限などを行い、総合的な防御を構築します。

その仕組みについてもう少し詳しく見ていきましょう。

Webセキュリティの仕組み

Webセキュリティは、使用環境のエンドポイントとインターネットの間で機能し、そこで両方向のトラフィックとリクエストを検査します。すべてのトラフィックを監視または検査する単一の技術はありませんが、機器の「スタック」またはより効果的なクラウド提供型サービスのプラットフォームにより、ポリシー違反、マルウェア感染、情報漏洩、資格情報の窃取などを防ぐ総合的な技術を提供します。

現在、多くのソリューションが提供されていますが、その中にはより包括的なものもあります。フルスタックのWebセキュリティには次の技術が含まれます。

セキュアWebゲートウェイ(SWG)：Webサイトにアクセスするユーザーに脅威保護とポリシー施行を提供し、感染を防止しながら不要なトラフィックをブロックします。
ファイアウォール/IPS：ネットワークセキュリティ、アプリ制御、可視性を提供します。クラウドファイアウォールは最新の状態を維持しながら、需要や暗号化を処理するように拡張できるため、より実用的な選択肢と言えます。
URLフィルタリング：不適切なアクセスやコンテンツをスクリーニング、ブロックし、Web経由のマルウェアからの保護も提供します。
サンドボックス：システムや他のアプリケーションに感染させることなく、スキャンや実行が可能な環境へとソフトウェアを隔離します。
ブラウザー分離：Webページまたはアプリをリモートブラウザーに読み込み、ユーザーにはピクセルのみを送信し、データまたはドキュメントのダウンロード、コピー、貼り付け、印刷を防止します。
DNS制御：DNSトラフィックに関連するリクエストと応答を制御するルールを定義し、トンネリングなどのDNSの悪用を検出して防止します。
アンチウイルス：トロイの木馬、スパイウェア、ランサムウェアなどを検出して無効化します。また、悪意のあるURLやフィッシング、DDoSなどの脅威からも保護するサービスも多くあります。
TLS/SSL復号化：オープンなインバウンドおよびアウトバウンドの暗号化トラフィックを中断してその内容を検査し、その後再暗号化して宛先までの接続を継続します。

クラウド提供型のWebセキュリティが推奨される理由

オンプレミスハードウェアとして、WebセキュリティテクノロジーはデータセンターのSWGアプライアンスに格納されます。ハードウェアスタックには、ファイアウォール、URLおよびDNSフィルター、サンドボックスアプライアンスなどが含まれ、あらゆる機能をカバーします。

しかし、ハードウェアベースのアプローチには、必然的にセキュリティギャップが発生するという問題があります。アプライアンスでは、ゼロデイ攻撃から安全を確保するために継続的なパッチ適用が必要であり、パッチ適用が遅れると、悪用可能な脆弱性が残ることになります。また、アプライアンスには性能上の限界があります。特に、今日のほぼすべてのトラフィックを占めるTLS/SSL暗号化トラフィックに関しては、隠れた脅威を確実に根絶することはできません。

さらに、相互に通信しないデバイス(多くの場合、同じベンダーのもの)があまりにも多いため、高度なスキルを持つ情報セキュリティ専門家であっても、デバイス間のデータの関連付けは極めて困難です。

一方、クラウドサービスとして提供されるセキュアWebゲートウェイは、リアルタイムの脅威対策とポリシーの施行を提供し、ユーザーが企業ネットワークの外にいる場合でも、感染したWebサイトへのアクセスを防止します。そして、感染した、または不要なトラフィックが内部ネットワークに侵入するのをブロックします。

Zscalerのソリューション

ZscalerのセキュアWebゲートウェイは100%クラウドで提供されるため、ユーザーが接続する場所、使用するエンドポイントデバイス、アプリケーションがホストされている場所にかかわらず、一貫したセキュリティポリシーを適用します。また、大規模なスケーラビリティーを実現できるようグローバルなマルチテナントクラウドアーキテクチャー上に構築されているため、パフォーマンスを低下させることなく暗号化されたすべてのトラフィックを検査することができます。そして、当社の統合型のクラウドネイティブプラットフォームは、ハードウェアによるアプローチと比較して、運用の複雑さとコストを大幅に削減できます。

ZscalerのWebセキュリティ製品

単なるセキュリティサービスとは異なり、Zscaler Internet Access™には、クラウドファイアウォール/IPS、サンドボックス、URLフィルタリング、クラウドブラウザー分離、情報漏洩防止(DLP)、クラウドアクセスセキュリティブローカー(CASB)、クラウドセキュリティポスチャー管理(CSPM)が含まれ、ネットワーク内外を問わず、すべてのユーザーに対して厳重なインターネットセキュリティを提供します。

Zscalerは、Gartner セキュアWebゲートウェイのMagic Quadrantにおいて10年連続でリーダーの1社と評価されました。2021年、GartnerはSWGを含む新しいカテゴリーの1つとして、セキュリティサービスエッジを定義しました。Zscalerは、2022年 Gartner セキュリティ・サービス・エッジ(SSE)のMagic Quadrantでリーダーの1社と評価され、実行能力において最も高いポジションに位置付けられました。

ZscalerのWebセキュリティは、AIを活用するクラウド型ソリューションで、コストと複雑さを軽減しながら、優れたセキュリティとユーザーエクスペリエンスを実現します。

詳細はこちら

Webセキュリティとは

WebセキュリティとWebアプリケーション

Webセキュリティの目的

Webセキュリティのメリット

Webセキュリティが対応する攻撃の種類

Webセキュリティの仕組み

クラウド提供型のWebセキュリティが推奨される理由

Zscalerのソリューション

ZscalerのWebセキュリティ製品

ZscalerのWebセキュリティは、AIを活用するクラウド型ソリューションで、コストと複雑さを軽減しながら、優れたセキュリティとユーザー エクスペリエンスを実現します。

おすすめのリソース

関連するZpediaの記事を見る

ZscalerのWebセキュリティは、AIを活用するクラウド型ソリューションで、コストと複雑さを軽減しながら、優れたセキュリティとユーザーエクスペリエンスを実現します。