/ Webセキュリティとは
Webセキュリティとは
Webセキュリティは、侵害やデータ損失につながる可能性のあるインターネット ベースのサイバー攻撃(マルウェア、フィッシングなど)からユーザー、デバイス、およびより広範なネットワークを保護する、幅広いセキュリティ ソリューションのカテゴリーです。ファイアウォール検査、侵入防御システム(IPS) スキャン、サンドボックス、URLフィルタリング、およびその他のさまざまなセキュリティおよびアクセス制御を活用しており、ユーザーが誤って悪意のあるファイルやWebサイトにアクセスした場合のセキュリティ リスクが軽減されます。
WebセキュリティとWebアプリケーション
最初に、用語の定義を明確にしましょう。Webセキュリティには、一般公開されているWebサイトを保護するための実践やツールのサブカテゴリーであるWebアプリケーション セキュリティ(別名、Webサイト セキュリティ)も含まれる場合があります。ここでは、サーバーまたはユーザー エンドポイントを保護するWebセキュリティ ソリューションと、それらとインターネットの間を移動するトラフィックに絞って説明します。
Webセキュリティの目的
現代の企業にとってインターネットは非常に重要であり、それに伴うサイバー攻撃の巧妙化、頻度、影響の増大により、Webセキュリティはビジネス継続に不可欠な存在となっています。機密データの漏洩、高額の身代金、風評被害、コンプライアンス違反を含む多くの悪影響につながる可能性がある脅威に対する、いわば最前線の防御壁となっているのです。
かつては、ほとんどが小規模なハッカーの領域であったインターネット上の脅威は、大規模なブラック マーケット ビジネスに発展し、組織犯罪だけでなく、国家が支援するスパイ活動や破壊工作の世界にも影響を与えています。最新の脅威の中には非常に高度なものもあり、専門知識を持たない人を簡単に騙すだけでなく、従来型のセキュリティを回避することもできます。さらに、既製のツール、エクスプロイトキット、JavaScriptモジュール、準備が整った攻撃キャンペーンセットも販売されているため、初心者でも簡単に攻撃を仕掛けることができるようになっています。
Cybersecurity Venturesは、2025年までに世界のサイバー犯罪の被害総額は年間10.5兆ドル(世界の主要な違法薬物取引による収益を超える金額)に上り、世界中のデータの半分がクラウド上に保管されることになると推定しています。どれだけの規模の危機が迫っているかを考えると、今日の世界において効果的なWebセキュリティが重要である理由は考えるまでもありません。
Webセキュリティのメリット
現代の企業にとって、効果的なWebセキュリティには技術面だけでなく使う人間にとっても幅広いメリットが存在します。
- 機密データの漏洩を防ぐことで、ビジネスを保護し、コンプライアンスを維持する
- 個人情報を保護して顧客と従業員を保護する
- 感染やエクスプロイトを防ぐことで、大きな損害を生むサービス中断を回避する
- ユーザーの安全性と生産性を保つことで、より優れたユーザー エクスペリエンスを提供する
- 安全を確保し、ニュースになるような事態を起こさないことで、顧客の信頼を維持する
クラウドとモビリティーの技術が大きく進歩したことで、従業員と顧客はかつてないほど簡単かつ柔軟に企業とつながることができるようになりました。一方で、この状況は組織の攻撃対象領域を拡大させ、より多くのサイバー攻撃のアプローチが生まれています。適切なWeb保護機能を導入することで、テクノロジーのメリットを十分に活用しながらセキュリティ上の脅威に対する心配を減らすことができます。
Webセキュリティが対応する攻撃の種類
Webセキュリティは、悪意のあるメール、暗号化された脅威、悪意があるか侵害されたWebサイトやデータベース、悪意のあるリダイレクト、ハイジャックなどからユーザーやエンドポイントを保護するために、幅広い機能を提供します。最も一般的な脅威をいくつか詳しく見てみましょう。
- ランサムウェア:データを暗号化し、復号キーと引き換えに身代金の支払いを要求します。二重脅迫型攻撃では、データも盗み出されます。
- 一般的なマルウェア:データ漏洩、スパイ行為、不正アクセスからロックアウト、エラー、システム クラッシュまで、あらゆる被害につながる可能性のあるマルウェアの亜種が無数に存在します。
- フィッシング:多くの場合、メールやテキスト メッセージ、悪意のあるWebサイトを介して実行されるこれらの攻撃は、ユーザーを欺いてログイン資格情報の漏洩やスパイウェアのダウンロードなどに導こうとします。
- SQLインジェクション:データベース サーバーの入力に関する脆弱性を悪用し、データの取得、操作、削除などのコマンドを攻撃者が実行できるようにします。
- サービス拒否(DoS):サーバーなどのネットワーク デバイスに処理能力を超えるデータを送信し、速度を低下させたり、停止させたりする攻撃です。分散型DoS (DDoS攻撃)では、乗っ取られた多数のデバイスによって一度に上記のようなDoS攻撃が実行されます。
- クロスサイト スクリプティング(XSS):この種類のインジェクション攻撃では、攻撃者は保護されていないユーザー入力フィールドを通して、信頼できるWebサイトに悪意のあるコードを送り込みます。
理想的なWebセキュリティ ソリューションは、複数の技術を活用して、マルウェアやランサムウェアの阻止、フィッシング ドメインのブロック、資格情報の使用への制限などを行い、総合的な防御を構築します。
その仕組みについてもう少し詳しく見ていきましょう。
Webセキュリティの仕組み
Webセキュリティは、使用環境のエンドポイントとインターネットの間で機能し、そこで両方向のトラフィックとリクエストを検査します。すべてのトラフィックを監視または検査する単一の技術はありませんが、機器の「スタック」またはより効果的なクラウド提供型サービスのプラットフォームにより、ポリシー違反、マルウェア感染、情報漏洩、資格情報の窃取などを防ぐ総合的な技術を提供します。
現在、多くのソリューションが提供されていますが、その中にはより包括的なものもあります。フル スタックのWebセキュリティには次の技術が含まれます。
- セキュアWebゲートウェイ(SWG):Webサイトにアクセスするユーザーに脅威保護とポリシー施行を提供し、感染を防止しながら不要なトラフィックをブロックします。
- ファイアウォール/IPS:ネットワーク セキュリティ、アプリ制御、可視性を提供します。クラウド ファイアウォールは最新の状態を維持しながら、需要や暗号化を処理するように拡張できるため、より実用的な選択肢と言えます。
- URLフィルタリング:不適切なアクセスやコンテンツをスクリーニング、ブロックし、Web経由のマルウェアからの保護も提供します。
- サンドボックス:システムや他のアプリケーションに感染させることなく、スキャンや実行が可能な環境へとソフトウェアを隔離します。
- ブラウザー分離:Webページまたはアプリをリモート ブラウザーに読み込み、ユーザーにはピクセルのみを送信し、データまたはドキュメントのダウンロード、コピー、貼り付け、印刷を防止します。
- DNS制御:DNSトラフィックに関連するリクエストと応答を制御するルールを定義し、トンネリングなどのDNSの悪用を検出して防止します。
- アンチウイルス:トロイの木馬、スパイウェア、ランサムウェアなどを検出して無効化します。また、悪意のあるURLやフィッシング、DDoSなどの脅威からも保護するサービスも多くあります。
- TLS/SSL復号化:オープンなインバウンドおよびアウトバウンドの暗号化トラフィックを中断してその内容を検査し、その後再暗号化して宛先までの接続を継続します。
クラウド提供型のWebセキュリティが推奨される理由
オンプレミス ハードウェアとして、Webセキュリティ テクノロジーはデータ センターのSWGアプライアンスに格納されます。ハードウェア スタックには、ファイアウォール、URLおよびDNSフィルター、サンドボックス アプライアンスなどが含まれ、あらゆる機能をカバーします。
しかし、ハードウェアベースのアプローチには、必然的にセキュリティ ギャップが発生するという問題があります。アプライアンスでは、ゼロデイ攻撃から安全を確保するために継続的なパッチ適用が必要であり、パッチ適用が遅れると、悪用可能な脆弱性が残ることになります。また、アプライアンスには性能上の限界があります。特に、今日のほぼすべてのトラフィックを占めるTLS/SSL暗号化トラフィックに関しては、隠れた脅威を確実に根絶することはできません。
さらに、相互に通信しないデバイス(多くの場合、同じベンダーのもの)があまりにも多いため、高度なスキルを持つ情報セキュリティ専門家であっても、デバイス間のデータの関連付けは極めて困難です。
一方、クラウド サービスとして提供されるセキュアWebゲートウェイは、リアルタイムの脅威対策とポリシーの施行を提供し、ユーザーが企業ネットワークの外にいる場合でも、感染したWebサイトへのアクセスを防止します。そして、感染した、または不要なトラフィックが内部ネットワークに侵入するのをブロックします。
Zscalerのソリューション
ZscalerのセキュアWebゲートウェイは100%クラウドで提供されるため、ユーザーが接続する場所、使用するエンドポイント デバイス、アプリケーションがホストされている場所にかかわらず、一貫したセキュリティ ポリシーを適用します。また、大規模なスケーラビリティーを実現できるようグローバルなマルチテナント クラウド アーキテクチャー上に構築されているため、パフォーマンスを低下させることなく暗号化されたすべてのトラフィックを検査することができます。そして、当社の統合型のクラウド ネイティブ プラットフォームは、ハードウェアによるアプローチと比較して、運用の複雑さとコストを大幅に削減できます。
ZscalerのWebセキュリティ製品
単なるセキュリティ サービスとは異なり、Zscaler Internet Access™には、クラウド ファイアウォール/IPS、サンドボックス、URLフィルタリング、クラウド ブラウザー分離、情報漏洩防止(DLP)、クラウド アクセス セキュリティ ブローカー(CASB)、クラウド セキュリティ ポスチャー管理(CSPM)が含まれ、ネットワーク内外を問わず、すべてのユーザーに対して厳重なインターネット セキュリティを提供します。
Zscalerは、Gartner セキュアWebゲートウェイのMagic Quadrantにおいて10年連続でリーダーの1社と評価されました。2021年、GartnerはSWGを含む新しいカテゴリーの1つとして、セキュリティ サービス エッジを定義しました。Zscalerは、2022年 Gartner セキュリティ・サービス・エッジ(SSE)のMagic Quadrantでリーダーの1社と評価され、実行能力において最も高いポジションに位置付けられました。