Webセキュリティとは

WebセキュリティとWebアプリケーション

最初に、用語の定義を明確にしましょう。Webセキュリティには、一般公開されているWebサイトを保護するための実践やツールのサブカテゴリーであるWebアプリケーション セキュリティ(別名、Webサイト セキュリティ)も含まれる場合があります。ここでは、サーバーまたはユーザー エンドポイントを保護するWebセキュリティ ソリューションと、それらとインターネットの間を移動するトラフィックに絞って説明します。

Webセキュリティの目的

現代の企業にとってインターネットは非常に重要であり、それに伴うサイバー攻撃の巧妙化、頻度、影響の増大により、Webセキュリティはビジネス継続に不可欠な存在となっています。機密データの漏洩、高額の身代金、評判への被害、コンプライアンス違反を含む、多くの悪影響につながる可能性がある脅威に対する、いわば最前線の防御壁となっているのです。

かつては、ほとんどが小規模なハッカーの領域であったインターネット上の脅威は、大規模なブラック マーケット ビジネスに発展し、組織犯罪だけでなく、国家が支援するスパイ活動や破壊工作の世界にも影響を与えています。最新の脅威の中には非常に高度なものもあり、専門知識を持たない人を簡単に騙すだけでなく、従来型のセキュリティを回避することもできます。さらに、既製のツール、エクスプロイト キット、JavaScriptモジュール、準備が整った攻撃キャンペーン セットも販売されているため、初心者でも簡単に攻撃を仕掛けることができるようになっています。

Cybersecurity Venturesは、2025年までに世界のサイバー犯罪の被害総額は年間10.5兆ドル(世界の主要な違法薬物取引による収益を超える金額)に上り、世界中のデータの半分がクラウド上に保管されることになると推定しています。潜在的な被害の可能性を考えると、今日の世界において効果的なWebセキュリティが重要である理由は言うまでもありません。

Webセキュリティのメリット

現代の企業にとって、効果的なWebセキュリティには技術面だけでなく使う人間にとっても幅広いメリットが存在します。

• 機密データの漏洩を防ぐことで、ビジネスを保護しつつコンプライアンスを維持する
• 個人情報を安全に管理することで、お客様と従業員を保護する
• 感染やエクスプロイトを防ぐことで、被額がかさむサービスの中断を回避する
• ユーザーの安全性と生産性を保つことで、より優れたユーザー エクスペリエンスを提供する
• 安全を確保し、ニュースになるような事態に巻き込まれないことで、お客様からの信頼を維持する

クラウドとモビリティーの技術が大きく進歩したことで、組織は、従業員やお客様とこれまで以上に簡単かつ柔軟につながることができます。一方で、この状況は、組織の広範な攻撃対象領域に近づく手段をサイバー攻撃者に提供することにもなります。適切なWeb保護機能を導入することで、そのメリットを十分に活用しながらセキュリティ脅威に対する心配を減らすことができます。

Webセキュリティが対応する攻撃の種類

Webセキュリティは、悪意のあるメール、暗号化された脅威、悪意のある/侵害されたWebサイトやデータベース、悪意のあるリダイレクト、ハイジャックなどからユーザーやエンドポイントを保護するために、幅広い機能を提供します。特に一般的な脅威について詳しく見ていきましょう。

• ランサムウェア：データを暗号化し、復号化キーと引き換えに身代金の支払いを要求します。二重脅迫型攻撃では、データも流出させられます。
• 一般的なマルウェア：データ漏洩、スパイ行為、不正アクセスからロックアウト、エラー、システム クラッシュまで、あらゆる被害につながる可能性のあるマルウェアの亜種が無数に存在します。
• フィッシング：多くの場合、メールやテキストメッセージ、悪意のあるWebサイトを介して実行されるこれらの攻撃は、ユーザーを欺いてログイン資格情報の漏洩やスパイウェアのダウンロードなどに導こうとします。
• SQLインジェクション：データベース サーバーの入力に関する脆弱性を悪用し、データの取得、操作、削除などのコマンドを攻撃者が実行できるようにします。
• サービスの拒否(DoS)：サーバーなどのネットワーク デバイスに処理能力を超えるデータを送信し、速度を低下させたり、停止させたりする攻撃です。分散型DoS (DDoS攻撃)では、乗っ取られた多数のデバイスによって一度に上記のようなDoS攻撃が実行されます。
• クロスサイト スクリプティング(XSS)：この種類のインジェクション攻撃では、攻撃者は保護されていないユーザー入力フィールドを通して、信頼できるWebサイトに悪意のあるコードを送り込みます。

理想的なWebセキュリティ ソリューションは、複数の技術を活用して、マルウェアやランサムウェアの阻止、フィッシング ドメインのブロック、資格情報の使用への制限などを行い、総合的な防御を構築します。

これがどのように機能するかについて解説します。

Webセキュリティの仕組み

Webセキュリティは、使用環境のエンドポイントとインターネットの間で機能し、そこで両方向のトラフィックとリクエストを検査します。すべてのトラフィックを監視または検査する単一の技術はありませんが、機器の「スタック」またはより効果的なクラウド提供型サービスのプラットフォームにより、ポリシー違反、マルウェア感染、情報漏洩、資格情報の窃取などを防ぐ総合的な技術を提供します。

現在、多くのソリューションが提供されていますが、その中にはより包括的なものもあります。フル スタックのWebセキュリティには次の技術が含まれます。

• セキュアWebゲートウェイ(SWG)：Webサイトにアクセスするユーザーに脅威保護とポリシー施行を提供し、感染を防止しながら不要なトラフィックをブロックします。
• ファイアウォール/IPS：ネットワーク セキュリティ、アプリ制御、可視性を提供します。クラウド ファイアウォールは最新の状態を維持しながら、需要や暗号化を処理するように拡張できるため、より実用的な選択肢と言えます。
• URLフィルタリング：不適切なアクセスやコンテンツをスクリーニング、ブロックし、Web経由のマルウェアからの保護も提供します。
• サンドボックス：システムや他のアプリケーションに感染させることなく、スキャンや実行が可能な環境へとソフトウェアを隔離します。
• ブラウザー分離：Webページまたはアプリをリモート ブラウザーに読み込み、ユーザーにはピクセルのみを送信し、データまたはドキュメントのダウンロード、コピー、貼り付け、印刷を防止します。
• DNS制御：DNSトラフィックに関連するリクエストと応答を制御するルールを定義し、トンネリングなどのDNSの悪用を検出して防止します。
• アンチウイルス：トロイの木馬、スパイウェア、ランサムウェアなどを検出して無効化します。また、悪意のあるURLやフィッシング、DDoSなどの脅威からも保護するサービスも多くあります。
• TLS/SSL復号化：オープンなインバウンドおよびアウトバウンドの暗号化トラフィックを中断してその内容を検査し、その後再暗号化して宛先までの接続を継続します。

クラウド提供型のWebセキュリティが推奨される理由

オンプレミスのハードウェアとして、Webセキュリティ技術はデータ センター内にあるSWG機器に格納されます。ハードウェア スタックは、ファイアウォール、URLおよびDNSフィルター、サンドボックス機器など、あらゆる機能をカバーするものが考えられます。

ハードウェアベースのアプローチで生じるギャップは避けられない問題となります。機器にはゼロデイ攻撃から安全を保つために継続的なパッチ適用が必要であり、これが後手に回った場合には悪用される脆弱性が生じます。また、機器には性能上の限界があります。特に、今日のほぼすべてのトラフィックを占めるTLS/SSL暗号化トラフィックに関しては、隠れた脅威を確実に根絶することはできません。

さらに、デバイス間(同じベンダーのデバイス同士であっても)で通信をしないケースが極めて多く、情報セキュリティに精通した専門家であってもそうしたデバイス間を流れるデータの関連付けは非常に困難です。

一方、クラウド サービスとして提供されるセキュアWebゲートウェイはリアルタイムの脅威保護とポリシー施行を提供し、ユーザーが企業ネットワークの外にいる場合でも、感染したWebサイトへのアクセスを防止します。そして、感染した、または不要なトラフィックが内部ネットワークに侵入するのをブロックします。

Zscalerのソリューション

ZscalerのセキュアWebゲートウェイは100%クラウドで提供されるため、ユーザーが接続する場所、使用するエンドポイント デバイス、アプリケーションがホストされている場所にかかわらず、一貫したセキュリティ ポリシーを施行します。また、大規模なスケーラビリティーを実現できるようグローバルなマルチテナント クラウド アーキテクチャー上に構築されているため、パフォーマンスを低下させることなく暗号化されたすべてのトラフィックを検査することができます。そして、当社の統合型のクラウド ネイティブ プラットフォームは、ハードウェア アプローチと比較して運用の複雑さとコストを大幅に削減できます。

Zscaler Web Security

Zscaler Internet Access™には、クラウド ファイアウォール/IPS、サンドボックス、URLフィルタリング、クラウド ブラウザー分離、情報漏洩防止(DLP)、クラウド アクセス セキュリティ ブローカー(CASB)、クラウド セキュリティ ポスチャー管理(CSPM) が含まれており、ネットワーク内外のすべてのユーザーに対して、優れたインターネット セキュリティを提供します。

Zscalerは、Gartner® セキュリティ・サービス・エッジ(SSE)のMagic Quadrant™で、リーダーの1社としての評価を10年連続で獲得しました。2021年に、GartnerはSWGを含む新しいカテゴリーであるセキュリティ・サービス・エッジを定義し、その後Zscalerは、2022年 Gartner セキュリティ・サービス・エッジ(SSE)のMagic Quadrantでリーダーの1社と評価され、実行能力において最も高いポジションに位置付けられました。