リソース > セキュリティ用語集 > Webセキュリティとは

Webセキュリティとは

Webセキュリティの定義

Webセキュリティは、侵害や情報漏洩につながる可能性のあるインターネットベースのサイバー攻撃 (マルウェア、フィッシングなど) からユーザやデバイス、そしてより広範なネットワークを保護する幅広いカテゴリのセキュリティソリューションです。Webセキュリティソリューションの多くは、ユーザが誤って悪意のあるファイルやWebサイトにアクセスした際に、組織にもたらされるセキュリティリスクを軽減します。

従来型のWebセキュリティモデルでは、インターネットゲートウェイにあるセキュリティ機器の「スタック」が、ファイアウォール検査、侵入防御システム (IPS) スキャン、サンドボックス、URLフィルタリングなどのさまざまなセキュリティおよびアクセス制御との組み合わせを活用して、インターネットゲートウェイを通過するトラフィックを検査します。
 

WebセキュリティとWebアプリケーション

最初に、用語の定義を明確にしておきましょう。Webセキュリティには、一般公開されているWebサイトを保護するための実践やツールのサブカテゴリであるWebアプリケーションセキュリティ (Webサイトセキュリティとも呼ばれる) も含まれる場合があります。ここでは、サーバまたはユーザエンドポイントを保護するWebセキュリティソリューションと、それらとインターネットの間を移動するトラフィックに対象を絞って説明します。

 

Webセキュリティの目的

現代の企業にとってインターネットは非常に重要であり、それに伴うサイバー攻撃の巧妙化、頻度、影響の増大により、Webセキュリティはビジネス継続に不可欠な存在となっています。機密データの漏洩、高額の身代金、風評被害、コンプライアンス違反を含む多くの悪影響につながる可能性がある脅威に対する、いわば最前線の防御壁となっているのです。

かつては、ほとんどが小規模なハッカーの領域であったインターネット上の脅威は、大規模なブラックマーケットビジネスに発展し、組織犯罪だけでなく、国家が支援するスパイ活動や破壊工作の世界にも影響を与えています。最新の脅威の中には非常に高度なものもあり、専門知識を持たない人を簡単に騙すだけでなく、従来型のセキュリティを回避することもできます。さらに、既製のツール、エクスプロイトキット、JavaScriptモジュール、準備が整った攻撃キャンペーンセットも販売されているため、初心者でも簡単に攻撃を仕掛けることができるようになっています。

Cybersecurity Venturesは、2025年までに世界のサイバー犯罪の被害総額は年間10.5兆ドル (世界の主要な違法薬物取引による収益を超える金額) に上り、世界中のデータの半分がクラウド上に保管されることになると推定しています。どれだけの規模の危機が迫っているかを考えると、今日の世界において効果的なWebセキュリティが重要である理由は考えるまでもありません。

 

Webセキュリティのメリット

現代の企業にとって、効果的なWebセキュリティには技術面だけでなく使う人間にとっても幅広いメリットが存在します。

  • 機密データの漏洩を防ぐことで、ビジネスを保護しコンプライアンスを維持する
  • 個人情報を安全に管理することで、お客様と従業員を保護する
  • 感染やエクスプロイトを防ぐことで、被害額がかさむサービスの中断を回避する
  • ユーザの安全と生産性の維持をサポートすることで、より優れたユーザエクスペリエンスを提供する
  • 安全を確保し、ニュースの見出しを飾るような事態に巻き込まれないことで、お客様からの信頼を維持する
     

クラウドとモビリティの技術が大きく進歩したことで、組織は、従業員やお客様とこれまで以上に簡単かつ柔軟につながることができます。一方で、この状況は、組織の広範な攻撃対象領域に近づく手段をサイバー攻撃者に提供することにもなります。適切なWeb保護機能を導入することで、そのメリットを十分に活用しながらセキュリティ脅威に対する心配を減らすことができます。

 

Webセキュリティが保護する攻撃の種類

Webセキュリティは、悪意のあるメール、暗号化された脅威、悪意のある/侵害されたWebサイトやデータベース、悪意のあるリダイレクト、ハイジャックなどからユーザやエンドポイントを保護するために、幅広い機能を提供します。最も一般的な脅威について詳しく見ていきましょう。

  • ランサムウェア: データを暗号化し、復号化キーと引き換えに身代金の支払いを要求します。二重脅迫型攻撃では、データも流出させられます。
  • 一般的なマルウェア: データ漏洩、スパイ行為、不正アクセスからロックアウト、エラー、システムクラッシュまで、あらゆる被害につながる可能性のあるマルウェアの亜種が無数に存在します。
  • フィッシング: 多くの場合、メールやテキストメッセージ、悪意のあるWebサイトを介して実行されるこれらの攻撃は、ユーザを欺いてログイン資格情報の漏洩やスパイウェアのダウンロードなどに導こうとします。
  • SQLインジェクション: データベースサーバの入力に関する脆弱性を悪用し、データの取得、操作、削除などのコマンドを攻撃者が実行できるようにします。
  • サービスの拒否 (DoS): サーバなどのネットワークデバイスに処理能力を超えるデータを送信し、速度を低下させたり、停止させたりする攻撃です。分散型DoS (DDoS攻撃) では、乗っ取られた多数のデバイスによって一度に上記のようなDoS攻撃が実行されます。
  • クロスサイトスクリプティング (XSS): この種類のインジェクション攻撃では、攻撃者は保護されていないユーザ入力フィールドを通して、信頼できるWebサイトに悪意のあるコードを送り込みます。

理想的なWebセキュリティソリューションは、複数の技術を活用して、マルウェアやランサムウェアの阻止、フィッシングドメインのブロック、資格情報の使用への制限などを行い、総合的な防御を構築します。

これがどのように機能するかについて解説します。

Webセキュリティの仕組み

Webセキュリティは、使用環境のエンドポイントとインターネットの間で機能し、そこで両方向のトラフィックとリクエストを検査します。すべてのトラフィックを監視または検査する単一の技術はありませんが、機器の「スタック」またはより効果的なクラウド型サービスのプラットフォームにより、ポリシー違反、マルウェア感染、情報漏洩、資格情報の窃取などを防ぐ総合的な技術を提供します。

現在、多くのソリューションが提供されていますが、その中にはより包括的なものもあります。フルスタックのWebセキュリティには次の技術が含まれます。

  • セキュアWebゲートウェイ (SWG): Webサイトにアクセスするユーザに脅威保護とポリシー適用を提供し、感染を防止しながら不要なトラフィックをブロックします。
  • ファイアウォール/IPS: ネットワークセキュリティ、アプリ制御、可視性を提供します。クラウドファイアウォールは最新の状態を維持しながら、需要や暗号化を処理するように拡張できるため、より実用的な選択肢となります。
  • URLフィルタリング: 不適切なアクセスやコンテンツをスクリーニングおよびブロックし、Web経由のマルウェアからの保護も提供します。
  • サンドボックス: システムや他のアプリケーションに感染させることなく、スキャンや実行が可能な環境にソフトウェアを隔離します。
  • ブラウザ分離: Webページまたはアプリをリモートブラウザに読み込み、ユーザにはピクセルのみを送信して、データまたはドキュメントのダウンロード、コピー、貼り付け、印刷を防止します。
  • DNS制御: DNSトラフィックに関連するリクエストと応答を制御するルールを定義し、トンネリングなどのDNSの悪用を検出して防止します。
  • アンチウイルス: トロイの木馬、スパイウェア、ランサムウェアなどを検出して無効化します。また、悪意のあるURLやフィッシング、DDoSなどの脅威からも保護するサービスも多くあります。
  • TLS/SSL復号化: オープンなインバウンドおよびアウトバウンドの暗号化トラフィックを中断してその内容を検査し、その後再暗号化して宛先までの接続を継続します。

 

Zscaler Web Securityの仕組み

 

クラウド型Webセキュリティが推奨される理由

オンプレミスのハードウェアとして、Webセキュリティ技術はデータセンタ内にあるSWG機器に格納されます。ハードウェアスタックは、ファイアウォール、URLおよびDNSフィルタ、サンドボックス機器など、あらゆる機能をカバーするものが考えられます。

ハードウェアベースのアプローチで生じるギャップは避けられない問題となります。機器にはゼロデイ攻撃から安全を保つために継続的なパッチ適用が必要であり、これが後手に回った場合には悪用される脆弱性が生じます。また、機器には性能上の限界があります。特に、今日のほぼすべてのトラフィックを占めるTLS/SSL暗号化トラフィックに関しては、隠れた脅威を確実に根絶することはできません。

さらに、デバイス間 (同じベンダのデバイス同士であっても) で通信をしないケースが非常に多く、情報セキュリティに精通した専門家であってもそうしたデバイス間にあるデータの相関付けは非常に困難です。

一方、クラウドサービスとして提供されるセキュアWebゲートウェイは、リアルタイムの脅威保護とポリシーの適用を提供し、ユーザが企業ネットワークの外にいる場合でも、感染したWebサイトへのアクセスを防止します。そして、感染した、または不要なトラフィックが内部ネットワークに侵入するのをブロックします。

 

Zscalerが提供するWebセキュリティ

ZscalerのセキュアWebゲートウェイは100%クラウドで提供されるため、ユーザが接続する場所、使用するエンドポイントデバイス、アプリケーションがホストされている場所にかかわらず、一貫したセキュリティポリシーを適用します。また、大規模なスケーラビリティを実現できるようグローバルなマルチテナントクラウドアーキテクチャ上に構築されているため、パフォーマンスを低下させることなく暗号化されたすべてのトラフィックを検査することができます。さらに、統合クラウドネイティブプラットフォームとして、ハードウェアアプローチと比較して運用の複雑さとコストを大幅に削減できます。
 

Zscaler Web Security

Zscaler Internet Access™には、クラウドファイアウォール/IPSサンドボックスURLフィルタリングクラウドブラウザ分離情報漏洩防止 (DLP)、クラウドアクセスセキュリティブローカ (CASB)クラウドセキュリティポスチャ管理 (CSPM) が含まれており、ネットワーク内外のすべてのユーザに対して、優れたインターネットセキュリティを提供します。

Zscalerは、Gartner セキュリティ・サービス・エッジ (SSE) のMagic Quadrantで、10年連続でリーダーの1社と評価されています。2021年、GartnerはSWGを含む新しいカテゴリであるセキュリティ・サービス・エッジを定義し、Zscalerは、2022年 Gartner セキュリティ・サービス・エッジ (SSE) のMagic Quadrantで、リーダーの1社と評価され、実行能力において最も高いポジションに位置付けられました。

Zscaler Web Securityの詳細については、こちらを参照してください。

 

参考資料

ブログ: 2021年版セキュリティに関するクラウドの現状

eBook: インターネットとWebセキュリティの提供方法のトランスフォーメーション

データシート: Zscaler Internet Access

Webページ: ランサムウェア防止

ウェビナー: ビジネスを中断することなくランサムウェアを阻止するためのベストプラクティス