全2393文字
PR

 ゼロトラストネットワークを構築するのに必要となる技術を解説する本特集「ゼロトラストを支える技術」。第1回は、いつでもどこでもユーザーを守る“門番”として機能する「セキュアWebゲートウエイ(SWG)」を取り上げる。ゼロトラストにおけるユーザー防御の要となる仕組みだ。

 セキュアWebゲートウエイ(SWG)とは、エンドユーザーによるインターネット通信をチェックするゲートウエイ(門番)である。インターネット上に存在するプロキシーとして機能し、ユーザーが社内ネットワーク(オンプレミス)にいる場合も、自宅など社外ネットワークでリモートワークしている場合であっても、インターネット上の脅威からユーザーを保護する役割を担う。

セキュアWebゲートウエイの仕組み
セキュアWebゲートウエイの仕組み
[画像のクリックで拡大表示]

 例えばユーザーが不審なIPアドレスやURLへアクセスしようとした場合は、SWGがそれをブロックする。不審なIPアドレスやURLはSWGのベンダーが自社でリスト化していたり、外部のリストを利用したりしている。SWGがDNSサーバーとなってアクセス先のIPアドレスをチェックする製品もあれば、SWGが提供するプロキシーがユーザーのSSL通信を復号して、URLのすべての文字列をチェックする製品もある。

表 セキュアWebゲートウエイの主な機能
機能名概要
プロキシー/DNSサーバープロキシーサーバーやDNSサーバーの機能をインターネット上で提供する
SSL復号SSLの暗号通信を復号して、通信パケットを詳細に分析する
URL/IPアドレスフィルタリング不審なURLやIPアドレスへのアクセスをブロックする
サンドボックス実行ファイルやオフィスファイルをサンドボックスで開いて、不審な振る舞いがないかチェックする
マルウエア検出定義ファイルを使ってマルウエアを検出する
Web無害化WebサイトのHTMLファイルをサーバー上のブラウザーエンジンで描画し、JavaScriptなどを無効化したバージョンのHTMLファイルを再生成してクライアントに送信する
クライアントエージェントユーザーの端末にインストールし、SWG関連の設定を変更不可能にしたり、通信をすべてSWGに送ったりする
情報漏洩防止(DLP)ユーザーによる業務ファイルのアップロードなどを禁止する
CASBユーザーによるSaaSなどの利用情報を分析して、許可されていない行動をしていないかチェックする
SIEM連携ユーザーのログをSIEMに転送する

 正常なWebサイトを利用している場合であっても、通信データはすべてのパケットを“深く”検査する「ディープ・パケット・インスペクション」によってチェックする。データの中にマルウエアが含まれていないかシグネチャーによって検査したり、データの中に含まれるファイルを「サンドボックス」で実行して不審な振る舞いをしないかチェックしたりする方式が採用されている。

 さらにはエンドユーザーによるSaaS(ソフトウエア・アズ・ア・サービス)などの利用状況を分析したり利用を制御したりする 「クラウド・アクセス・セキュリティー・ブローカー(CASB)」としての機能や、エンドユーザーが社外のWebサイトに重要情報やファイルをアップロードしようとした際にそれをブロックする「情報漏洩防止(DLP)」としての機能を備えるSWG製品もある。

リモートワーク拡大がSWG需要を後押し

 従来のセキュリティー対策である「境界型セキュリティー」においては、社内ネットワークとインターネットとの境界に設けた「プロキシー」や「ファイアウオール(FW)」、「侵入防止システム(IPS)」などのセキュリティー機器がエンドユーザーを守っていた。しかしユーザーが社外ネットワークにいる場合は、通信はオンプレミスにあるセキュリティー機器を通過しないので野放しになってしまう。

 ユーザーに対して常にVPN(仮想私設網)を利用させるという手段もあるが、昨今のリモートワーク拡大の中での運用は、深刻なVPN渋滞を招きかねない。ユーザーが社外でインターネットを利用する際にも、社内にいるときのように通信を守りたい。そういうニーズに応えるためにSWGは登場した。社外ネットワークにいるときにも、ユーザーがSWGを経由してインターネットを利用するよう強制するために、ユーザーのパソコン(端末)にエージェントを導入させるタイプのSWGが一般的である。

 ゼロトラストにおけるSWGの役割はどのようなものだろうか。従来の境界型セキュリティーとは対照的に、社内ネットワークであっても「信頼しない」方針とするゼロトラストにおいては、ユーザーの通信や行動はいつでもどこでもその都度チェックし、アプリケーションやデータに対するアクセスを検証するのが望ましい。ゼロトラストにおいてSWGは、ユーザーによるインターネット利用のチェックに使えるほか、境界型セキュリティーの代表的な施策であるファイアウオールに代わるユーザー防御の仕組みとして機能する。