セキュアWebゲートウェイ(SWG)は、危険なコンテンツをブロックま たはフィルタ―処理して、データの漏えいを防止するものです。全従業員のインターネットトラフィックはSWGを通過することになります。
この記事を読み終えると、以下のことができるようになります。
記事のリンクをコピーする
セキュアWebゲートウェイ(SWG)は、企業のデータを保護し、セキュリティポリシーに基づいた制御を行うサイバーセキュリティ製品です。SWGは、企業の従業員とインターネットの間で機能します。水から危険な不純物を取り除いて安全に飲めるようにする浄水器のように、SWGはWebトラフィックから安全でないコンテンツをフィルタリングして、サイバー脅威やデータ漏えいを阻止します。また、リスクの高い行為や許可されていないユーザーの行動をブロックします。
すべてのSWG製品には、次のような技術が組み込まれています。
SWGには、データ損失防止(DLP)、コンテンツフィルタリング、ほかのインターネットトラフィックフィルターも含まれる場合があります。
従来、業務プロセスは主に社内ネットワーク内で行われていました。しかし、リモートワークフォースやクラウドコンピューティングへの依存度が高まるにつれ、組織は内部のプライベートネットワークに加えて(あるいはその代わりに)インターネットを利用しなければならなくなっています。また、フィッシング攻撃を行うWebページからマルウェアに感染したWebページまで、インターネット上に存在する様々な脅威とその数も、SWGを多くの組織に不可欠なものにしています。
一部のSWGは、プロキシサーバー上で動作しています。プロキシサーバーとは、インターネット上の別のデバイスの代理を務めるものです。これはクライアントデバイス(ユーザーのノートパソコンなど)または他のサーバーに代わってリクエストを送信したりレスポンスの受信を行います。セキュアウェブゲートウェイの場合、このプロキシサーバーは、実際の物理的なサーバーでも、クラウド上の仮想マシンのどちらでも対応可能です。
また、ソフトウェアのみのSWGもあります。ソフトウェアベースのゲートウェイは、SaaSアプリケーションとして企業の敷地内でも、クラウド上でも動作します。さらに、SWGの中には、オンプレミス型のアプライアンスとして企業のITインフラストラクチャに接続する物理的なハードウェアデバイスで導入されるものもあります。
どこで、どのようにデプロイされているにもかかわらず、すべてのSWGは、ほぼ同じように機能します。クライアントデバイスがリクエストをインターネット上のWebサイトまたはアプリケーションに送信すると、リクエストは、まずSWGを通過します。ゲートウェイはリクエストの検査を行って、所定のセキュリティポリシーに違反しない場合にのみ通過を許可します。ちょうど、セキュリティチェックで、セキュリティガードが持ち物を検査してから入場を許可するのと同じです。逆の場合にも同様のプロセスが行われます。SWGは、受信データの検査を行ってからユーザーに引き渡します。
SWGは場所を問わず使用できるため、特に遠隔地にいる従業員の管理に役立ちます。セキュアWebゲートウェイを介してインターネットにアクセスすることをリモートワーカーに義務付けることで、分散した従業員に依存している企業は、従業員のデバイスやネットワークを直接管理できない場合でも、データ漏えいをより効果的に防ぐことができます。
セキュリティポリシーとは、企業内のすべてのデータおよびネットワークトラフィックが従わなければならないルールのことです。たとえば、ある企業がすべてのネットワークトラフィックを暗号化しなければならないポリシーを確立したとします。このポリシーを適用するには、HTTPSを用いないWebサイトをブロックする必要があります。セキュアWebゲートウェイは、すべての非HTTPSネットワークトラフィックを選別できるので、このポリシーを適用する1つの方法になります。
SWGでは、セキュリティポリシーを適用するために、検査対象のWebトラフィックに多くのアクションを実行してから転送します:
URLとは、Webページの読み込み時にブラウザーの上部に表示される文字列のことです(例:https://www.cloudflare.com/learning/)。URLフィルタリングとは、ユーザーが読み込めるWebサイトを制御する方法のことです。
通常、URLフィルタリングには、許可されない既知の不良Webサイトの一覧であるブロックリストの使用が必要になります。ユーザーがブロックリストに掲載されているWebサイトをロードしようとすると、SWGは、リクエストをブロックして、Webサイトはユーザーのデバイスにロードされません。
SWGは、マルウェアがないかネットワークトラフィックをスキャンします。つまり、通過するデータの中身を調べて、既知のマルウェアのコードと一致するかどうかを確認します。一部のゲートウェイは、サンドボックスを用いて、マルウェアについてテストします。制御された環境下で、潜在的に悪意のあるコードを実行して、どのように動作するかを調べます。ゲートウェイは、マルウェアを検出するとブロックします。
インターネット上の多くのネットワークトラフィックは、HTTPSを使用して暗号化*されています。多くのSWGはHTTPSトラフィックを解読してトラフィックにマルウェアが含まれていないかを検査することができます。検査後、ゲートウェイはトラフィックを再び暗号化し、ユーザーまたはWebサーバーに転送します。このプロセスはHTTPSインスペクションと呼ばれます。
*暗号化とは、ランダムなデータに見えるようにデータを変換するプロセスのことです。暗号化されたデータは、復号化されるまで読むことはできません。復号化とは、暗号化プロセスの逆方向のプロセスのことです。
SWGは、どのアプリケーションを従業員が使用しているかを検出できます。その情報に基づいて、どのリソースが特定のアプリケーションにアクセスできるか、またはアプリケーションをブロックするかを制御できます。一部のSWGは、アプリケーションの使用をより厳格に制御することができます。たとえば、ユーザーのIDや場所に基づいてアプリケーションの使用を制御できます
その他のSWGの機能は以下の通りです。
SASE(セキュアアクセスサービスエッジ)は、ネットワーク機能と様々なセキュリティ機能(SWGなど)を束ねて、単一のグローバルネットワークから提供するものです。
多くのセキュリティ製品と同様に、SWGは単一のソリューション製品であり、多くの場合他のネットワークやネットワークセキュリティ機能とは別に管理されます。しかし、SASEのフレームワークを導入することで、企業はネットワークとネットワークセキュリティを一つのクラウドベースのベンダーから導入し、維持することができます。
Cloudflare Gatewayは、インターネット上で作業する社内のチームに対して包括的なセキュリティ対策を講じて、従業員と企業データの両方を保護します。Cloudflare Gatewayは、DNSフィルタリングを使用して、悪意のあるコンテンツをブロックし、管理者にネットワークトラフィックの可視性を提供して、ブラウザの分離を用いてユーザーを悪意のあるオンラインコードから保護します。
Cloudflare Gatewayの機能を理解する。