セキュアWebゲートウェイ（SWG）とは？

セキュアWebゲートウェイ（SWG）とは？

セキュアWebゲートウェイ（SWG）は、企業のデータを保護し、セキュリティポリシーに基づいた制御を行うサイバーセキュリティ製品です。SWGは、企業の従業員とインターネットの間で機能します。水から危険な不純物を取り除いて安全に飲めるようにする浄水器のように、SWGはWebトラフィックから安全でないコンテンツをフィルタリングして、サイバー脅威やデータ漏えいを阻止します。また、リスクの高い行為や許可されていないユーザーの行動をブロックします。

すべてのSWG製品には、次のような技術が組み込まれています。

• URLフィルタリング
• マルウェアの検出とブロック
• アプリケーション制御

SWGには、データ損失防止（DLP）、コンテンツフィルタリング、ほかのインターネットトラフィックフィルターも含まれる場合があります。

セキュアWebゲートウェイを使う理由は？

従来、業務プロセスは主に社内ネットワーク内で行われていました。しかし、リモートワークフォースやクラウドコンピューティングへの依存度が高まるにつれ、組織は内部のプライベートネットワークに加えて（あるいはその代わりに）インターネットを利用しなければならなくなっています。また、フィッシング攻撃を行うWebページからマルウェアに感染したWebページまで、インターネット上に存在する様々な脅威とその数も、SWGを多くの組織に不可欠なものにしています。

セキュアWebゲートウェイの仕組み

一部のSWGは、プロキシサーバー上で動作しています。プロキシサーバーとは、インターネット上の別のデバイスの代理を務めるものです。これはクライアントデバイス（ユーザーのノートパソコンなど）または他のサーバーに代わってリクエストを送信したりレスポンスの受信を行います。セキュアウェブゲートウェイの場合、このプロキシサーバーは、実際の物理的なサーバーでも、クラウド上の仮想マシンのどちらでも対応可能です。

また、ソフトウェアのみのSWGもあります。ソフトウェアベースのゲートウェイは、SaaSアプリケーションとして企業の敷地内でも、クラウド上でも動作します。さらに、SWGの中には、オンプレミス型のアプライアンスとして企業のITインフラストラクチャに接続する物理的なハードウェアデバイスで導入されるものもあります。

どこで、どのようにデプロイされているにもかかわらず、すべてのSWGは、ほぼ同じように機能します。クライアントデバイスがリクエストをインターネット上のWebサイトまたはアプリケーションに送信すると、リクエストは、まずSWGを通過します。ゲートウェイはリクエストの検査を行って、所定のセキュリティポリシーに違反しない場合にのみ通過を許可します。ちょうど、セキュリティチェックで、セキュリティガードが持ち物を検査してから入場を許可するのと同じです。逆の場合にも同様のプロセスが行われます。SWGは、受信データの検査を行ってからユーザーに引き渡します。

SWGは場所を問わず使用できるため、特に遠隔地にいる従業員の管理に役立ちます。セキュアWebゲートウェイを介してインターネットにアクセスすることをリモートワーカーに義務付けることで、分散した従業員に依存している企業は、従業員のデバイスやネットワークを直接管理できない場合でも、データ漏えいをより効果的に防ぐことができます。

セキュアWebゲートウェイはどのようにセキュリティポリシーを適用するのか？

セキュリティポリシーとは、企業内のすべてのデータおよびネットワークトラフィックが従わなければならないルールのことです。たとえば、ある企業がすべてのネットワークトラフィックを暗号化しなければならないポリシーを確立したとします。このポリシーを適用するには、HTTPSを用いないWebサイトをブロックする必要があります。セキュアWebゲートウェイは、すべての非HTTPSネットワークトラフィックを選別できるので、このポリシーを適用する1つの方法になります。

SWGでは、セキュリティポリシーを適用するために、検査対象のWebトラフィックに多くのアクションを実行してから転送します：

URLフィルタリング

URLとは、Webページの読み込み時にブラウザーの上部に表示される文字列のことです（例：https://www.cloudflare.com/learning/）。URLフィルタリングとは、ユーザーが読み込めるWebサイトを制御する方法のことです。

通常、URLフィルタリングには、許可されない既知の不良Webサイトの一覧であるブロックリストの使用が必要になります。ユーザーがブロックリストに掲載されているWebサイトをロードしようとすると、SWGは、リクエストをブロックして、Webサイトはユーザーのデバイスにロードされません。

マルウェアのスキャン

SWGは、マルウェアがないかネットワークトラフィックをスキャンします。つまり、通過するデータの中身を調べて、既知のマルウェアのコードと一致するかどうかを確認します。一部のゲートウェイは、サンドボックスを用いて、マルウェアについてテストします。制御された環境下で、潜在的に悪意のあるコードを実行して、どのように動作するかを調べます。ゲートウェイは、マルウェアを検出するとブロックします。

インターネット上の多くのネットワークトラフィックは、HTTPSを使用して暗号化*されています。多くのSWGはHTTPSトラフィックを解読してトラフィックにマルウェアが含まれていないかを検査することができます。検査後、ゲートウェイはトラフィックを再び暗号化し、ユーザーまたはWebサーバーに転送します。このプロセスはHTTPSインスペクションと呼ばれます。

*暗号化とは、ランダムなデータに見えるようにデータを変換するプロセスのことです。暗号化されたデータは、復号化されるまで読むことはできません。復号化とは、暗号化プロセスの逆方向のプロセスのことです。

アプリケーション制御

SWGは、どのアプリケーションを従業員が使用しているかを検出できます。その情報に基づいて、どのリソースが特定のアプリケーションにアクセスできるか、またはアプリケーションをブロックするかを制御できます。一部のSWGは、アプリケーションの使用をより厳格に制御することができます。たとえば、ユーザーのIDや場所に基づいてアプリケーションの使用を制御できます

その他のSWGの機能は以下の通りです。

• コンテンツフィルタリング：この機能は、特定の種類のコンテンツを検出してブロックします。たとえば、コンテンツフィルタリングは、露骨な内容を含む動画や写真が企業ネットワークに入るのを阻止できます。通常、企業のIT管理者は、セキュアWebゲートウェイのコンテンツフィルタリングポリシーをカスタマイズすることができます。
• データ損失防止（DLP）：この機能は、すべてのWebセキュリティゲートウェイによって提供されているわけではありませんが、データ侵害を防止するには非常に効果的です。DLPは、逆方向のコンテンツフィルタリングのようなものです。コンテンツがネットワークに入るのを阻止するのではなく、ネットワークから出るのを防ぎます。DLPは、会社の管理下にある環境から流出している機密データを検出して、漏えいを防ぐためにデータを編集、またはブロックします。たとえば、機密性の高いクレジットカード番号がネットワークから流出するのを阻止するために、従業員のメール内に含まれるすべての16桁の番号を検出して伏字化するようにDLPを設定することができます。

セキュアWebゲートウェイはどのようにSASEモデルに適合するか？

SASE（セキュアアクセスサービスエッジ）は、ネットワーク機能と様々なセキュリティ機能（SWGなど）を束ねて、単一のグローバルネットワークから提供するものです。

多くのセキュリティ製品と同様に、SWGは単一のソリューション製品であり、多くの場合他のネットワークやネットワークセキュリティ機能とは別に管理されます。しかし、SASEのフレームワークを導入することで、企業はネットワークとネットワークセキュリティを一つのクラウドベースのベンダーから導入し、維持することができます。

Cloudflare GatewayはどのようにWebトラフィックを安全に保つのか？

Cloudflare Gatewayは、インターネット上で作業する社内のチームに対して包括的なセキュリティ対策を講じて、従業員と企業データの両方を保護します。Cloudflare Gatewayは、DNSフィルタリングを使用して、悪意のあるコンテンツをブロックし、管理者にネットワークトラフィックの可視性を提供して、ブラウザの分離を用いてユーザーを悪意のあるオンラインコードから保護します。

Cloudflare Gatewayの機能を理解する。