ソリューション
優れたオンライン体験を提供
DDoS攻撃を軽減 悪意のあるボット乱用の阻止 インターネットアプリケーションを高速化 アプリケーションの可用性を確保 Web体験を最適化する オンデマンドでビデオをストリーミング
従業員のアプリケーションとデバイスを保護する
アプリケーションへのゼロトラストアクセスを提供する セキュアアクセスサービスエッジ(SASE)を実装する インターネットにアクセスするユーザーの保護 コーポレートネットワークを保護する 請負業者のアクセスを安全に管理 仮想プライベートネットワーク(VPN)を替える リモートワーク中の社員を守る ブラウザ分離でゼロデイ攻撃を阻止する
 
ネットワークの保護と高速化
L3 DDoS攻撃の軽減 Cloudflareでネットワークインフラストラクチャを接続 企業ネットワークを変革する
ネットワークエッジでコードを実行
サーバーレスアプリケーションの構築 静的Webサイトのデプロイ CDNの設定 条件付リクエストルーティングを定義する
安全なクラウドの管理
安全でハイブリッドなクラウドとSaaSプラットフォーム SSL for SaaSアプリケーションを有効にする クラウドデータ転送コストの削減
Webサイトを登録する
Webサイトの登録または転送
業界
eコマース 金融サービス ゲーミング Healthcare and Life Sciences メディア、エンターテイメント 公共部門 SaaS
公共の利益
選挙キャンペーン アテネプロジェクト ガリレオプロジェクト Project Fair Shot
インフラストラクチャについて
アプリケーションとネットワークセキュリティ
DDoS保護 WAF ボット管理 Magic Transit Rate Limiting SSL/TLS Cloudflare Spectrum ネットワーク相互接続
パフォーマンスと信頼性
CDN DNS Argo Smart Routing 負荷分散 Stream配信 China Network Waiting Room
Cloudflare for Teams
Cloudflare for Teams Access ゲートウェイ ブラウザ分離
開発者向け
サーバーレスアプリケーション
Cloudflare Workers Cloudflare Workers KV
ドメイン登録
Cloudflare Registrar
Webサイトの開発
Cloudflare Pages Cloudflare Stream
すべての人のために
1.1.1.1 1.1.1.1 with WARP (アプリ) 1.1.1.1 for Families
インサイト
Analytics Cloudflare Logs Web Analytics Cloudflare Radar
プライバシー
データローカライゼーション コンプライアンス
インフラストラクチャについて
高度なセキュリティ
ボット管理 ファイアウォールルール Magic Transit Spectrum(TCP/UDP) SSL WAF
パフォーマンスと信頼性
CDN DNS Image Resizing 負荷分散 ストリーミング(ビデオ)
 
インサイト
Analytics
ドメイン登録
Registrar
サーバーレスアプリケーションについて
Workersクイックスタート Cloudflare Pages サンプルWorkersプロジェクト Workersチュートリアル コマンドライン (Wrangler) ランタイム
Cloudflare for Teams
Cloudflare for Teams
CloudflareのAPIについて調べる
Cloudflare API API認証
ドキュメントハブ
デベロッパー向けドキュメントハブ
リソース
リソースハブ ホワイトペーパー ウェビナー ソリューションと製品ガイド 導入事例 アナリスト
探求
最新情報 ネットワークマップ 中国のCloudflare GDPR
開始する
Webサイトを登録する ウェルカムセンター 申し込む
学ぶ
ラーニングセンター セキュリティ DDoS ボット管理 SSL IDとアクセス管理 パフォーマンス CDN DNS クラウド サーバーレス ネットワーク層
接続
ブログ コミュニティ
コンプライアンス
GDPR 透明性レポート コンプライアンス
お問い合わせ
+1 650 319 8930
チャネルおよびアライアンスパートナー
パートナーネットワーク パートナーポータル
テクノロジーパートナー
概要 分析パートナー 帯域幅アライアンス 相互接続パートナーシップ ピアリングポータル
プラン別の価格設定
Free Pro Business Enterprise
比較と検討
プラン選びで、何かお困りですか? アドオン すべてのプランを比較する

セキュアWebゲートウェイとは?

セキュアWebゲートウェイは、危険なコンテンツをブロックまたはフィルタ―処理してデータ漏えいを防ぎます。企業がセキュアWebゲートウェイを使用すれば、全従業員のインターネットトラフィックはそれを通過することになります。

Share facebook icon linkedin icon twitter icon email icon
IAMとは?
アクセス制御
ゼロトラストセキュリティ
SASEとは?
セキュアWebゲートウェイ
リモートアクセス
用語集
  • IAMとは?
  • アクセス制御
  • ゼロトラストセキュリティ
  • SASEとは?
  • セキュアWebゲートウェイ

    セキュアWebゲートウェイとは?

    セキュアWebゲートウェイ(セキュアインターネットゲートウェイ)とは、企業のデータを保護し、社内のセキュリティポリシーを適用するサイバーセキュリティプロダクトのことです。セキュアWebゲートウェイは、企業の従業員とインターネットの間で動作します。飲んでも安全な水にするために危険な不純物を取り除く浄水器のように、セキュアWebゲートウェイはサイバー脅威やデータ侵害を抑止するためにWebトラフィックから安全でないコンテンツを取り除きます。リスクの高い行動や許可されていないユーザーの行動もブロックします。

    すべてのセキュアWebゲートウェイプロダクトには、次のような技術が組み込まれています:

    セキュアWebゲートウェアには、データ損失防止(DLP)、コンテンツフィルタリング、ほかのインターネットトラフィックフィルターも含まれる場合があります。

    セキュアWebゲートウェイの仕組み

    一部のセキュアWebゲートウェイは、プロキシサーバー上で実行します。ちょうどライブオークションに自分の代理人として法定代理人を派遣するように、プロキシサーバーはインターネット上の別のデバイスを代表します。プロキシサーバーとは、クライアントデバイス(ユーザーのノートパソコンなど)または別のサーバーに代わって、リクエストを送信したりレスポンスを受信したりするサーバーのことです。セキュアWebゲートウェイの場合、このプロキシサーバーは実際の物理サーバーまたはクラウド内の仮想マシンになります。

    ほかのセキュアWebゲートウェイはソフトウェア専用です。ソフトウェアベースのゲートウェイは、SaaSアプリケーションとして、会社のプレミス環境またはクラウド環境で実行することができます。また、一部のセキュアWebゲートウェイは、会社のITインフラストラクチャに接続する物理的なハードウェアデバイスであるオンプレミス型「アプライアンス」としてデプロイされます。

    どこで、どのようにデプロイされているにもかかわらず、すべてのセキュアWebゲートウェイは、ほぼ同じように機能します。クライアントデバイスがリクエストをインターネット上のWebサイトまたはアプリケーションに送信すると、リクエストは、まずセキュアWebゲートウェイを通過します。ゲートウェイはリクエストの検査を行って、所定のセキュリティポリシーに違反しない場合にのみ通過を許可します。ちょうど、セキュリティチェックで、セキュリティガードが持ち物を検査してから入場を許可するのと同じです。逆の場合にも同様のプロセスが行われます。セキュアWebゲートウェイは、受信データの検査を行ってからユーザーに引き渡します。

    セキュリティポリシーとは?

    セキュリティポリシーとは、会社内のすべてのデータおよびネットワークトラフィックが従わなければならないルールのことです。たとえば、ある会社がすべてのネットワークトラフィックを暗号化しなければならないポリシーを確立したとします。このポリシーを適用するには、HTTPSを用いないWebサイトをブロックする必要があります。セキュアWebゲートウェイは、すべての非HTTPSネットワークトラフィックを選別できるので、このポリシーを適用する1つの方法になります。

    セキュアWebゲートウェイはどのようにセキュリティポリシーを適用するのか?

    セキュアWebゲートウェイは、セキュリティポリシーを適用するために、検査対象のWebトラフィックに多くのアクションを実行してから転送します:

    URLフィルタリング

    URLとは、Webページの読み込み時にブラウザーの上部に表示される文字列のことです(例:https://www.cloudflare.com/learning/)。したがって、URLフィルタリングとは、ユーザーが読み込めるWebサイトを制御する方法のことです。

    通常、URLフィルタリングには、許可されない既知の不良Webサイトの一覧であるブラックリストの使用が必要になります。ユーザーがブラックリストに掲載されているWebサイトをロードしようとすると、セキュアWebゲートウェイは、リクエストをブロックして、Webサイトはユーザーのデバイスにロードされません。

    マルウェアのスキャン

    セキュアWebゲートウェイは、マルウェアがないかネットワークトラフィックをスキャンします。つまり、通過するデータの中身を調べて、既知のマルウェアのコードと一致するかどうかを確認します。一部のゲートウェイは、サンドボックスを用いて、マルウェアについてテストします。制御された環境下で、潜在的に悪意のあるコードを実行して、どのように動作するかを調べます。ゲートウェイは、マルウェアを検出するとブロックします。

    インターネット上の多くのネットワークトラフィックは、HTTPS暗号化*されています。多くのセキュアWebゲートウェイは、マルウェアがないかトラフィックをスキャンするためにHTTPSトラフィックを復号化できます。検査後に、ゲートウェイはトラフィックを再度暗号化してユーザーまたはWebサーバーに転送します。(HTTPS暗号化の仕組みについては、こちらをご覧ください。)

    *暗号化とは、ランダムなデータに見えるようにデータを変換するプロセスのことです。暗号化されたデータは、復号化されるまで読むことはできません。復号化とは、暗号化プロセスの逆方向のプロセスのことです。

    アプリケーション制御

    セキュアWebゲートウェイは、どのアプリケーションを従業員が使用しているかを検知できます。その情報に基づいて、どのリソースが特定のアプリケーションにアクセスできるか、またはアプリケーションをブロックするかを制御できます。一部のセキュアWebゲートウェイは、アプリケーションの使用をより厳格に制御することができます。たとえば、ユーザーのアイデンティティや場所に基づいてアプリケーションの使用を制御できます

    セキュアWebゲートウェイのほかの機能には次のようなものがあります:

    • コンテンツフィルタリング:この機能は、特定の種類のコンテンツを検出してブロックします。たとえば、コンテンツフィルタリングは、露骨な内容を含む動画や写真が企業ネットワークに入るのを阻止できます。通常、企業のIT管理者は、セキュアWebゲートウェイのコンテンツフィルタリングポリシーをカスタマイズすることができます。
    • データ損失防止(DLP):この機能は、すべてのWebセキュリティゲートウェイによって提供されているわけではありませんが、データ侵害を防止するには非常に効果的です。DLPは、逆方向のコンテンツフィルタリングのようなものです。コンテンツがネットワークに入るのを阻止するのではなく、ネットワークから出るのを防ぎます。DLPは、会社の管理下にある環境から流出している機密データを検出して、漏えいを防ぐためにデータを編集する、ブロックする、またはトークン化*します。たとえば、機密性の高いクレジットカード番号がネットワークから流出するのを阻止するために、従業員のメール内に含まれるすべての16桁の番号を検出して伏字化するようにDLPを設定することができます。

    *トークン化とは、クレジットカード番号のような機密情報を、機密情報をマッピングするプレースホルダー値に置き換えることを意味します。

    これらすべてが実際にどのように行われるかを例を用いて説明します:

    セキュアWebゲートウェイを使用する会社で働いているアリスが、ウサギの写真を見たいとします。アリスはウサギの写真へのハイパーリンクをクリックします。すると、デバイスは写真に対するHTTPリクエストを生成します。このHTTPリクエストは、セキュアWebゲートウェイのプロキシサーバーに送付されます。プロキシサーバーは、禁止されているURLに転送されないことを確認するためにリクエストの検査を行ってから、ウサギの写真が掲載されている適切なWebサーバーにリクエストを転送します。Webサーバーから要求した写真を受信したセキュアWebゲートウェイは、写真をスキャンしてからアリスに転送します。このプロセス全体にかかる時間は、ほんの数ミリ秒です。

    しかし、アリスがウサギの写真へのリンクだと思い、安全でないWebサイトへのリンクをクリックしてしまったら、セキュアWebゲートウェイはHTTPリクエスト内の安全でないURLを特定してブロックしていたでしょう。また、アリスの会社がウサギ対策ポリシーを適用することを決定したら、セキュアWebゲートウェイはコンテンツフィルタリングを用いて写真をブロックできます。

    CloudflareはどのようにWebトラフィックを保護するのか?

    Cloudflare Gatewayは、インターネット上の社内のチームに対して包括的なセキュリティ対策を講じて、従業員と企業データの両方を保護します。Cloudflare Gatewayは、DNSフィルタリングを使用して、悪意のあるコンテンツをブロックし、管理者にネットワークトラフィックの可視性を提供して、ブラウザー分離を用いてユーザーを悪意のあるオンラインコードから保護します。

    Cloudflare Gatewayの機能を理解する。

  • リモートアクセス
  • VPNとは?
  • VPNセキュリティ
  • VPN速度
  • ビジネスVPN
  • GDPRリモートアクセス
  • リモート従業員のセキュリティ
  • RDPとは?
  • RDPセキュリティ
  • 用語集
  • CASBとは?
  • フィッシング攻撃
  • DNSフィルタリング
  • データ損失防止(DLP)
  • URLフィルタリング
  • ソフトウェア定義の境界
  • 二要素認証
  • RBAC
  • SSOとは?
  • 多要素認証
  • SAMLとは?
  • ネットワーク境界
  • OAuthとは?
  • IDプロバイダー (IdP)
  • IDaaS (ID管理)
  • Browser Isolation

セキュアWebゲートウェイ

学習目的

この記事を読み終えると、以下のことができます。

  • セキュアWebゲートウェイを理解する
  • セキュアWebゲートウェイの仕組みを学ぶ
  • アプリケーション制御、URLフィルタリング、ほかの重要な機能について学ぶ

関連コンテンツ

ゼロトラストセキュリティ

アクセス制御

IAMとは?

CASBとは?

セキュアWebゲートウェイとは?

セキュアWebゲートウェイ(セキュアインターネットゲートウェイ)とは、企業のデータを保護し、社内のセキュリティポリシーを適用するサイバーセキュリティプロダクトのことです。セキュアWebゲートウェイは、企業の従業員とインターネットの間で動作します。飲んでも安全な水にするために危険な不純物を取り除く浄水器のように、セキュアWebゲートウェイはサイバー脅威やデータ侵害を抑止するためにWebトラフィックから安全でないコンテンツを取り除きます。リスクの高い行動や許可されていないユーザーの行動もブロックします。

すべてのセキュアWebゲートウェイプロダクトには、次のような技術が組み込まれています:

セキュアWebゲートウェアには、データ損失防止(DLP)、コンテンツフィルタリング、ほかのインターネットトラフィックフィルターも含まれる場合があります。

セキュアWebゲートウェイの仕組み

一部のセキュアWebゲートウェイは、プロキシサーバー上で実行します。ちょうどライブオークションに自分の代理人として法定代理人を派遣するように、プロキシサーバーはインターネット上の別のデバイスを代表します。プロキシサーバーとは、クライアントデバイス(ユーザーのノートパソコンなど)または別のサーバーに代わって、リクエストを送信したりレスポンスを受信したりするサーバーのことです。セキュアWebゲートウェイの場合、このプロキシサーバーは実際の物理サーバーまたはクラウド内の仮想マシンになります。

ほかのセキュアWebゲートウェイはソフトウェア専用です。ソフトウェアベースのゲートウェイは、SaaSアプリケーションとして、会社のプレミス環境またはクラウド環境で実行することができます。また、一部のセキュアWebゲートウェイは、会社のITインフラストラクチャに接続する物理的なハードウェアデバイスであるオンプレミス型「アプライアンス」としてデプロイされます。

どこで、どのようにデプロイされているにもかかわらず、すべてのセキュアWebゲートウェイは、ほぼ同じように機能します。クライアントデバイスがリクエストをインターネット上のWebサイトまたはアプリケーションに送信すると、リクエストは、まずセキュアWebゲートウェイを通過します。ゲートウェイはリクエストの検査を行って、所定のセキュリティポリシーに違反しない場合にのみ通過を許可します。ちょうど、セキュリティチェックで、セキュリティガードが持ち物を検査してから入場を許可するのと同じです。逆の場合にも同様のプロセスが行われます。セキュアWebゲートウェイは、受信データの検査を行ってからユーザーに引き渡します。

セキュリティポリシーとは?

セキュリティポリシーとは、会社内のすべてのデータおよびネットワークトラフィックが従わなければならないルールのことです。たとえば、ある会社がすべてのネットワークトラフィックを暗号化しなければならないポリシーを確立したとします。このポリシーを適用するには、HTTPSを用いないWebサイトをブロックする必要があります。セキュアWebゲートウェイは、すべての非HTTPSネットワークトラフィックを選別できるので、このポリシーを適用する1つの方法になります。

セキュアWebゲートウェイはどのようにセキュリティポリシーを適用するのか?

セキュアWebゲートウェイは、セキュリティポリシーを適用するために、検査対象のWebトラフィックに多くのアクションを実行してから転送します:

URLフィルタリング

URLとは、Webページの読み込み時にブラウザーの上部に表示される文字列のことです(例:https://www.cloudflare.com/learning/)。したがって、URLフィルタリングとは、ユーザーが読み込めるWebサイトを制御する方法のことです。

通常、URLフィルタリングには、許可されない既知の不良Webサイトの一覧であるブラックリストの使用が必要になります。ユーザーがブラックリストに掲載されているWebサイトをロードしようとすると、セキュアWebゲートウェイは、リクエストをブロックして、Webサイトはユーザーのデバイスにロードされません。

マルウェアのスキャン

セキュアWebゲートウェイは、マルウェアがないかネットワークトラフィックをスキャンします。つまり、通過するデータの中身を調べて、既知のマルウェアのコードと一致するかどうかを確認します。一部のゲートウェイは、サンドボックスを用いて、マルウェアについてテストします。制御された環境下で、潜在的に悪意のあるコードを実行して、どのように動作するかを調べます。ゲートウェイは、マルウェアを検出するとブロックします。

インターネット上の多くのネットワークトラフィックは、HTTPS暗号化*されています。多くのセキュアWebゲートウェイは、マルウェアがないかトラフィックをスキャンするためにHTTPSトラフィックを復号化できます。検査後に、ゲートウェイはトラフィックを再度暗号化してユーザーまたはWebサーバーに転送します。(HTTPS暗号化の仕組みについては、こちらをご覧ください。)

*暗号化とは、ランダムなデータに見えるようにデータを変換するプロセスのことです。暗号化されたデータは、復号化されるまで読むことはできません。復号化とは、暗号化プロセスの逆方向のプロセスのことです。

アプリケーション制御

セキュアWebゲートウェイは、どのアプリケーションを従業員が使用しているかを検知できます。その情報に基づいて、どのリソースが特定のアプリケーションにアクセスできるか、またはアプリケーションをブロックするかを制御できます。一部のセキュアWebゲートウェイは、アプリケーションの使用をより厳格に制御することができます。たとえば、ユーザーのアイデンティティや場所に基づいてアプリケーションの使用を制御できます

セキュアWebゲートウェイのほかの機能には次のようなものがあります:

  • コンテンツフィルタリング:この機能は、特定の種類のコンテンツを検出してブロックします。たとえば、コンテンツフィルタリングは、露骨な内容を含む動画や写真が企業ネットワークに入るのを阻止できます。通常、企業のIT管理者は、セキュアWebゲートウェイのコンテンツフィルタリングポリシーをカスタマイズすることができます。
  • データ損失防止(DLP):この機能は、すべてのWebセキュリティゲートウェイによって提供されているわけではありませんが、データ侵害を防止するには非常に効果的です。DLPは、逆方向のコンテンツフィルタリングのようなものです。コンテンツがネットワークに入るのを阻止するのではなく、ネットワークから出るのを防ぎます。DLPは、会社の管理下にある環境から流出している機密データを検出して、漏えいを防ぐためにデータを編集する、ブロックする、またはトークン化*します。たとえば、機密性の高いクレジットカード番号がネットワークから流出するのを阻止するために、従業員のメール内に含まれるすべての16桁の番号を検出して伏字化するようにDLPを設定することができます。

*トークン化とは、クレジットカード番号のような機密情報を、機密情報をマッピングするプレースホルダー値に置き換えることを意味します。

これらすべてが実際にどのように行われるかを例を用いて説明します:

セキュアWebゲートウェイを使用する会社で働いているアリスが、ウサギの写真を見たいとします。アリスはウサギの写真へのハイパーリンクをクリックします。すると、デバイスは写真に対するHTTPリクエストを生成します。このHTTPリクエストは、セキュアWebゲートウェイのプロキシサーバーに送付されます。プロキシサーバーは、禁止されているURLに転送されないことを確認するためにリクエストの検査を行ってから、ウサギの写真が掲載されている適切なWebサーバーにリクエストを転送します。Webサーバーから要求した写真を受信したセキュアWebゲートウェイは、写真をスキャンしてからアリスに転送します。このプロセス全体にかかる時間は、ほんの数ミリ秒です。

しかし、アリスがウサギの写真へのリンクだと思い、安全でないWebサイトへのリンクをクリックしてしまったら、セキュアWebゲートウェイはHTTPリクエスト内の安全でないURLを特定してブロックしていたでしょう。また、アリスの会社がウサギ対策ポリシーを適用することを決定したら、セキュアWebゲートウェイはコンテンツフィルタリングを用いて写真をブロックできます。

CloudflareはどのようにWebトラフィックを保護するのか?

Cloudflare Gatewayは、インターネット上の社内のチームに対して包括的なセキュリティ対策を講じて、従業員と企業データの両方を保護します。Cloudflare Gatewayは、DNSフィルタリングを使用して、悪意のあるコンテンツをブロックし、管理者にネットワークトラフィックの可視性を提供して、ブラウザー分離を用いてユーザーを悪意のあるオンラインコードから保護します。

Cloudflare Gatewayの機能を理解する。

To provide you with the best possible experience on our website, we may use cookies, as described here.
By clicking accept, closing this banner, or continuing to browse our websites, you consent to the use of such cookies.