セキュアWebゲートウェイとは？

セキュアWebゲートウェイとは？

セキュアWebゲートウェイ（セキュアインターネットゲートウェイ）とは、企業のデータを保護し、社内のセキュリティポリシーを適用するサイバーセキュリティプロダクトのことです。セキュアWebゲートウェイは、企業の従業員とインターネットの間で動作します。飲んでも安全な水にするために危険な不純物を取り除く浄水器のように、セキュアWebゲートウェイはサイバー脅威やデータ侵害を抑止するためにWebトラフィックから安全でないコンテンツを取り除きます。リスクの高い行動や許可されていないユーザーの行動もブロックします。

すべてのセキュアWebゲートウェイプロダクトには、次のような技術が組み込まれています：

• URLフィルタリング
• マルウェアの検出とブロック
• アプリケーション制御

セキュアWebゲートウェアには、データ損失防止（DLP）、コンテンツフィルタリング、ほかのインターネットトラフィックフィルターも含まれる場合があります。

セキュアWebゲートウェイの仕組み

一部のセキュアWebゲートウェイは、プロキシサーバー上で実行します。ちょうどライブオークションに自分の代理人として法定代理人を派遣するように、プロキシサーバーはインターネット上の別のデバイスを代表します。プロキシサーバーとは、クライアントデバイス（ユーザーのノートパソコンなど）または別のサーバーに代わって、リクエストを送信したりレスポンスを受信したりするサーバーのことです。セキュアWebゲートウェイの場合、このプロキシサーバーは実際の物理サーバーまたはクラウド内の仮想マシンになります。

ほかのセキュアWebゲートウェイはソフトウェア専用です。ソフトウェアベースのゲートウェイは、SaaSアプリケーションとして、会社のプレミス環境またはクラウド環境で実行することができます。また、一部のセキュアWebゲートウェイは、会社のITインフラストラクチャに接続する物理的なハードウェアデバイスであるオンプレミス型「アプライアンス」としてデプロイされます。

どこで、どのようにデプロイされているにもかかわらず、すべてのセキュアWebゲートウェイは、ほぼ同じように機能します。クライアントデバイスがリクエストをインターネット上のWebサイトまたはアプリケーションに送信すると、リクエストは、まずセキュアWebゲートウェイを通過します。ゲートウェイはリクエストの検査を行って、所定のセキュリティポリシーに違反しない場合にのみ通過を許可します。ちょうど、セキュリティチェックで、セキュリティガードが持ち物を検査してから入場を許可するのと同じです。逆の場合にも同様のプロセスが行われます。セキュアWebゲートウェイは、受信データの検査を行ってからユーザーに引き渡します。

セキュリティポリシーとは？

セキュリティポリシーとは、会社内のすべてのデータおよびネットワークトラフィックが従わなければならないルールのことです。たとえば、ある会社がすべてのネットワークトラフィックを暗号化しなければならないポリシーを確立したとします。このポリシーを適用するには、HTTPSを用いないWebサイトをブロックする必要があります。セキュアWebゲートウェイは、すべての非HTTPSネットワークトラフィックを選別できるので、このポリシーを適用する1つの方法になります。

セキュアWebゲートウェイはどのようにセキュリティポリシーを適用するのか？

セキュアWebゲートウェイは、セキュリティポリシーを適用するために、検査対象のWebトラフィックに多くのアクションを実行してから転送します：

URLフィルタリング

URLとは、Webページの読み込み時にブラウザーの上部に表示される文字列のことです（例：https://www.cloudflare.com/learning/）。したがって、URLフィルタリングとは、ユーザーが読み込めるWebサイトを制御する方法のことです。

通常、URLフィルタリングには、許可されない既知の不良Webサイトの一覧であるブラックリストの使用が必要になります。ユーザーがブラックリストに掲載されているWebサイトをロードしようとすると、セキュアWebゲートウェイは、リクエストをブロックして、Webサイトはユーザーのデバイスにロードされません。

マルウェアのスキャン

セキュアWebゲートウェイは、マルウェアがないかネットワークトラフィックをスキャンします。つまり、通過するデータの中身を調べて、既知のマルウェアのコードと一致するかどうかを確認します。一部のゲートウェイは、サンドボックスを用いて、マルウェアについてテストします。制御された環境下で、潜在的に悪意のあるコードを実行して、どのように動作するかを調べます。ゲートウェイは、マルウェアを検出するとブロックします。

インターネット上の多くのネットワークトラフィックは、HTTPSで暗号化*されています。多くのセキュアWebゲートウェイは、マルウェアがないかトラフィックをスキャンするためにHTTPSトラフィックを復号化できます。検査後に、ゲートウェイはトラフィックを再度暗号化してユーザーまたはWebサーバーに転送します。（HTTPS暗号化の仕組みについては、こちらをご覧ください。）

*暗号化とは、ランダムなデータに見えるようにデータを変換するプロセスのことです。暗号化されたデータは、復号化されるまで読むことはできません。復号化とは、暗号化プロセスの逆方向のプロセスのことです。

アプリケーション制御

セキュアWebゲートウェイは、どのアプリケーションを従業員が使用しているかを検知できます。その情報に基づいて、どのリソースが特定のアプリケーションにアクセスできるか、またはアプリケーションをブロックするかを制御できます。一部のセキュアWebゲートウェイは、アプリケーションの使用をより厳格に制御することができます。たとえば、ユーザーのアイデンティティや場所に基づいてアプリケーションの使用を制御できます

セキュアWebゲートウェイのほかの機能には次のようなものがあります：

• コンテンツフィルタリング：この機能は、特定の種類のコンテンツを検出してブロックします。たとえば、コンテンツフィルタリングは、露骨な内容を含む動画や写真が企業ネットワークに入るのを阻止できます。通常、企業のIT管理者は、セキュアWebゲートウェイのコンテンツフィルタリングポリシーをカスタマイズすることができます。
• データ損失防止（DLP）：この機能は、すべてのWebセキュリティゲートウェイによって提供されているわけではありませんが、データ侵害を防止するには非常に効果的です。DLPは、逆方向のコンテンツフィルタリングのようなものです。コンテンツがネットワークに入るのを阻止するのではなく、ネットワークから出るのを防ぎます。DLPは、会社の管理下にある環境から流出している機密データを検出して、漏えいを防ぐためにデータを編集する、ブロックする、またはトークン化*します。たとえば、機密性の高いクレジットカード番号がネットワークから流出するのを阻止するために、従業員のメール内に含まれるすべての16桁の番号を検出して伏字化するようにDLPを設定することができます。

*トークン化とは、クレジットカード番号のような機密情報を、機密情報をマッピングするプレースホルダー値に置き換えることを意味します。

これらすべてが実際にどのように行われるかを例を用いて説明します：

セキュアWebゲートウェイを使用する会社で働いているアリスが、ウサギの写真を見たいとします。アリスはウサギの写真へのハイパーリンクをクリックします。すると、デバイスは写真に対するHTTPリクエストを生成します。このHTTPリクエストは、セキュアWebゲートウェイのプロキシサーバーに送付されます。プロキシサーバーは、禁止されているURLに転送されないことを確認するためにリクエストの検査を行ってから、ウサギの写真が掲載されている適切なWebサーバーにリクエストを転送します。Webサーバーから要求した写真を受信したセキュアWebゲートウェイは、写真をスキャンしてからアリスに転送します。このプロセス全体にかかる時間は、ほんの数ミリ秒です。

しかし、アリスがウサギの写真へのリンクだと思い、安全でないWebサイトへのリンクをクリックしてしまったら、セキュアWebゲートウェイはHTTPリクエスト内の安全でないURLを特定してブロックしていたでしょう。また、アリスの会社がウサギ対策ポリシーを適用することを決定したら、セキュアWebゲートウェイはコンテンツフィルタリングを用いて写真をブロックできます。

CloudflareはどのようにWebトラフィックを保護するのか？

Cloudflare Gatewayは、インターネット上の社内のチームに対して包括的なセキュリティ対策を講じて、従業員と企業データの両方を保護します。Cloudflare Gatewayは、DNSフィルタリングを使用して、悪意のあるコンテンツをブロックし、管理者にネットワークトラフィックの可視性を提供して、ブラウザー分離を用いてユーザーを悪意のあるオンラインコードから保護します。

Cloudflare Gatewayの機能を理解する。