さまざまなセキュリティ機能を1台に納めた「セキュアWebゲートウェイ(SWG)」。攻撃手法の進化やクライアント端末の多様化を受けて進化するSWGの最新像を示す。
セキュアWebゲートウェイ(SWG)製品の選定に当たっては、市場に今ある製品に何ができ、自社のニーズに見合うかどうかを念入りに検討しなければならない。
従来、企業がSWGを導入する目的は、勤務時間中のYouTube閲覧禁止といったポリシーを徹底させることにあった。だがファイアウォールとウイルス対策、単純なURLフィルタリングだけでは、ゼロデイ攻撃は防げないとの認識が浸透。最近は、単一用途のセキュリティ製品が提供する機能(URLフィルタリングや帯域幅の制限など)を1つのアプライアンスに統合する際、SWGが最善の方法だと見なされるようになった。SWGは、大きなセールスポイントであるWebアプリケーションレベルのコントロールと一元管理の他、非シグネチャベースの検出やフィルタリング機能も備えるようになっている。
SWGの登場以来、企業が直面しているリスクの様相は大きく変化した。その結果、SWGの導入を検討する際、どういった新機能がSWGに搭載され、どの機能が最も重要なのかを再考しなければならなくなった。攻撃の巧妙さは増し、エンドポイントセキュリティの多様化やモバイル化の進展、BYOD(私物端末の業務利用)の普及も相まって、SWGは、現代の企業のニーズに対応して急速に進化する必要性に迫られている。
本稿では、技術の発展を踏まえ、SWGに期待できることは何かをあらためて検証し、クラウド型とオンプレミス型のSWGアプライアンスの違いについて解説する。
SWGを検討中の企業や組織には、今のところ以下のような幅広い機能の選択肢がある。
リスクの様相は急速に変化しており、URLフィルタリングやマルウェア検出、DLPなどのコントロールの質にもかなりの差が出ていることを知っておかなければならない。例えば、フィルタリングと検出の技術はここ数年で大幅に進歩した。時代遅れになったブラックリストの問題を解決するため、SWGは、レピュテーション分析やリアルタイムのコードスキャン、行動分析、コンテンツコントロール、フィンガープリントといった複数の分析技術を備えるようになった(ブラックリストの課題については「IPv6への移行でスパムボット活発化の恐れ――専門家が警告」も参照)。
現在のSWGで特筆すべきもう1つの進歩は、Webやメール、データトラフィックを管理する際の柔軟性ときめ細かさが増したことだ。動的なWebページ内の要素を分析してアクセスをブロックしたり、特定の時間、あるいはあらかじめ定義しておいた値にアクティビティが達したときに、特定のサービスを有効にするようにも設定できる。帯域幅使用量のパラメータは、上下のトラフィックについて、コンテンツのカテゴリごとに指定できる。ユーザーやグループが必要とする特定のアクセス条件に応じて調整することも可能だ。
SWG製品の多くは、最新のリスクや攻撃情報に応じてデバイスを更新するために、クラウドから脅威情報の提供を受ける機能を搭載している。BYODを採用する企業にとって必須となる、各種モバイル端末におけるDLPのサポートも拡大している(iPad向けのDLPについては「みずほが導入したiPad会議システムなど――スマートフォン&タブレット 2012春の注目展示」も参照)。セキュリティレベルとカスタムデータセットを組み合わせることにより、コンテンツ認識型のDLP機能も向上してきた。
SWGの多くは、外部からの命令を受け取ろうとする「コールホーム」型のマルウェア検出にも対応する。
可視化は見せかけ的な機能のようにも思えるが、特に注意が必要なネットワークのホットスポットが管理者から見えやすくなる。例えば、悪用される可能性がある脆弱性を、キャプチャーしたトラフィックを可視化して探すことで、ネットワークをかぎ回っている感染端末を手早く特定できる。また、帯域幅の使用状況やWebサイトの閲覧履歴などの情報を管理者がリアルタイムで監視することで、ネットワークがどのように利用され、ルールの変更が生産性やセキュリティにどう影響しているかを視覚的に把握できる。これにより、複雑なルールを導入して想定通りのパフォーマンスを出すことも容易になる。
米調査会社Gartnerが、SWGの導入状況を直近でまとめた「Magic Quadrant for Secure Web Gateways」の2012年版によると、市場では依然としてオンプレミス型のエンタープライズ級アプライアンスが支配的だが、クラウド型のSWGも急成長している。オンプレミス型とクラウド型のSWGの要素を組み合わせたハイブリッド型の導入形態も存在する。
最新のSWGが提供するメリットを最大限に活用するためには、オンプレミス、クラウド、ハイブリッドSWGに必要な条件や長所、短所を知っておく必要がある。
クラウド型SWGについては、場所に関係なく全ユーザーに同じ保護とポリシーを適用できる半面、自社の既存のインフラに統合できるSWGを選ばなければならない。
一方、オンプレミス型SWGについては、プロキシを採用してWeb関連のトラフィックが全て処理されるようにする必要がある。全てのWebトラフィックを強制的にプロキシ経由にさせれば、検査やコントロールを通らずにインターネットに出入りするトラフィックフローは存在しないことをゲートウェイで保証できる。
その他、ネットワークの脇に配備し、通過トラフィックを監視するゲートウェイを持つSWGもある。こうしたSWGは、インライン型のアプライアンスのようにトラフィックを傍受できるわけではない。ゲートウェイでタイムリーに危険を検知できなければ、マルウェアなどが知らないうちにネットワークに潜入してしまうかもしれない。この方式は、組織にポリシーを徹底させる場合には向いているかもしれないが、Web媒介型攻撃から確実に身を守る方法とは到底いえない。
最後に、大抵のWebセキュリティ技術がそうであるように、SWG製品の宣伝資料には、「独自」「最高」「業界最先端」といった派手なうたい文句が並ぶ。自社のニーズに最も適した製品を選ぶ際、このようなほとんど根拠のない主張は無視することを心掛けた方がいい。それよりも、事前に用意しておいた必須機能の一覧に製品を突き合わせて最終候補を絞り込み、最終決定の段階では、価格や性能テスト、他のユーザー企業の助言も参考にしたい。
SWG技術がここ数年で大きく進化し、多くの素晴らしい新機能が加わったことは間違いない。だが進歩だけでは成功は保証されない。SWGの成功を保証するためにはまず、今市場にある製品にできること、そして製品と自社のニーズを照らし合わせ、念入りに検討することが必要不可欠だ。
本稿筆者のマイケル・コッブ氏は、企業のネットワークやWebサイトのセキュリティサポート、ISO27001取得のためのトレーニングを手掛けるITコンサルティング会社、Cobweb Applicationsの創業者兼マネージングディレクター。CISSP-ISSAP(公認情報システムセキュリティプロフェッショナル―情報システムセキュリティアーキテクチャプロフェッショナル)の資格を有し、IT業界において15年以上に渡ってセキュリティ分野の執筆を行っているだけでなく、金融関係の執筆の経験も16年に及ぶ。共著書に『IIS Security』があり、大手IT出版物に多くの技術記事を寄稿している。また、「Microsoft認定データベースアドミニストレータ(MCDBA)」「Microsoft認定プロフェッショナル(MCP)」の有資格者でもある。
Copyright © ITmedia, Inc. All Rights Reserved.
今や誰もが入手可能となったフィッシングツール。そこにAIの悪用が加わり、フィッシング攻撃はますます巧妙化している。本資料では、20億件以上のフィッシングトランザクションから、フィッシング攻撃の動向や防御方法を解説する。
セキュリティ対策チームの57%が人材不足の影響を受けているといわれる昨今、インシデントや脆弱性への対応の遅れが、多くの企業で問題視されている。その対策として有効なのが「自動化」だが、どのように採り入れればよいのだろうか。
年々増加する標的型攻撃メール。この対策として標的型攻撃メール訓練を実施している企業は多い。こうした訓練では一般に開封率で効果を測るが、実は開封率だけでは訓練の効果を十分に評価できない。評価となるポイントは報告率だ。
従業員の情報セキュリティ教育は、サイバー攻撃や人的ミスによる情報漏えいから自社を守るためにも必要不可欠な取り組みだ。新入社員の教育を想定し、伝えるべき内容や伝える際のポイントを解説する。
2024年の情報漏えい事故の傾向では、攻撃者による大規模攻撃の他、社員や業務委託先のミス・内部犯行によるケースも多く見られた。インシデント別の要因と対策とともに、今後特に重要になるセキュリティ意識向上のポイントを解説する。
いまさら聞けない「仮想デスクトップ」と「VDI」の違いとは
遠隔のクライアント端末から、サーバにあるデスクトップ環境を利用できる仕組みである仮想デスクトップ(仮想PC画面)は便利だが、仕組みが複雑だ。仮想デスクトップの仕組みを基礎から確認しよう。
「マーケティングオートメーション」 国内売れ筋TOP10(2025年5月)
今週は、マーケティングオートメーション(MA)ツールの売れ筋TOP10を紹介します。
「サイト内検索」&「ライブチャット」売れ筋TOP5(2025年4月)
今週は、サイト内検索ツールとライブチャットの国内売れ筋TOP5をそれぞれ紹介します。
「ECプラットフォーム」売れ筋TOP10(2025年4月)
今週は、ECプラットフォーム製品(ECサイト構築ツール)の国内売れ筋TOP10を紹介します。