BYODが促す「セキュアWebゲートウェイ」の機能進化：クラウド化やDLP機能のモバイル対応が加速

さまざまなセキュリティ機能を1台に納めた「セキュアWebゲートウェイ（SWG）」。攻撃手法の進化やクライアント端末の多様化を受けて進化するSWGの最新像を示す。

≫ 2012年09月04日 08時00分公開

　セキュアWebゲートウェイ（SWG）製品の選定に当たっては、市場に今ある製品に何ができ、自社のニーズに見合うかどうかを念入りに検討しなければならない。

　従来、企業がSWGを導入する目的は、勤務時間中のYouTube閲覧禁止といったポリシーを徹底させることにあった。だがファイアウォールとウイルス対策、単純なURLフィルタリングだけでは、ゼロデイ攻撃は防げないとの認識が浸透。最近は、単一用途のセキュリティ製品が提供する機能（URLフィルタリングや帯域幅の制限など）を1つのアプライアンスに統合する際、SWGが最善の方法だと見なされるようになった。SWGは、大きなセールスポイントであるWebアプリケーションレベルのコントロールと一元管理の他、非シグネチャベースの検出やフィルタリング機能も備えるようになっている。

　SWGの登場以来、企業が直面しているリスクの様相は大きく変化した。その結果、SWGの導入を検討する際、どういった新機能がSWGに搭載され、どの機能が最も重要なのかを再考しなければならなくなった。攻撃の巧妙さは増し、エンドポイントセキュリティの多様化やモバイル化の進展、BYOD（私物端末の業務利用）の普及も相まって、SWGは、現代の企業のニーズに対応して急速に進化する必要性に迫られている。

　本稿では、技術の発展を踏まえ、SWGに期待できることは何かをあらためて検証し、クラウド型とオンプレミス型のSWGアプライアンスの違いについて解説する。

セキュアWebゲートウェイの機能

　SWGを検討中の企業や組織には、今のところ以下のような幅広い機能の選択肢がある。

URLフィルタリング
HTTPSスキャン
インバウンドとアウトバウンド双方のマルウェア検出
脅威情報の提供
モバイル対応
アプリケーションコントロール
Data Loss Prevention（DLP）
脅威とトラフィックの可視化

　リスクの様相は急速に変化しており、URLフィルタリングやマルウェア検出、DLPなどのコントロールの質にもかなりの差が出ていることを知っておかなければならない。例えば、フィルタリングと検出の技術はここ数年で大幅に進歩した。時代遅れになったブラックリストの問題を解決するため、SWGは、レピュテーション分析やリアルタイムのコードスキャン、行動分析、コンテンツコントロール、フィンガープリントといった複数の分析技術を備えるようになった（ブラックリストの課題については「IPv6への移行でスパムボット活発化の恐れ――専門家が警告」も参照）。

　現在のSWGで特筆すべきもう1つの進歩は、Webやメール、データトラフィックを管理する際の柔軟性ときめ細かさが増したことだ。動的なWebページ内の要素を分析してアクセスをブロックしたり、特定の時間、あるいはあらかじめ定義しておいた値にアクティビティが達したときに、特定のサービスを有効にするようにも設定できる。帯域幅使用量のパラメータは、上下のトラフィックについて、コンテンツのカテゴリごとに指定できる。ユーザーやグループが必要とする特定のアクセス条件に応じて調整することも可能だ。

　SWG製品の多くは、最新のリスクや攻撃情報に応じてデバイスを更新するために、クラウドから脅威情報の提供を受ける機能を搭載している。BYODを採用する企業にとって必須となる、各種モバイル端末におけるDLPのサポートも拡大している（iPad向けのDLPについては「みずほが導入したiPad会議システムなど――スマートフォン&タブレット 2012春の注目展示」も参照）。セキュリティレベルとカスタムデータセットを組み合わせることにより、コンテンツ認識型のDLP機能も向上してきた。

　SWGの多くは、外部からの命令を受け取ろうとする「コールホーム」型のマルウェア検出にも対応する。

　可視化は見せかけ的な機能のようにも思えるが、特に注意が必要なネットワークのホットスポットが管理者から見えやすくなる。例えば、悪用される可能性がある脆弱性を、キャプチャーしたトラフィックを可視化して探すことで、ネットワークをかぎ回っている感染端末を手早く特定できる。また、帯域幅の使用状況やWebサイトの閲覧履歴などの情報を管理者がリアルタイムで監視することで、ネットワークがどのように利用され、ルールの変更が生産性やセキュリティにどう影響しているかを視覚的に把握できる。これにより、複雑なルールを導入して想定通りのパフォーマンスを出すことも容易になる。

ネットワーク可視化のためのトラフィックモニタリング技術概論（ホワイトペーパー）
PR：トラフィックの見える化で実現する「止めないネットワーク」

セキュアWebゲートウェイ導入のトレンド

　米調査会社Gartnerが、SWGの導入状況を直近でまとめた「Magic Quadrant for Secure Web Gateways」の2012年版によると、市場では依然としてオンプレミス型のエンタープライズ級アプライアンスが支配的だが、クラウド型のSWGも急成長している。オンプレミス型とクラウド型のSWGの要素を組み合わせたハイブリッド型の導入形態も存在する。

最新クラウド型ウイルス対策サービスの実例！　セキュリティ強化と同時に管理負荷を軽減（ホワイトペーパー）
セキュリティ対策の新しい姿「クラウド型Webセキュリティ」徹底解説（ホワイトペーパー）

　最新のSWGが提供するメリットを最大限に活用するためには、オンプレミス、クラウド、ハイブリッドSWGに必要な条件や長所、短所を知っておく必要がある。

　クラウド型SWGについては、場所に関係なく全ユーザーに同じ保護とポリシーを適用できる半面、自社の既存のインフラに統合できるSWGを選ばなければならない。

　一方、オンプレミス型SWGについては、プロキシを採用してWeb関連のトラフィックが全て処理されるようにする必要がある。全てのWebトラフィックを強制的にプロキシ経由にさせれば、検査やコントロールを通らずにインターネットに出入りするトラフィックフローは存在しないことをゲートウェイで保証できる。

　その他、ネットワークの脇に配備し、通過トラフィックを監視するゲートウェイを持つSWGもある。こうしたSWGは、インライン型のアプライアンスのようにトラフィックを傍受できるわけではない。ゲートウェイでタイムリーに危険を検知できなければ、マルウェアなどが知らないうちにネットワークに潜入してしまうかもしれない。この方式は、組織にポリシーを徹底させる場合には向いているかもしれないが、Web媒介型攻撃から確実に身を守る方法とは到底いえない。

　最後に、大抵のWebセキュリティ技術がそうであるように、SWG製品の宣伝資料には、「独自」「最高」「業界最先端」といった派手なうたい文句が並ぶ。自社のニーズに最も適した製品を選ぶ際、このようなほとんど根拠のない主張は無視することを心掛けた方がいい。それよりも、事前に用意しておいた必須機能の一覧に製品を突き合わせて最終候補を絞り込み、最終決定の段階では、価格や性能テスト、他のユーザー企業の助言も参考にしたい。

　SWG技術がここ数年で大きく進化し、多くの素晴らしい新機能が加わったことは間違いない。だが進歩だけでは成功は保証されない。SWGの成功を保証するためにはまず、今市場にある製品にできること、そして製品と自社のニーズを照らし合わせ、念入りに検討することが必要不可欠だ。

本稿筆者のマイケル・コッブ氏は、企業のネットワークやWebサイトのセキュリティサポート、ISO27001取得のためのトレーニングを手掛けるITコンサルティング会社、Cobweb Applicationsの創業者兼マネージングディレクター。CISSP-ISSAP（公認情報システムセキュリティプロフェッショナル―情報システムセキュリティアーキテクチャプロフェッショナル）の資格を有し、IT業界において15年以上に渡ってセキュリティ分野の執筆を行っているだけでなく、金融関係の執筆の経験も16年に及ぶ。共著書に『IIS Security』があり、大手IT出版物に多くの技術記事を寄稿している。また、「Microsoft認定データベースアドミニストレータ（MCDBA）」「Microsoft認定プロフェッショナル（MCP）」の有資格者でもある。

TechTargetジャパントップセキュリティ