
好きな所から読む
SWGとは?
SWG(Secure Web Gateway)は、外部へのアクセスを安全に快適な状態で行うためのクラウド型プロキシです。プロキシは内外部のネットワークを中継する存在で、ログの確認や外部からのアクセスに対してウイルスや不正アクセスでないかをチェックする機能があります。
⇒SWGを組み合わせてより強固なセキュリティを!ゼロトラストセキュリティに関する資料を、今だけ無料プレゼント中!
SWGは複数の機能を保有しており、導入することで企業のセキュリティレベル向上に寄与します。また、クラウドサービスを可視化するCASB(Cloud Access Security Broker)や、ゼロトラストモデルを取り入れたZTNA(Zero Trust Network Access)との相性が良いです。併用することで、情報資産を守る仕組みをさらに強化できます。
SWGの機能とは?
Webフィルタリング、サンドボックス、アプリバージョン制御、アンチウイルスといった機能があります。機能や特徴をまとめました。
Webフィルタリング | サンドボックス | アプリケーション制御 | アンチウイルス | |
内容 |
|
|
|
|
導入効果 |
|
|
|
|
SWGの種類とは?
オンプレミス型、クラウド型、ハイブリット型の3種類があります。それぞれの特徴をみていきましょう。
オンプレミス
自社のオンプレミスサーバーにSWGを設置して、運用していく形です。従来のプロキシと同様に利用できる一方、管理者への業務負担や毎月固定されたランニングコストが発生するといったデメリットがあります。また、システムダウンが起こった場合、全て自社で復旧までの対応をしないといけません。セキュリティ業務への経験が豊富な社員がいないと、業務の停滞やビジネス機会の損失を招きます。
メリット | デメリット | |
内容 |
|
|
クラウド
クラウド上で提供しているベンダーのSWGを利用する形です。サービスとしての利用です。自社で設備を保有する必要が無いため、オンプレミスより低コストで利用できます。また、アクセス地点を問わずに利用できるため、企業の進める在宅勤務やリモートワークにも対応可能です。
メリット | デメリット | |
内容 |
|
|
ハイブリッド
SWGをオンプレミスとクラウド両方で使う形です。社内にいる場合はオンプレミスを使用、カフェや顧客先など社外からのアクセス時においては、クラウドサービスを利用します。オンプレミスで全てのIT環境を整備していた企業が、クラウド型への移行を段階的に進む際に選択する手法です。
メリット | デメリット | |
内容 |
|
|
CASBとは?
CASBは、アメリカのガードナー社が提唱したクラウドサービスをより安全に使用するためのセキュリティソリューションです。CASBはユーザーとクラウドサービスの中間に位置し、単一のコントロールポイントによって利用状況の可視化、アクセス制御、マルウェア対策などを行います。
近年、場所を問わない働き方の増加やネットインフラ環境のコスト削減などもあり、クラウドサービスを利用する企業が増えてきました。以前はクラウド上にデータ保存や業務で必要なツールを集約することに企業は不安を抱えていました。不特定多数のユーザーが利用するクラウド上にデータを保存することで、情報資産を狙われる可能性が高いと企業は感じていたからです。
ですが、ベンダー側が公的機関で安全性を証明するエビデンスを複数提示するようになってからは、企業側も「クラウド上に情報資産を保存しておいた方が便利ではないか」と、考えが変化しつつあります。
実際、CASBの国内市場は2018年に約12億円を突破し、2019年には20億円を突破するなど順調に数字を伸ばしています。
CASBの4つの機能とは?
利用状況の可視化、脅威防御、コントロール、データ保護の4点を紹介します。
クラウドサービスの可視化
「どのユーザーが、どのアプリケーションを利用して、どのようなサービスを閲覧しているか」といった、アプリケーション内のユーザーの行動と利用状況を可視化します。利用状況を可視化することで、内部不正や情報漏洩につながる不審な動きをするユーザーを素早く特定することが可能です。セキュリティインシデントの予防と被害の最小化、両面にアプローチできます。
脅威防御
クラウドサービス内に潜伏しているマルウェアやランサムウェアを検知・隔離します。特にランサムウェアは、ユーザーの使用しているPCやデータファイルを使用できない状態にさせ、元の状態に戻す代わりに多額の身代金を要求する悪質なマルウェアです。
自力でシステム復旧に努めた場合でも多くの時間を必要とするため、ビジネス機会の損失と業務の停滞を招きます。ランサムウェアは、最も深刻な脅威を与えるマルウェアの1つで検知も難しいため、企業にとっては大きな安心材料です。他にも攻撃者が共有アカウントの使用や機密情報の大量ダウンロードをしていた場合は、検知してデータ通信を途中でストップさせます。
コントロール
ユーザーのアクセス地点やアプリケーション内の行動から異常を感じた場合は、アラートを発してアクセスをブロックします。異常を感知してすぐに対応することで、セキュリティインシデントの被害を最小限に留められます。また、1つのセキュリティポリシーで、IaaS(nfrastructure as a Service)、SaaS(Software as a Service)、Webサービスのアクセス制限が可能です。一括管理を行えることで、効率的なセキュリティ運用を実現しています。
データ保護
DLP(Data Loss Prevention)を採用しています。DLPは企業にとって本当に重要な情報の範囲を特定し、データの持ち出しやコピーを制限・禁止します。
範囲を特定した機密情報の所在を自動検出できる機能も備えており、該当するデータファイルの持ち出しやコピーを行う攻撃者や内部不正を行う社員がいた場合は、アラートの発信やアクセスのブロックを行い、情報漏洩を未然に防ぐことが可能です。
監視対象を情報にすることで、ユーザーの行動に必要以上に気を配る必要が無くなるので、管理者の業務負担軽減にもつながります。
SWGとCASBはどちらも必要か?
どちらも必要であり、今後はSWGとCASBが合体したサービスが増えるでしょう。SWGとCASBをパッケージ化した商品にすることで、ユーザーがどのWebサイトやアプリケーションを利用しても安全性が確保されます。従来のWebサイトはSWGで対応、アプリケーションはCASBといった使い分けをする必要が無くなるからです。
管理者の業務負担を減らせるだけでなく、ユーザーにとっても安心してインターネットを使えます。実際、アメリカのNetskope社では、3万種類以上のクラウドサービスに対応したCASB機能を持つ「Netskope for SaaS」、SWG機能を持った「Netskope for Web」を提供しています。
ZTNAとは?
ZTNAは、「全てのアクセスを信頼しない」ゼロトラストの考え方を取り入れたセキュリティソリューションです。ユーザーやデバイス機器に関係なく毎回認証を求めるだけでなく、アプリケーションやデータファイルへのアクセス制御を一元管理できるため、組織として一貫したセキュリティ対策が可能です。
また、現在のテレワークを支えているVPN(Virtual Private Network)が持つ通信の安定性や脆弱性といった課題もZTNAは克服しています。場所を問わずに安定した作業環境が補償されるので、近年導入が増えている在宅勤務やリモートワークの導入を加速させる要因となるでしょう。
そして、ZTNAを提供しているベンダーがSWGも共に販売しており、1つのベンダーでセキュリティソリューションを整えると、安全性の高いZTNAを構築できます。単一のアプリケーションでの運用が可能になり、ユーザーが操作性に悩むことはありません。
ZTNAの4つの特徴
スケーラビリティが高い、不正アクセスのリスク軽減、アクセス権の一元管理、通信が安定するといった4つの特徴があります。
スケーラビリティが高い
スケーラビリティはシステムや使用用途が増加しても柔軟に対応し、安定して稼働する能力があるかといった意味です。ZTNAでは大部分の処理をクラウド側で行うため、ユーザーの増加に柔軟に対応できます。
一方、VPNではネットワーク機器のリソース消費が多いため、キャパシティ以上のユーザー数となった場合、通信速度の低下や通信障害が起きていました。ユーザー数が途中で増えた場合は、再度適切なサイジングのVPNを購入する必要があるためコストが増大し、ややスケーラビリティに欠けていました。
不正ネットワークへのリスク軽減
ユーザーが社内ネットワークにログインする際に、必ずZTNAを提供しているベンダーのクラウドを経由します。クラウド上で安全性と本人認証が確認されて、初めてアプリケーションやデータファイルへのログインができます。
ZTNAのクラウドやデータファイルへログインの際、どちらの接続口も外部からのアクセスは待ち受けていません。アクセスがあったときに初めて接続口を用意するので、攻撃者からの不正アクセスやサイバー攻撃を受けるリスクを軽減できます。また、接続口のアップデートは全てベンダー側で対応するため、管理者への業務負担増大も避けられます。
アクセス権を一元管理
アプリケーションやデータファイルへのアクセス権を一元管理できるため、拠点ごとのセキュリティレベルのばらつきを防げます。攻撃者はセキュリティ対策が甘い箇所を突いて攻撃を仕掛けてきます。
特に広範囲に拠点を展開している企業は、拠点の管理者にセキュリティ対策を任せることが多く、本社のセキュリティ対策を反映させることが難しいので、一元管理できるのは大きなメリットです。
一貫したセキュリティ対策が取れることで、管理者が拠点ごとの管理やセキュリティ対策について悩む必要がありません。
通信が安定
メジャーのZTNAベンダーは、多くのアクセスポイントを設置しているため、ユーザーがアクセスした位置に従って、最寄りのアクセスポイントに自動誘導を行います。常に最短距離の通信経路が確保されるので、通信速度や通信障害に悩まされる心配はありません。
まとめ
SWG、CASB、ZTNAの特徴を最後に振り返ります。
SWG | CASB | ZTNA | |
機能&特徴 |
|
|
|
導入効果 |
|
|
|