社内ネットワークとインターネット間の境界を守る仕組みとして、従来はプロキシサーバーが使用されてきました。しかし、昨今の働き方の変化や、クラウドサービス利用の増加により、プロキシサーバーでは対応しきれない状況が増えています。
「SWG(Secure Web Gateway)」は、プロキシサーバーの後継といえる技術です。この記事では、SWGの基礎知識や必要性、メリットを解説します。従来のプロキシサーバーとの違いも紹介しますので、ぜひご覧ください。
SWG(セキュア Web ゲートウェイ)とは
SWG(Secure Web Gateway)とは、インターネットアクセスを安全に保つためのプロキシサービスです。多くの場合、クラウドサービスとして提供されます。SWGは、クライアント(PCなどの端末)と社外ネットワークの通信を中継する仕組みです。不正な通信の遮断やアプリケーション制御により、エンドポイントおよび社内ネットワークの安全性を保ちます。また、キャッシュやログの集積により、レスポンスの向上にも貢献します。
SWGとプロキシサーバーの違い
従来のプロキシ(Proxy)サーバーは、社内ネットワークと社外ネットワークの境界に設置されています。SWGと同じく通信を中継する技術ですが、プロキシサーバーよりもSWGのほうが多くのセキュリティ機能を搭載しています。そのため、SWGはプロキシサーバーの後継技術と言われているわけです。
SWGとCASBの違い
SWGと似ている技術に「CASB(Cloud Access Security Broker:キャスビー)」があります。CASBとは、クラウドサービスへのアクセスを中継する技術です。クラウドサービスへの通信を監視・制御し、安全なクラウド利用を実現します。
つまり、CASBはクラウドサービスへの通信に特化し、SWGはインターネットへの通信すべてをカバーしているわけです。なお、どちらも境界防御に頼らない「ゼロトラスト」の実現に必要な技術とされています。
SWGが企業に必要な理由
テレワークやクラウドサービスの普及により、「ローカルブレイクアウト」を採用する企業が増えています。ローカルブレイクアウトとは、指定したクラウドサービスへの通信のみ、社内ネットワークやVPNを経由せず直接アクセスする手法です。クラウドサービスの利用を社内ネットワークから切り離すことでトラフィック量が減少し、パフォーマンスが向上します。
しかし、クライアントがインターネットに直接アクセスするため、セキュリティ上のリスクが生じます。そこで、効果的なセキュリティ対策になる技術が「SWG」です。SWGがクライアントとインターネット間の全通信を中継することで、安全な通信環境を構築できます。
SWGの機能
SWGのセキュリティ機能は、製品によって異なります。代表的な機能は、以下の6つです。
- URLフィルタリング
- Web無害化
- アプリケーション制御
- ウイルスの排除
- サンドボックス
- DLP
具体的な役割を見ていきましょう。
1.URLフィルタリング
不審なURLやIPアドレスへのアクセスを遮断する機能です。業務に無関係なWebサイトへの通信防止としても活用できます。アクセスを拒否するWebサイトを指定する「ブラックリスト」、あるいはアクセスを許可するWebサイトのみ指定する「ホワイトリスト」のどちらかを選択可能です。また、Webサイトのカテゴリーに沿って、アクセスの可否を決める方法もあります。
2.Web無害化
Web無害化とは、分離環境上でWeb上のコンテンツを実行し、クライアントには描画情報のみ送信する機能です。Webサイトの閲覧によるマルウェア感染を防げるため、安全なインターネット利用を実現します。無害化してもWebサイトの見た目は変化せず、クリックやリンク遷移、フォーム入力といった操作も通常通り行えます。
3.アプリケーション制御
アプリケーション制御機能を使うと、ユーザーや部門ごとの使用アプリケーションを制御できます。従業員が無関係なアプリケーションやファイルにアクセスできる状況をなくすことで、情報漏洩やデータ破損といったリスクを抑えられます。加えて、社内で承認していないクラウドサービスやアプリを使う「シャドーIT」の防止も可能です。シャドーITはマルウェア感染などのセキュリティリスクを高めるため、SWGによる抑制が効果的です。
4.ウイルスの排除
SWGは、ウイルスを排除する「アンチウイルス」機能も備えています。シグネチャファイルを利用し、ゲートウェイ上で既知のマルウェアの検知・排除が可能です。シグネチャファイルとは、マルウェアの攻撃パターンなどの情報を集めたファイルを指します。なお、基本的に既知のウイルスにしか対応していないため、未知のマルウェアは検出できません。
5.サンドボックス
サンドボックスとは、社内ネットワークから切り離された仮想環境上でファイルを実行し、マルウェアであるかを判断する機能です。プログラムの挙動から判断するため、シグネチャファイルに存在しない未知のウイルスの検知にも役立ちます。ただし、サンドボックスを検知するマルウェアも存在します。ゆえに、SWGだけでなく、端末側のエンドポイントセキュリティ製品と併用したほうがいいでしょう。
6.DLP
DLP( Data Loss Prevention)とは、情報漏洩の防止に特化した機能です。機密情報にあたるデータを監視し、ユーザーによる無許可の操作を検知・ブロックします。監視対象のデータは、あらかじめ定義したポリシーによって自動で識別する仕組みです。不正な送信、保存、改ざんを阻止することで、内部不正による情報の持ち出しや破壊を予防できます。
SWGの種類
SWGの導入形態は、次の3種類があります。
- クラウド型
- オンプレミス型
- ハイブリッド型
それぞれの特徴を説明します。
1.クラウド型
クラウド型のSWGは、多くの企業で採用されている形態です。ベンダーが提供するクラウド上のSWGサービスを利用します。3種類の中でもっともコストを抑えてSWGを導入できる上、導入期間も短いです。障害発生時の対応やメンテナンスはベンダーが行うため、運用負担も抑えられます。
また、クラウド型のSWGは、インターネットにつながる場所であればどこからでも利用可能です。テレワーク環境やローカルブレイクアウトにSWGを導入したいのであれば、クラウド型が向いています。ただし、カスタマイズ性は低い点に注意が必要です。
2.オンプレミス型
オンプレミス型は、自社サーバーにSWGを導入する方法です。自社で運用するため自由なカスタマイズが可能で、既存システムとの連携もしやすいといったメリットがあります。テレワークの導入予定がない企業であれば、オンプレミス型SWGも選択肢となるでしょう。
一方、オンプレミス型SWGは、費用が高額になりがちです。トラブル対応もすべて社内で行うため、運用負荷も重くなります。そのため、SWGを扱える情報システム部門を持たない企業には向いていません。
3.ハイブリッド型
ハイブリッド型は、クラウド型とオンプレミス型のSWGを併用する導入方法です。たとえば、「テレワークなどの社外からの通信はクラウド型」「社内ネットワークの通信はオンプレミス型」と使い分けます。オンプレミスからクラウドへIT環境を段階的に移行している企業は、ハイブリッド型SWGを選ぶケースがあります。
注意点として、ハイブリッド型SWGは運用が複雑化しやすいです。SWGやネットワーク構築の専門スキルを持つ社員がいなければ、効率的な管理は難しいでしょう。
SWG導入のメリット・デメリット
最後に、企業がSWGを導入するメリットとデメリットを紹介します。
メリット
SWG導入の最大のメリットが、セキュリティの強化です。アンチウイルスとサンドボックスによる未知・既知のマルウェア対策、有害なWebサイトの遮断および無害化によって、多くのサイバー攻撃を防げます。アプリケーション統御やDLP機能を活用すれば、社員による内部不正の抑制も可能です。さらに、ローカルブレイクアウトと合わせてSWGを導入することで、社内トラフィックの削減とセキュリティ向上が見込めます。
また、クラウド型SWGであれば、IT人材が少ない企業でも導入しやすいです。従来のプロキシサーバーの運用は、専門知識を持つスタッフが求められます。クラウド型SWGは保守・管理を含む運用をベンダーが行うため、運用負担を大幅に減らせるでしょう。
デメリット
SWGの導入時は、ネットワーク構成を大きく変更しなくてはいけない可能性があります。ネットワークを再構築する際は、現状の構成の把握や接続機器の洗い出し、テストが必要です。多くの工数がかかるため、SWGを移行するまでに想定外の手間がかかるかもしれません。ネットワークにトラブルが生じれば業務停滞につながりかねないため、SWGベンダーとの綿密な連携が大切です。
加えて、SWGの品質は、ベンダーによって異なります。低品質なベンダーの場合、頻繁にサービス障害が生じたり、障害対応が遅かったりする恐れがあります。ベンダーのSLA(サービス品質保証)やサポート体制を確認し、優れた事業者を見極めることが重要です。
まとめ
SWG(Secure Web Gateway)は、クライアントとインターネット間の通信を中継するシステムです。従来のプロキシサーバーは、社内ネットワークを守る「境界防御」の仕組みです。SWGは境界防御の考えにとらわれず、社外にあるクライアントの通信も保護します。テレワークやローカルブレイクアウトと相性が良いため、今後も多くの企業で導入が進んでいくでしょう。