レガシーWebゲートウェイと次世代Webゲートウェイ：主な違いを理解する

By Mohammed Guermellou - ソリューション・アーキテクト、Skyhigh Security

2024年6月12日 5 分で読む

進化し続けるデジタル環境の中で、サイバーセキュリティは個人や組織にとって最も重要な関心事です。サイバースペースには絶え間ない脅威が待ち構えており、機密情報を保護し、安全なオンライン環境を確保するための強固な対策を講じることが極めて重要です。そのような対策の一つが、潜在的な脅威がないかインターネットトラフィックを監視し、フィルタリングするセキュリティソリューションであるウェブゲートウェイの導入です。

しかし、すべてのウェブゲートウェイが同じように作られているわけではありません。最近、市場はレガシー・ウェブ・ゲートウェイから次世代ウェブ・ゲートウェイと呼ばれる新種への移行を目の当たりにしている。この移行は、現代のデジタル脅威とテクノロジーに適応する必要性から生じている。このブログでは、レガシー・ウェブ・ゲートウェイと次世代ウェブ・ゲートウェイの主な違いについて説明します。

脅威検知のアプローチ

従来のウェブゲートウェイは、主にシグネチャベースの検知技術に依存していました。既知のシグネチャやパターンに基づいて脅威を識別するため、新たな脅威や未知の脅威に対してはあまり効果的ではありませんでした。一方、次世代のウェブゲートウェイは、脅威検知に多層的なアプローチを採用しています。挙動分析、人工知能、機械学習などの高度な技術を取り入れ、既知および未知の脅威をリアルタイムで検知・軽減します。

さらに Remote Browser Isolation(RBI)は脅威の部分に役立つ。Remote browser isolation は、サイバー脅威から守るためにウェブブラウザを別の環境で実行する方法である。通常、ローカルマシン上のブラウザは、ユーザーが有害なサイトにアクセスした場合、マルウェアやデータ漏洩の危険性がある。ブラウザをリモート・サーバーでホスティングすることで、危険なコンテンツがユーザーのデバイスから離れて格納されるため、このリスクが軽減される。

ウェブゲートウェイが統合されたことで、remote browser isolation 、数多くの利点がある：

1. セキュリティ強化：デバイスからウェブブラウジングを分離し、悪意のあるコードをブロックします。
2. ゼロデイ攻撃対策：制御されたオフサイト・ブラウジングにより、パッチ未適用の脅威を寄せ付けません。
3. 攻撃サーフェスの削減：ブラウジング環境とローカルマシンを分離することで、ハッカーの潜在的な侵入口を減らします。

全体として、remote browser isolation とウェブゲートウェイを組み合わせることで、ウェブベースの危険から強固に保護し、安全なブラウジングを提供し、新たな脅威を阻止し、攻撃の可能性を減らし、監視を合理化し、レガシーシステムの使用を強化する。

上級Data Loss Prevention

次世代 Secure Web Gateway(SWG）の重要な構成要素は、高度な Data Loss Prevention(DLP）機能との統合である。組織は、機密データがクラウドのどこに保存され、使用され、共有されているかを可視化することができず、データが規制に準拠していることを確認する必要があります。

DLPはこのような可視性のギャップを明らかにし、従業員に全範囲のデータ保護を提供します。また、アクセスポリシーとDLPポリシーを実施し、クラウドデータを暗号化することで、企業はFISMA、HIPAA、GLBA、PCI DSS、SOXなどの規制に準拠し続けることができます。

デジタルトランスフォーメーションにより、ユーザーはクラウド上のアプリケーションにアクセスし、どこにいてもデータにアクセスする必要がある。つまり、データはもはやすべてオンプレミスのデータベースや企業ネットワーク内のサーバーにネットワーク内で保存されているわけではないのだ。データがクラウドに移行し、広範なアクセスが求められるようになると、このような機密データを保護することが難しくなる。

そこで活躍するのが高度なDLP機能です。UEBA（User Entity and Behavior Analytics）、コンテンツスクリーニング、メールプロセスから収集した情報を組み合わせることで、高度なDLP機能は誤検知の有効性を高め、専有データの不正共有を防止します。さらに、統合DLPは、クラウド、プライベートアプリケーション、Web、エンドポイントにまたがるデータを保護するために、データの分類を一度だけ設定する機能を提供します。また、データプライバシー侵害につながる意図的・非意図的な行為を検出することもできます。

粒度とポリシー・コントロール

ウェブゲートウェイは、カテゴリ基準とURLレピュテーションを利用して、URLをブロックするか許可するかを決定する。これら2つの要素は、ユーザーのブラウジング体験のセキュリティと完全性を保証するのに役立ちます。

カテゴリー基準とは、さまざまなタイプのウェブサイトに割り当てられる、あらかじめ定義されたカテゴリーやグループのこと。このようなカテゴリの例としては、ソーシャルメディア、ニュース、エンターテイメント、ショッピング、ゲームなどがあります。各ウェブサイトは、そのコンテンツと目的に基づいて評価され、1つまたは複数の関連カテゴリに割り当てられます。

ウェブゲートウェイは、分類されたURLの包括的なデータベースにアクセスし、要求されたURLをこの分類と比較します。要求されたURLが、組織のポリシーに基づいて制限または禁止されているとみなされる分類に該当する場合、ウェブゲートウェイはその特定のURLへのアクセスをブロックすることができます。

一方、URLレピュテーションは、過去の行動や関連性に基づく特定のURLの評判に関するものである。ウェブサイトには、その信頼性と安全性を示すレピュテーションスコアを割り当てることができます。これらのスコアは、ウェブサイトの年齢、ホスティングの場所、マルウェアの存在、フィッシング活動への関与などを分析するような様々な要因を通じて決定されます。高い評価スコアは安全で信頼できるウェブサイトを示し、低い評価スコアは潜在的な危険を示唆します。

カテゴリー基準とURLレピュテーションの組み合わせにより、ウェブゲートウェイはURLをブロックすべきか許可すべきかを効果的に判別することができる。しかし、ユーザーは依然として有害なウェブサイトに対して脆弱であり、これはカテゴリだけでは最新の脅威からの保護を保証できないためである。例えば、「クラウド・ストレージ」カテゴリーに分類される2つのウェブサイト、FakeA.comとFakeB.comを考えてみよう。この2つのクラウド・ストレージ・ウェブサイトは、同じカテゴリーを共有しているだけで、他には何も共有していない。FakeAは米国でホストされ、データは暗号化され、プロバイダーとIPを共有している。逆に、FakeBはEUでホストされており、静止時のデータは暗号化されておらず、GDPRに準拠しており、パブリックIPを所有している。このように、現実には両者は全く異なるものであり、どちらを使うかは組織のセキュリティとポリシーにとって重要な意味を持つ。これらの洞察はクラウド・レジストリから得られたものだ。しかし、まずはシャドーITとは何かを理解しよう。

	フェイクエー・ドットコム	フェイクビー・ドットコム
Category	一般ニュース	一般ニュース
Data at rest	暗号化されていない	暗号化
Compliancy	クラウド法	GDPR
Intellectual property	顧客所有	サービス・プロバイダーが所有

「シャドーIT」とは、組織内で未承認または未承認のWebアプリケーションやサービスを使用することを指します。Webトラフィックの文脈では、従業員が自社のIT部門や情報セキュリティ・ポリシーによって公式に承認されていないWebサイト、アプリケーション、クラウド・サービスを利用することを指す。

シャドーITとは、従業員が適切な承認を得ずに外部のウェブサービスを利用することである。その理由は様々で、特定の業務上の課題を解決するため、生産性を向上させるため、あるいは単にこれらのサービスの方が便利で効率的だから、などである。WebトラフィックにおけるシャドーITの例としては、従業員が個人的な電子メールアカウント、ファイル共有プラットフォーム、または組織が公式に承認していないプロジェクト管理ツールを使用することなどが考えられる。

シャドーITによって解決される主な懸念は、それがもたらす潜在的なセキュリティリスクである。未承認のウェブサービスを利用することで、従業員は知らず知らずのうちに組織の機密データを脆弱性、データ漏洩、サイバー脅威にさらす可能性がある。これらのサービスには通常、組織が承認したツールによって実装された強固なセキュリティ対策がないため、サイバー攻撃の標的になりやすい。

シャドーITのもう一つの利点は、可視性、管理、説明責任を得ることである。組織は、データ・プライバシー、法規制の遵守、全体的な情報セキュリティを確保するために、ウェブ・トラフィックに対する適切なコントロールとガバナンスを維持するために、IT部門に大きく依存している。シャドーITは、IT部門が利用されている外部サービスを熟知しており、関連するリスクを効果的に監視または軽減できるため、こうした取り組みを強化する。

このような課題に対処するため、先進的なウェブゲートウェイはシャドーITを利用し、コンテンツとポリシーのコンプライアンスに従ってウェブサイトをリアルタイムで監視・識別します。コンプライアンス違反のウェブサイトが検出されると、自動的にブロックされ、従業員の集中力とコンプライアンスが維持されます。これは、クローズドループ・リメディエーションと呼ばれます。シャドーITには、6つの柱に分かれた56以上の基準が含まれています。データ、ユーザーとデバイスの認証、ホスティングサービス、ビジネス、リーガル、サイバーリスクの管理方法について、ウェブサイトごとに詳しく説明します。

要約すると、次世代ウェブゲートウェイを活用することは、この最新のクラウド世界において、生産性とポリシー遵守のバランスを取るための効果的な戦略です。この最新のアプローチでは、特定のウェブサイトへのアクセスをブロックし、従来のウェブゲートウェイの2つの基準だけでなく、56以上の基準に基づいてデータ漏洩を防止することで、注意散漫を防ぎ、サイバー脅威から保護します。

結論

従来のウェブゲートウェイは、すべてのトラフィックを平等に扱い、ウェブ利用に対する制限された制御を提供していました。次世代のウェブゲートウェイは、より高度な粒度とポリシー制御を提供します。管理者は、データ管理、ビジネスタイプ、ユーザー認証、デバイス認証に基づいてポリシーを定義し、適用することができます。このきめ細かな制御により、各ユーザーに適切なレベルのアクセスが確実に付与され、セキュリティと生産性が向上します。

結論として、レガシー・ウェブ・ゲートウェイから次世代ウェブ・ゲートウェイへの移行は、サイバーセキュリティの実践における進化を意味する。レガシー・ソリューションは一定レベルの保護を提供するものの、刻々と変化するデジタル環境に直面すると、その保護機能は不足する。

レガシー・ウェブ・ゲートウェイから次世代ウェブ・ゲートウェイへの移行を決めたら、何から始めればよいのでしょうか？どのように Skyhigh Securityセキュリティ・インフラストラクチャを近代化し、脅威を検知するための高度なアプローチを実現する方法をご覧ください。

ブログへ戻る