レガシーWebゲートウェイと次世代Webゲートウェイ：主な違いを理解する

Mohammed Guermellou - Skyhigh Security ソリューションアーキテクト

2024年6月12日 5 分の読書

絶えず進化するデジタル環境において、サイバーセキュリティは個人および組織にとって最重要課題です。サイバースペースには常に脅威が潜んでおり、機密情報を保護し、安全なオンライン環境を確保するための堅牢な対策を講じることが不可欠です。そのような対策の一つが、潜在的な脅威からインターネットトラフィックを監視・フィルタリングするセキュリティソリューションであるWebゲートウェイの導入です。

しかし、すべてのWebゲートウェイが同じように作られているわけではありません。近年、市場ではレガシーWebゲートウェイから次世代Webゲートウェイと呼ばれる新しい種類のゲートウェイへの移行が見られます。この変化は、現代のデジタル脅威やテクノロジーに適応する必要性から生じています。このブログ記事では、レガシーWebゲートウェイと次世代Webゲートウェイの主な違いを探り、強調します。

脅威検出へのアプローチ

レガシーWebゲートウェイは、主にシグネチャベースの検出技術に依存していました。既知のシグネチャやパターンに基づいて脅威を特定するため、新たな脅威や未知の脅威に対しては効果が低いものでした。一方、次世代Webゲートウェイは、脅威検出に多層的なアプローチを採用しています。行動分析、人工知能、機械学習などの高度な技術を組み込み、既知および未知の脅威をリアルタイムで検出および軽減します。

さらに、Remote Browser Isolation (RBI) は脅威対策に役立ちます。Remote Browser Isolationは、サイバー脅威から保護するためにWebブラウザを隔離された環境で実行する方法です。通常、ユーザーが有害なサイトにアクセスすると、ローカルマシン上のブラウザはマルウェアやデータ侵害に対して脆弱になります。ブラウザをリモートサーバーでホストすることにより、危険なコンテンツがユーザーのデバイスから隔離されるため、このリスクは軽減されます。

Webゲートウェイと統合することで、Remote Browser Isolationは数多くのメリットを提供します。

1. セキュリティの強化: Webブラウジングをデバイスから隔離し、悪意のあるコードをブロックします。
2. ゼロデイ攻撃からの保護: 制御されたオフサイトブラウジングにより、パッチ未適用の脅威を寄せ付けません。
3. 攻撃対象領域の削減: ブラウジング環境とローカルマシンを分離することで、ハッカーの潜在的な侵入経路を減らします。

全体として、Remote Browser IsolationとWebゲートウェイを組み合わせることで、Webベースの危険から堅牢な保護が実現され、安全なブラウジング、新たな脅威の阻止、攻撃機会の減少、監視の合理化、レガシーシステム利用の強化が提供されます。

高度な Data Loss Prevention

次世代のSecure Web Gateway (SWG) の重要なコンポーネントは、高度なData Loss Prevention (DLP) 機能との統合であり、保存データ、使用データ、転送中の機密データを保護します。組織は、クラウド上で機密データがどこに保存され、使用され、共有されているかについての可視性が不足しており、データが規制に準拠していることを確認する必要があります。

DLPはこれらの可視性のギャップを明らかにし、従業員に包括的なデータ保護を提供します。アクセスおよびDLPポリシーを適用し、クラウドデータを暗号化することで、組織はFISMA、HIPAA、GLBA、PCI DSS、SOXなどの規制に準拠し続けることができます。

デジタルトランスフォーメーションに伴い、ユーザーはクラウド上のアプリケーションにアクセスし、どこにいてもデータへのアクセスを必要とします。これは、データがもはや企業ネットワーク内のオンプレミスデータベースやサーバーにすべてネットワーク内に保存されているわけではないことを意味します。データがクラウドに移行し、広範なアクセスが必要になるにつれて、この機密データを保護することがより困難になります。

ここで、高度なDLP機能が重要になります。ユーザーエンティティおよび行動分析 (UEBA)、コンテンツスクリーニング、および電子メールプロセスから収集された情報を組み合わせることで、高度なDLP機能は誤検知の有効性を向上させ、専有データの不正な共有を防ぎます。さらに、統合DLPは、クラウド、プライベートアプリケーション、Web、エンドポイント全体でデータを保護するために、データ分類を一度設定するだけで済む機能を提供します。また、データプライバシー侵害につながる意図的および偶発的な行動を検出します。

粒度とポリシー制御

Webゲートウェイは、カテゴリ基準とURLレピュテーションを利用して、URLをブロックするか許可するかを決定します。これらの2つの要素は、ユーザーのブラウジング体験のセキュリティと完全性を確保するのに役立ちます。

カテゴリ基準とは、さまざまな種類のウェブサイトに割り当てられる、事前に定義されたカテゴリまたはグループを指します。そのようなカテゴリの例としては、ソーシャルメディア、ニュース、エンターテイメント、ショッピング、ゲームなどが挙げられます。各ウェブサイトは、そのコンテンツと目的に基づいて評価され、1つまたは複数の関連カテゴリに割り当てられます。

ウェブゲートウェイは、カテゴリ分けされたURLの包括的なデータベースにアクセスし、要求されたURLをこの分類と比較します。要求されたURLが、組織のポリシーに基づいて制限または禁止されていると見なされるカテゴリに該当する場合、ウェブゲートウェイはその特定のURLへのアクセスをブロックできます。

一方、URLレピュテーションは、特定のURLの過去の挙動と関連性に基づいた評判を指します。ウェブサイトには、その信頼性と安全を示すレピュテーションスコアが割り当てられます。これらのスコアは、ウェブサイトの開設時期、ホスティング場所、マルウェアの有無、フィッシング活動への関与など、さまざまな要因を分析して決定されます。高いレピュテーションスコアは安全で信頼できるウェブサイトを示し、低いレピュテーションスコアは潜在的な危険性を示唆します。

カテゴリ基準とURLレピュテーションの組み合わせにより、ウェブゲートウェイはURLをブロックすべきか許可すべきかを効果的に判断できます。しかし、ユーザーは依然として有害なウェブサイトに対して脆弱であり、これはカテゴリだけでは現代の脅威に対する保護を保証できないためです。例えば、「Cloud Storage」カテゴリに分類されるFakeA.comとFakeB.comという2つのウェブサイトを考えてみましょう。これら2つのクラウドストレージウェブサイトは同じカテゴリに属するだけで、他には何も共通点がありません。FakeAは米国でホストされており、保存データは暗号化され、IPアドレスはプロバイダーと共有されています。対照的に、FakeBはEUでホストされており、保存データは暗号化されておらず、GDPRに準拠しており、独自のパブリックIPを所有しています。ご覧のとおり、実際にはこれらは全く異なり、どちらか一方を使用することによる組織のセキュリティとポリシーへの影響は重大です。これらの洞察はCloud Registryから得られます。しかし、まずShadow ITとは何かを理解しましょう。

	FakeA.com	FakeB.com
Category	一般ニュース	一般ニュース
Data at rest	暗号化されていません	暗号化されています
Compliancy	Cloud Act	GDPR
Intellectual property	顧客が所有	サービスプロバイダーが所有

「Shadow IT」とは、組織内で許可されていない、または承認されていないウェブアプリケーションやサービスの使用を指します。ウェブトラフィックの文脈では、従業員が会社のIT部門や情報セキュリティポリシーによって公式に承認されていないウェブサイト、アプリケーション、またはクラウドサービスを使用することを指します。

Shadow ITは、従業員が適切な承認なしに外部のウェブサービスを利用する際に発生します。彼らは、特定の仕事関連の課題を解決するため、生産性を向上させるため、あるいは単にこれらのサービスがより便利または効率的だと感じるためなど、さまざまな理由でそうする可能性があります。ウェブトラフィックにおけるShadow ITの例としては、従業員が組織によって公式に承認されていない個人のメールアカウント、ファイル共有プラットフォーム、またはプロジェクト管理ツールを使用することなどが挙げられます。

Shadow ITによって解決される主な懸念は、それがもたらす潜在的なセキュリティリスクです。許可されていないウェブサービスを使用することで、従業員は知らず知らずのうちに組織の機密データを脆弱性、データ漏洩、またはサイバー脅威にさらす可能性があります。これらのサービスは通常、組織が承認したツールに実装されている堅牢なセキュリティ対策を欠いており、サイバー攻撃の格好の標的となります。

Shadow ITのもう一つの利点は、可視性、制御、および説明責任を得ることです。組織は、データプライバシー、規制遵守、および全体的な情報セキュリティを確保するために、ウェブトラフィックに対する適切な制御とガバナンスを維持するためにIT部門に大きく依存しています。IT部門が使用されている外部サービスを十分に認識し、関連するリスクを効果的に監視または軽減できるため、Shadow ITはこれらの取り組みを強化します。

これらの課題に対処するため、高度なウェブゲートウェイはShadow ITを活用し、コンテンツとポリシーの遵守状況に基づいてウェブサイトをリアルタイムで監視および特定します。ポリシーに準拠していないウェブサイトが検出されると、従業員の集中とコンプライアンスを維持するために自動的にブロックされます。これはクローズドループ修復と呼ばれます。Shadow ITには、6つの柱に分類される56以上の基準が含まれています。各ウェブサイトがデータ、ユーザーおよびデバイス認証、ホスティングサービス、ビジネス、法務、サイバーリスクをどのように管理しているかについての詳細。

要約すると、次世代ウェブゲートウェイの活用は、この現代のクラウド世界において、生産性とポリシー遵守のバランスを取るための効果的な戦略です。この最新のアプローチは、レガシーウェブゲートウェイのわずか2つの基準ではなく、56以上の基準に基づいて特定のウェブサイトへのアクセスをブロックし、データ漏洩を防ぐことで、注意散漫を防止し、サイバー脅威から保護します。

結論

従来のウェブゲートウェイは、すべてのトラフィックを均等に扱い、ウェブ利用に対する制御が限られていました。次世代ウェブゲートウェイは、より高度な粒度とポリシー制御を提供します。管理者は、データ管理、ビジネスタイプ、ユーザー認証、デバイス認証に基づいてポリシーを定義し、適用することができます。このきめ細かな制御により、各ユーザーに適切なレベルのアクセスが許可され、セキュリティと生産性が向上します。

結論として、レガシーウェブゲートウェイから次世代ウェブゲートウェイへの移行は、サイバーセキュリティの実践における進化を意味します。レガシーソリューションはある程度の保護を提供しますが、絶えず変化するデジタル環境に直面すると不十分です。

レガシーウェブゲートウェイから次世代ウェブゲートウェイへの切り替えを決めたら、どこから始めればよいでしょうか？Skyhigh Securityがお客様のセキュリティインフラストラクチャを最新化し、脅威検出への高度なアプローチを採用するのにどのように役立つかをご覧ください。

ブログへ戻る