次世代セキュアWebゲートウェイに期待すること

マイケル・シュナイダー - シニアマネージャー、プロダクトマネジメント、Skyhigh Security

2022年4月29日 5 分で読めます

ヘンリー・フォードの組立ラインから最初のユニットが送り出されて以来、1世紀以上にわたる技術革新を経て、自動車と交通は、T型フォードの時代とはほとんど共通点がありません。この進化は、社会が人々をA地点からB地点へ移動させるという結果を達成するためのより良い方法を見つけるにつれて、今後も続くでしょう。

Secure Web Gateway (SWG) ははるかに短い期間で運用されてきましたが、同様に劇的な進化を遂げてきました。SWGは依然として、ユーザーがインターネット上の安全でない、またはコンプライアンスに準拠しない領域から保護されることを主に重視していますが、クラウドとリモートワークの世界への移行は、従来のSWGでは対応できない新たなセキュリティ課題を生み出しました。ますます分散化され危険な世界で、ユーザーが安全に活躍できるよう支援できる次世代のSWGが求められています。

これまでの経緯

Secure Web Gateway (SWG) は元々、URLフィルタリングソリューションとして始まりました。これにより、組織は従業員のウェブブラウジングが企業インターネットアクセスポリシーに準拠していることを確認できました。

その後、URLフィルタリングは企業ファイアウォールの背後にあるプロキシサーバーへと移行しました。プロキシはユーザーからのトラフィックを終端し、目的のウェブサイトへの接続を完了するため、セキュリティ専門家は、既存のブラックリストとURLを比較するだけよりも、より徹底した検査を実行できる可能性をすぐに認識しました。アンチウイルスやその他のセキュリティ機能を組み込むことで、「Secure Web Gateway」は現代のセキュリティアーキテクチャの重要な部分となりました。しかし、従来のSWGがこの役割を果たすことができるのは、すべてのインターネットトラフィックのボトルネックであり、各企業ネットワーク境界のエッジに位置し、リモートユーザーがVPNまたはMPLSリンクを介してそのネットワークを「ヘアピン」バックする場合に限られました。

次世代 Secure Web Gateway

クラウドとリモートワークの世界への移行は、従来の境界ベースのSecure Web Gateway (SWG) に新たな負担をかけています。ユーザーは現在、さまざまなデバイスから事実上あらゆる場所からITインフラストラクチャと接続されたリソースに直接アクセスできます。そして、それらのリソースの多くは、もはや企業サーバー上のネットワーク境界内に存在しません。

この目覚ましい変革は、データと脅威保護の要件も拡大させ、セキュリティチームは、多くの新たな高度な脅威とコンプライアンスの課題に取り組むことになりました。残念ながら、従来のSecure Web Gateway (SWG) は、この進化する脅威の状況に追いつくことができず、分散型ワークフォースの可能性を十分に引き出せない非効率なアーキテクチャとなっています。

現在、ほぼすべての主要な情報漏洩は、静的エンジンでは阻止できない高度な多層ウェブコンポーネントを伴います。従来のSWGアプローチでは、マルウェアサンドボックスを含むセキュリティインフラストラクチャの他の部分と連携していました。しかし、脅威がより高度かつ複雑になるにつれて、このアプローチではパフォーマンスが低下したり、脅威の侵入を許したりする結果となりました。ここでRemote Browser Isolation (RBI) が、高度な脅威防御にパラダイムシフトをもたらします。RBIがSWGトラフィック検査の不可欠なコンポーネントとして実装されると、ランサムウェア、フィッシング攻撃、その他の高度なマルウェアに対するリアルタイムのゼロデイ保護を提供し、最も洗練された脅威でさえブラウジング体験を妨げることなく侵入を防ぐことができます。

ほとんどの従来のSWGにおけるもう1つの問題は、高度なデータ保護とクラウドアプリのインテリジェンスが不足しているため、分散されたユーザーからクラウドアプリへ流れるデータを十分に保護できないことです。クラウドアプリの性質を理解し、進化するセキュリティ要件に対応できるほど高度なData Loss Prevention (DLP) テクノロジーがなければ、組織はSWGソリューションにデータ保護のギャップを見つけ、リスクに対して脆弱なままになる可能性があります。

最後に、クラウドアプリケーションの問題があります。クラウドアプリケーションは従来のウェブサイトと同じインターネット上で動作しますが、従来のSecure Web Gateway (SWG) では理解できない根本的に異なる方法で機能します。Cloud Access Security Broker (CASB) は、クラウドアプリケーションに対する可視性と制御を提供するように設計されています。そして、Secure Web Gateway (SWG) が包括的なCASBアプリケーションデータベースと高度なCASB制御にアクセスできない場合、クラウドに対して実質的に盲目となります。統合されたCASB機能を備えたクラウド対応のSecure Web Gateway (SWG) だけが、すべてのウェブサイトとクラウドアプリケーションにデータ保護を拡張し、組織とそのユーザーが高度な脅威からより適切に保護されるようにすることができます。

次世代 Secure Web Gateway に求められるもの

次世代SWGは、Security Service Edgeアーキテクチャの実装を簡素化し、安全なクラウド導入を加速するのに役立つはずです。同時に、高度な脅威防御、統合されたデータ制御を提供し、リモートおよび分散型ワークフォースを効率的にサポートする必要があります。

いくつかのユースケースをご紹介します。

• 99.999%の可用性を提供するダイレクトクラウドアーキテクチャでリモートワークフォースを可能にします。各国や各州が外出禁止令を徐々に解除するにつれて、多くの組織は、リモートで分散したワークフォースをサポートすることが新たな常態となる可能性が高いと示しました。リモートワーカーの生産性を維持し、データを保護し、エンドポイントを保護することは、時に非常に困難な場合があります。次世代SWGは、今日のリモートワークフォースと分散型デジタルエコシステムをサポートするためのスケーラビリティとセキュリティを組織に提供する必要があります。クラウドネイティブアーキテクチャは、可用性を確保し、レイテンシを低減し、チームがどこで作業していてもユーザーの生産性を維持するのに役立ちます。真のクラウドグレードサービスは、常にファイブナイン（99.999%）の可用性を提供すべきです。
• 管理の複雑さを軽減し、コストを削減 – 今日、クラウド導入の増加に伴い、トラフィックの80%以上がインターネット向けとなっています。高価なMPLSリンクを必要とする従来の「ハブアンドスポーク」アーキテクチャにインターネットトラフィックをバックホールすることは、非常にコストがかかる可能性があります。トラフィックが急増するとネットワークは停止し、リモートワーカー向けのVPNは効果がないことが証明されています。次世代SWGは、SASEフレームワークをサポートし、高価なMPLSリンクの必要性を減らすことで総運用コストを削減するダイレクトクラウドアーキテクチャを提供する必要があります。SaaSデリバリーモデルにより、次世代SWGはハードウェアインフラストラクチャの展開と維持の必要性を排除し、ハードウェアコストと運用コストを削減しながら、パフォーマンス、信頼性、スケーラビリティを向上させます。
• ビジネスを妨げずにデータをロックダウン – 今日、95%以上の企業がクラウドサービスを利用していますが、クラウドでDLPルールを適用できる企業はわずか36%に過ぎません。さらに、ほとんどの従来のSWGは、高度なデータ保護とクラウドアプリのインテリジェンスの欠如により、分散されたユーザーからクラウドアプリケーションへ流れるデータを十分に保護できません。次世代SWGは、組み込みのData Loss Preventionテンプレートとインラインのデータ保護ワークフローにより、制限されたデータが組織外に流出するのを防ぐ、より効果的な保護適用方法を提供すべきです。デバイスからクラウドへのデータ保護は、エンドポイント、ユーザー、クラウド、ネットワーク全体にわたる包括的なデータ可視性と一貫した制御を提供します。組み込みのDLPテクノロジーにより、次世代SWGは、組織が企業セキュリティポリシー、業界および政府規制への準拠を確保します。
• 既知および未知の脅威から防御 – ウェブが成長し進化し続けるにつれて、ウェブ由来のマルウェア攻撃も、従来のSWGが提供できる保護を超えて成長し進化しています。ランサムウェア、フィッシング、その他の高度なウェブベースの脅威は、ユーザーとエンドポイントを危険にさらしています。次世代SWGは、グローバル脅威インテリジェンスやサンドボックス化を含む、最も高度な統合セキュリティ制御を備えているべきであり、最も高度な脅威でさえ侵入できないようにします。連携して機能する脅威防御ソリューションを備えた次世代SWGは、分離されたトラフィックと非分離のトラフィック全体で一貫したポリシー、データ保護、可視性を確保できます。次世代SWGは、未知の脅威がエンドポイントに到達するのを防ぐために、統合されたRemote Browser Isolationも含むべきです。

Secure Web Gateway (SWG) は、単なるURLフィルタリングデバイスから、クラウドの安全かつ迅速な導入を促進するために不可欠な存在へと、明らかに大きく進化しました。しかし、私たちはさらに一歩踏み込む必要があります。デジタルトランスフォーメーションは、それ以下のものを許容しません。

ブログへ戻る