次世代セキュアWebゲートウェイに期待すること

2022年4月29日

マイケル・シュナイダー - プロダクト・マネージメント、シニア・マネージャー、Skyhigh Security

ヘンリー・フォードの組み立てラインから最初の1台が運び出されてから100年以上の技術革新の後、自動車や交通機関はT型時代とほとんど共通点がありません。この進化は、「A地点からB地点へ移動する」という目的を達成するために、社会がより良い方法を見つけることで続いていくでしょう。

セキュア・ウェブ・ゲートウェイ（SWG）は、これまでよりはるかに圧縮されたスケジュールで運用されてきましたが、同様の劇的な進化が起きています。しかし、クラウドやリモートワークの世界への移行は、従来のSWGでは対応しきれない新たなセキュリティ課題を生み出しました。分散化が進み、危険な世界でもユーザーが安全に活動できるような、次世代のSWGが必要な時期に来ています。

私たちはどのようにしてここにたどり着いたのか

SWGは、当初、従業員のウェブ閲覧が企業のインターネット接続ポリシーに適合していることを確認するためのURLフィルタリングソリューションとしてスタートしました。

URLフィルタリングはその後、企業のファイアウォールの背後にあるプロキシサーバーに移行した。プロキシはユーザーからのトラフィックを終端し、目的のウェブサイトへの接続を完了させるため、セキュリティ専門家は、URLを既存のブラックリストと比較するだけでなく、より徹底的な検査を実行できる可能性をすぐに見出した。アンチウイルスやその他のセキュリティ機能を組み込むことで、「Secure Web Gateway」は現代のセキュリティ・アーキテクチャの重要な一部となった。しかし、従来のSWGがこのような役割を果たせたのは、それがすべてのインターネット・トラフィックのチョークポイントであり、すべての企業ネットワークの境界の端に位置し、リモート・ユーザーがVPNやMPLSリンクを経由してそのネットワークを「ヘアピン」して戻ってくる場合だけだった。

次世代型SWG

クラウドとリモートワークの世界への移行は、従来の境界ベースのSWGに新たな負担を強いています。ユーザーは、さまざまなデバイスを使って、事実上どこからでもITインフラや接続されたリソースに直接アクセスできるようになり、これらのリソースの多くは、もはや企業サーバーのネットワーク境界内に存在しない。

このような著しい変革は、データと脅威の保護に対する要件も拡大させ、セキュリティチームは新たに発生した高度な脅威やコンプライアンス上の課題に対処しなければならなくなりました。残念ながら、従来のSWGはこのような脅威の進化に対応することができず、分散した従業員の潜在能力を発揮できない非効率なアーキテクチャになっています。

現在、ほとんどすべての主要な侵害には、静的エンジンでは阻止できない、洗練されたマルチレベルのウェブコンポーネントが関与している。従来のSWGのアプローチは、マルウェア・サンドボックスを含むセキュリティ・インフラの他の部分と連携することだった。しかし、脅威が高度化・複雑化するにつれ、この方法ではパフォーマンスを低下させたり、脅威を通過させたりする結果となっている。そこで、Remote Browser Isolation （RBI）が高度な脅威防御にパラダイム・シフトをもたらす。RBIをSWGトラフィック・インスペクションの不可欠なコンポーネントとして実装することで、ランサムウェア、フィッシング攻撃、その他の高度なマルウェアに対するゼロデイプロテクションをリアルタイムで提供することができ、ブラウジング体験を妨げることなく、最も高度な脅威でさえも通過することができなくなります。

ほとんどの従来のSWGのもう1つの問題は、高度なデータ保護とクラウドアプリのインテリジェンスが欠けているため、分散したユーザーからクラウドアプリに流れるデータを十分に保護できないことだ。クラウドアプリの性質を理解し、進化する安全性の要求に対応できるほど高度なData Loss Prevention （DLP）技術がなければ、企業はSWGソリューションにデータ保護のギャップを見つけ、リスクにさらされ続けることになる。

最後に、クラウド・アプリケーションの問題があります。クラウドアプリケーションは従来のウェブサイトと同じインターネット上で動作しますが、その機能は根本的に異なっており、従来のSWGでは理解することができません。クラウドアクセスセキュリティブローカー（CASB）は、クラウドアプリケーションの可視化と制御を提供するように設計されており、SWGが包括的なCASBアプリケーションデータベースと高度なCASBコントロールにアクセスできない場合、クラウドに対して事実上盲目となります。CASBの機能を統合したクラウドアウェアなSWGでなければ、すべてのウェブサイトとクラウドアプリケーションにデータ保護を拡張することはできず、組織とそのユーザーは高度な脅威からよりよく保護されるようになります。

次世代型SWGに求められるもの

次世代SWGは、Security Service Edge アーキテクチャの実装を簡素化し、セキュアなクラウドの導入を加速するのに役立つはずだ。同時に、高度な脅威保護、統一されたデータ管理、リモートで分散した従業員の効率的な活用を実現する必要がある。

ここでは、その使用例をご紹介します：

• 99.999%の可用性を実現するダイレクト・ツー・クラウド・アーキテクチャで、リモートワークフォースを可能にする。国や州が徐々に避難命令を解除していく中、多くの組織が、リモートで分散した労働力をサポートすることが新たな標準になる可能性が高いと指摘している。リモートワーカーの生産性を維持し、データを保護し、エンドポイントを保護することは、時に圧倒的に難しい。次世代SWGは、今日のリモートワーカーと分散したデジタル・エコシステムをサポートするスケーラビリティとセキュリティを組織に提供する必要がある。クラウド・ネイティブなアーキテクチャは、可用性を確保し、レイテンシーを低減し、チームがどこで作業していてもユーザーの生産性を維持するのに役立ちます。真のクラウドグレードのサービスは、常に5ナイン（99.999%）の可用性を提供する必要があります。
• 管理の複雑さを軽減し、コストを削減- クラウドの導入が進む今日、トラフィックの80%以上がインターネット向けになっています。高価なMPLSリンクを必要とする従来の「ハブ＆スポーク」アーキテクチャにインターネット・トラフィックをバックホールすることは、非常にコストがかかります。トラフィックが急増するとネットワークは停止し、リモートワーカー向けのVPNは効果がないことが証明されている。次世代SWGは、SASEフレームワークをサポートし、高価なMPLSリンクの必要性を減らすことで総運用コストを削減するダイレクト・ツー・クラウド・アーキテクチャを提供する必要があります。SaaSデリバリー・モデルにより、次世代SWGは、パフォーマンス、信頼性、スケーラビリティを向上させながら、ハードウェア・インフラストラクチャの導入と保守の必要性を排除し、ハードウェア・コストと運用コストを削減します。
• ビジネスではなくデータをロックダウンする - 今日、95%以上の企業がクラウドサービスを利用していますが、クラウドでDLPルールを全く実施できていない企業は36%に過ぎません。さらに、ほとんどの従来のSWGは、高度なデータ保護とクラウドアプリケーションのインテリジェンスがないため、分散したユーザーからクラウドアプリケーションに流れるデータを十分に保護することができません。次世代SWGは、Data Loss Prevention の組み込みテンプレートとインラインのデータ保護ワークフローにより、制限されたデータが組織外に流出するのを防ぐ、より効果的な保護方法を提供する必要がある。デバイスからクラウドへのデータ保護は、エンドポイント、ユーザー、クラウド、ネットワークにわたる包括的なデータの可視性と一貫した制御を提供します。DLPテクノロジーを内蔵した次世代SWGは、企業が企業のセキュリティポリシーだけでなく、業界や政府の規制に準拠していることを保証します。
• 既知および未知の脅威からの防御- ウェブが成長・進化し続ける中、ウェブから生まれるマルウェア攻撃もまた成長・進化し、従来のSWGが提供できる保護を超えています。ランサムウェア、フィッシング、その他の高度なウェブベースの脅威は、ユーザーとエンドポイントを危険にさらしています。次世代型SWGは、グローバルな脅威インテリジェンスやサンドボックスなど、最も高度な統合セキュリティ・コントロールを備えている必要があります。連携する脅威防御ソリューションを備えた次世代SWGは、隔離されたトラフィックと隔離されていないトラフィックで一貫したポリシー、データ保護、可視性を確保することができます。次世代SWGは、未知の脅威がエンドポイントに到達するのを防ぐために、統合されたRemote Browser Isolation 。

SWGは、単なるURLフィルタリング装置から、クラウドの安全かつ迅速な導入を促進するために不可欠なものへと、明らかに長い道のりを歩んできました。しかし、私たちはもっともっと限界に挑戦する必要があります。デジタルトランスフォーメーションは、それ以上のものを求めているのです。

ブログへ戻る