セキュアWebゲートウェイ (SWG)
セキュアWebゲートウェイ (SWG) とは

セキュアWebゲートウェイ (SWG) は、企業と規制当局のポリシーを順守しながら、ユーザーが開始したインターネットトラフィックを仲介し、疑わしいWebアプリケーションやマルウェアをフィルタリングするセキュリティソリューションです。 

目次
    SWG図の機能。
    SWG図の機能。
    画像をタップして拡大する

    SWGの説明

    Gartner%3Ca%20href%3D%22https%3A%2F%2Fwww.gartner.com%2Fen%2Finformation-technology%2Fglossary%2Fsecure-web-gateway%22%20target%3D%22_blank%22%20external-link%3D%22true%22%20data-analytics-region-id%3D%22footnote_tip%7Clink_click%22%3Ehttps%3A%2F%2Fwww.gartner.com%2Fen%2Finformation-technology%2Fglossary%2Fsecure-web-gateway%3C%2Fa%3Eは、SWGの定義を、ユーザーが開始した Web/インターネットトラフィックから不要なソフトウェア/マルウェアをフィルター処理し、企業および規制当局のポリシーコンプライアンスを強化するソリューションとしています。

    どこからでも仕事ができるようになった結果、従業員は社外ネットワーク経由で接続する際に、チェックや制限なしにインターネットを利用できるようになります。これにより、企業は一連のクリティカルなセキュリティ上の課題に直面することになります。セキュリティチームは、従業員のデバイスを通してやり取りされるWebアクティビティをスキャンし、強力なセキュリティポリシーを導入して、企業のデバイスとデータをあらゆる種類のサイバー攻撃から保護する必要があります。SWGは、従業員が生成したWebトラフィックを監視してあらゆる種類の悪意のあるアクティビティを検出することにより、このセキュリティ上の課題を解決します。SWGは、オンプレミス/エージェントベースまたはクラウドベースのソリューションであり、従業員/ユーザーとインターネットの間に位置し、悪意のあるWebサイトへのアクセスや、マルウェアおよびその他のウイルスのダウンロードから従業員/ユーザーを保護します。企業がインターネットアクセスにゼロトラストを適用し、規制順守を確認するのに役立ちます。

    ソリューションがSWGとして認定されるためには、少なくともURLフィルター処理、マルウェアおよびウイルス対策スキャン、一般的なWebベースアプリケーションの制御といった基本機能を備えている必要があります。

    今すぐ視聴してSWGを理解しましょう

    SASEにおけるSWGの位置付け

    2019年にGartner社が、SD-WAN機能にクラウド配信型セキュリティサービスエッジ (SSE)を組み合わせた、SASE (Secure Access Service Edge) という用語を提唱しました。SSEは、セキュアWebゲートウェイ (SWG) を中核機能とする主要なセキュリティサービスで構成されています。SSEを使用すると、企業はすべてのアプリケーションへのアクセスを保護できますが、SWGを使用すると、特に、企業は世界中の全従業員のインターネットおよびWebアクセスを保護でき、SASEのセキュリティビジョンの一部を実現できます。

    SWGの動作図。
    SWGの動作図。
    画像をタップして拡大する

    SWGを検討すべき理由

    ハイブリッドワークプレイスモデルの導入が加速すると、従業員はオフィスでの作業やセキュアな企業ネットワーク上のデータやアプリケーションへのアクセスに限定されなくなります。従業員は、あらゆる種類のセキュリティ保護されていないネットワーク上で企業デバイスを使用し、従来のネットワークセキュリティ制御を超えるチェックや制限なしにインターネットにアクセスできます。この抑制の効かないアクセスにより、ハッカーやサイバー犯罪者が企業デバイスを攻撃し、マルウェアやランサムウェアをインストールし、企業のサーバーに侵入するための膨大な数のタッチポイントが開かれ、想像を絶する経済的損害や知的財産の侵害が発生します。SWGは、ユーザーからのWebトラフィックを傍受し、悪意のあるWebサイトへのアクセスを制限することで、ゼロトラストセキュリティをインターネットに拡張し、データ侵害による損失を最小限に抑えるのに役立ちます。

    SWGは、従業員またはユーザーのデバイスからインターネットへのトラフィックを監視し、あらゆる種類の悪意のあるアクティビティをチェックし、企業、業界、または政府の規制ポリシーに従ってアクセスをブロックまたは制限します。たとえば、企業は従業員によるギャンブルやマルウェアのWebサイト、その他の悪意のあるコンテンツへのアクセスを制限し、ソーシャルメディアのトラフィックを許可することができます。マルウェア、ランサムウェア、その他のサイバー攻撃に対するこのリアルタイム保護により、企業はサイバー脅威を心配することなくハイブリッドワークをサポートできます。

    SWGの機能

    SWGの形態としては、ユーザーのデバイスに展開されるエージェントベースのソリューション、あるいはクラウドネイティブがあります。クラウドネイティブの場合、従業員デバイスとの間で送受信されるすべてのWebトラフィックを仲介し、安全性とコンプライアンスをリアルタイムでチェックできます。SWGは、ユーザーがWebアプリケーションにアクセスしようとするとすぐに動作を開始し、次の方法でセキュリティを確保します。

    • DNS/URLフィルター処理: DNSクエリを傍受して、既知の悪意あるサイトを登録した随時更新されるデータベースと照らし合わせてURLを分析します。一致が検出されると、当該サイトへのアクセスがブロックされ、潜在的なセキュリティ侵害が防止されます。 
    • 脅威インテリジェンス保護: 各サイトのコンテンツ、ドメインの詳細、評判スコアを評価します。疑わしい、または悪意のある特性を持つサイトは制限されるため、サイバー脅威のリスクが軽減されます。 
    • インターネットアクセス向けDLP: 機密データに該当するものを定義するデータセキュリティプロファイルを使用して、正規表現パターンマッチングにより当該プロファイルに一致するデータをスキャン、検出します。一致が検出されると、事前定義されたアクションが実行され、データフローが制御され、データ漏洩のリスクが軽減されます。 
    • マルウェアとウィルス対策スキャン: ファイルとデータパケットは、マルウェアに関連することが判明している署名ハッシュを登録したデータベースに対してスキャンされます。ハッシュ一致が検出されると、ファイルは悪意のあるファイルとしてフラグが付けられ、脅威を無力化するための適切なアクションが実行されます。 

    SWGの仕組み

    1. オフィスまたはモバイルの従業員がインターネットへのアクセスを試みる: トラフィックは、SWGまたはSSE (SWGがSSEの一部として配信される場合) エージェントを介して最も近いエッジロケーションに自動的にルーティングされます。

    2. トラフィックのプロキシと検査: トラフィックはインターネット宛てであると識別され、SWGサービスクラウドに送信されます。

    3. IDを検証し、ポリシーを適用する: URL/DNSフィルタリング、脅威保護、マルウェアスキャン、サンドボックス、クラウドファイアウォールなどのセキュリティ制御を適用して、既知の悪意ある危険なサイトへのアクセスをブロックします。

    4.  ユーザーをインターネットリソースにスムーズに接続する: アクセス制御が適用され、インターネットリソースがセキュリティ要件を満たすと、暗号化された安全なインターネット接続がユーザーに提供されます。

    5.  継続的に制御し、ユーザーエクスペリエンスを監視する: セキュリティポスチャが変化すると、アクセスは自動的に切断されます。管理者はアクティビティを確認し、強力なアクセスパフォーマンスを確保できます。

    SWGおよびHPE

    HPE Aruba Networking SWGは、あらゆる職場でインターネットへのアクセスを簡単かつ安全に保護できるように設計された、次世代のセキュアなWebゲートウェイサービスです。このクラウドサービスは、組織のモバイルユーザー、オフィス、ブランチ、オープンインターネット間のセキュリティブローカーとして機能します。

    HPE Aruba Networking SWGは、インターネットへの接続を自動仲介するプロキシアーキテクチャーにより、スムーズなSSLトラフィック検査を提供します。このSWGサービスは調整可能なアクセス制御を提供し、インターネットおよびSaaSアクセスにゼロトラストを適用しながら、ユーザーを脅威から保護します。さらにデータ保護機能も含まれており、ユーザーアクティビティを可視化し、インラインDLP制御を適用してデータ漏洩を防止します。SWGサービスは、脅威インテリジェンス保護、マルウェアおよびウイルス対策スキャン、クラウドファイアウォール機能、リアルタイムサンドボックスにより、高度な攻撃の容易な検出と防御も可能にします。

    HPE Aruba Networking SWGのメリット

    • 可視性と制御: 組織全体のインターネットトラフィックとユーザーアクティビティを包括的に可視化します。これにより、Webアクセスの詳細な監視と制御が可能になり、規制要件に準拠したセキュアなトラフィックのみが許可されます。HPE Aruba Networking SWGは、許容される使用ポリシーの強制適用を支援し、悪意のあるWebサイトや不適切なWebサイトへのアクセスを防止します。
    • データ保護: 送信トラフィックに機密情報が含まれていないか検査し、データ保護ポリシーに違反している場合はそのような送信をブロックすることで、機密データが漏洩したり、権限のないエンティティによってアクセスされたりするのを防ぎます。規制要件へのコンプライアンスを維持し、知的財産を保護するためには、この機能は不可欠です。
    • 検出と防止: マルウェア、フィッシング攻撃、その他のインターネットベースの攻撃を含む、さまざまなサイバー脅威を識別してブロックできる高度な脅威検出機能を備えています。HPE Aruba Networking SWGはWebトラフィックを分析して、こうした脅威がユーザーに到達したり、ネットワークを侵害したりするのを防止できます。
    • セキュリティ対策の拡張: 組織が成長し、運用が拡大するにつれて、規模を拡大して、すべてのユーザーと全拠点で一貫したセキュリティを提供できます。従業員がオフィスで作業している場合でも、リモートで作業している場合でも、クラウドサービスを使用している場合でも、SWGは同じレベルのセキュリティを適用し、トラフィックの発生元やユーザーの所在地に関係なく脅威から保護します。

    関連する製品、ソリューション、サービス

    HPE Aruba Networking SSE

    Security Service Edge (SSE) の採用により、すべてのユーザー、デバイス、アプリケーションが、どこからでもシームレスでセキュアにアクセス可能な環境を構築できます。

    詳細はこちら

    HPE Aruba Networking EdgeConnect SD-WAN

    ハイブリッドクラウドに必要な接続性とセキュリティを両立させるセキュアなSD-WAN SASEソリューションにより、場所を問わないデータアクセスを実現できます。

    詳細はこちら

    関連トピック

    SSE (セキュリティサービスエッジ)
         ゼロトラストネットワークアクセス (ZTNA)
         セキュアアクセスサービスエッジ (SASE)