SWG(Secure Web Gateway)とは
SWG(Secure Web Gateway)の必要性や活躍する場面、ゼロトラストにおけるSWGの役割までをわかりやすく解説します。
SWG(Secure Web Gateway)とは
SWGとはSecure Web Gatewayの略でエンドポイントから社外ネットワークへの通信を監視し、組織にとって脅威となる通信をフィルタリングするセキュリティソリューションの一種で、プロキシとして振る舞います。インターネットへのアクセス経路にSWGが存在することで、アクセス元が社内・社外であるかを問わず、エンドポイントからインターネットへの通信の安全性を確保できます。
本記事ではSWGがなぜ必要なのかについて、現在被害が増加している「ランサムウェア」への対策や、ゼロトラストネットワークの実現といったトピックと合わせて解説します。
SWGがなぜ必要か
従来、社内ネットワークからインターネットやクラウドサービスへアクセスする際には、社内やデータセンター内に設けられたゲートウェイを経由していました。しかし近年、クラウドの利用機会が増えるに従い、社外向けのトラフィックが増加するという問題が起きています。これはネットワークの帯域の圧迫や、ゲートウェイへの負荷増加という問題を引き起こしており、通信の遅延にも繋がっています。
この問題の解決策としては、ネットワークの帯域の拡大や、ネットワーク機器の増強といった手段が考えられます。しかしインフラの増強は、初期費用や運用費用の問題もあり、実現が難しいこともあります。また仮にインフラを増強したとしても、今後さらにトラフィックが増加した場合、さらなる増強が必要となり、結果として問題が解決しない可能性もあります。
そこで考えられるのが、インターネットブレイクアウト(ローカルブレイクアウトとも言う)というアプローチです。これはゲートウェイを介さず、各端末が直接インターネットに接続する方法です。トラフィックがゲートウェイを経由しなくなるため、ゲートウェイへの負荷増加やそれに伴う通信遅延といった問題を解消することができます。しかしながら、インターネットブレイクアウトにも課題があり、ゲートウェイへの負荷増加という問題は解消するものの、各端末がゲートウェイを通さず、直接インターネットに繋がることになるため、セキュリティが担保されなくなります。
通信を一箇所で管理するとインフラの負荷が高くなり、一方で、端末からインターネットへの直接の通信を許可するとセキュリティを担保できなくなるというこのジレンマを解決するのがSWGなのです。
SWGは社外へのネットワークアクセスのすべてを中継し、その通信内容をチェックします。このため、インターネットブレイクアウトのような接続方法であったとしても、セキュリティ対策をとることができます。テレワークやハイブリッドワークといった働き方の多様化によって、社内ネットワークを介さないケースも増えてきていますが、SWGはこういったケースもカバーできるセキュリティ対策と言えるでしょう。
SWG が防ぐ「ランサムウェア」の被害
独立行政法人情報処理推進機構(IPA)が公開している「情報セキュリティ10大脅威 2024」によると、組織編の第1位に「ランサムウェアによる被害」がランクインしています。SWGは、このランサムウェアによる被害への対応策としても有効です。なおランサムウェアについて詳しくは、「ランサムウェアとは」を参照してください。
ランサムウェアの攻撃手法の1つとして、送られてきたメールに記載してあるURLをクリックし、意図せず悪質なサイトに誘導された結果、ランサムウェアに感染してしまうというケースがあります。一般的にSWGは、インターネットへの通信をフィルタリングする機能を備えているため、アクセスしようとしているサイトをSWGがチェックし、もしも悪意のあるサイトだと判断した場合は、その通信をブロックします。これにより、悪意のあるサイトへの意図しないアクセスを未然に防ぐことが可能です。
また最近のWebサイトはSSL/TLSを用いてEnd to Endの暗号化がなされているのが一般的です。通信経路が暗号化されている場合、従来のファイアウォールなどでは通信の中身をチェックできないため、悪意のある通信を防ぐことができません。一方SWGでは、暗号化された通信を経路上で一度復号し、内容の確認、検査を行います。これによって、攻撃経路がSSL/TLSで暗号化されていたとしてもブロックが可能となり、ランサムウェアへの感染などを防ぐことができます。
ゼロトラストとしてのSWG
従来の社内ネットワークは、いわゆる「境界型防御」の考えに基づいてセキュリティ対策が行われてきました。これはネットワークを社内と社外に境界で分け、境界外部から社内への侵入をファイアウォールやプロキシサーバーなどを使って防ぐことで、社内ネットワークは安全で信頼されるものとして扱う考え方です。そして境界型防御では、社外から社内への通信はファイアウォールなどで十分に防御するものの、社内から社外への通信については、ユーザーやシステムによる外部リソースへのアクセスを必要以上に許可するなど、セキュリティポリシーが甘いケースが散見されます。例えば市販のファイアウォール製品も、デフォルトで外向きの通信はすべて許可する設定になっていることも珍しくありません。
近年ではクラウドサービスの利用機会の増加やテレワークの普及などにより、ネットワークを単純に社内と社外に分けることが難しくなってきています。つまり境界型防御の考え方では、十分なセキュリティ対策が行えなくなってきているのです。そこで、境界型防御にかわるセキュリティモデルとして提唱されているのが「ゼロトラスト」です。
ゼロトラストの大前提として、「何も信用しない(=ゼロトラスト)」という考え方があります。これまでの境界型防御では暗黙的に信用していた、ネットワーク境界の内側であっても、ゼロトラストでは信用しません。そのため社内ネットワークに閉じた通信であっても、リクエストの度に身元の確認と権限の検証を行います。そしてSWGが行う「社外ネットワークへのアクセスの監視」とは、まさに「ゼロトラスト」の考え方に基づいています。
SWGはゼロトラストにおける「社外ネットワークとのセキュアなアクセス」についての役割を担っており、具体的には以下のような機能を提供します。
- すべての内向き、外向きの通信を検査し、悪意のある活動や不適切なコンテンツをフィルタリングする「トラフィックの検査とフィルタリング」
- ユーザーがアクセスできるウェブアプリケーションを制御し、ポリシーに基づいたアクセスを提供する「アプリケーションの制御」
- データ漏洩防止(DLP)機能を通じて、機密情報が不正に外部に送信されるのを防ぐ「データ保護」
- ユーザーの身元を確認し、適切なアクセス権を付与する「認証とアイデンティティ管理」
SWGはトラフィックの検査やポリシーに基づいたアクセス制御などによりセキュリティを強化し、社内と社外の脅威から組織を保護します。ゼロトラストの実現において、重要な要素だと言えるでしょう。
富士通がご提供するSWG
富士通では「Zero Trust Network powered by Zscaler」を提供しています。本サービスを利用することで、企業内の全端末からのインターネットアクセスが集約され、共通のセキュリティポリシーを適用できるようになります。これにより、脅威レピュテーションやファイアウォールなど、高度なセキュリティ統制がより強化されたIT環境を実現します。
お問い合わせ・ご相談
当社はセキュリティ保護の観点からSSL技術を使用しております。