セキュアウェブゲートウェイ(SWG)には、これまで大幅な進化が起こってきました。SWGは依然として、ユーザーがインターネットの危険な場所や非準拠の場所から保護されるようにすることに主に焦点を当てています。しかし、クラウドおよびリモートワーキングの世界への移行により、従来のSWGが処理する機能を備えていない新しいセキュリティの課題が生じました。機密情報がますます分散化し危険な状況において、ユーザーが安全にビジネスを推進していくために、次世代のSWGが必要とされています。
目次
これまでの道のり
SWGは実際にはURLフィルタリングソリューションとして開始され、従業員のWebブラウジングが企業のインターネットアクセスポリシーに確実に準拠するようにしました。
その後、URLフィルタリングは、企業のファイアウォールの背後にあるプロキシサーバーに移行しました。プロキシはユーザーからのトラフィックを終了し、目的のWebサイトへの接続を完了するため、セキュリティの専門家は、URLを既存のブラックリストと比較するだけでなく、より徹底的な検査を実行できる可能性をすぐに見出しました。ウイルス対策やその他のセキュリティ機能を組み込むことにより、「安全なWebゲートウェイ」は、最新のセキュリティアーキテクチャの重要な部分となりました。ただし、従来のSWGがこの役割を果たすことができるのは、それがすべてのインターネットトラフィックのチョークポイントであり、すべての企業ネットワーク境界の端に位置し、リモートユーザーがVPNまたはMPLSリンクを介してそのネットワークを「ヘアピン」する場合のみです。
次世代SWGとは
クラウドとリモートワーキングの世界への移行により、従来の境界ベースのSWGに新たな負担がかかりました。ユーザーは、ITインフラストラクチャと接続されたリソースに、さまざまなデバイスから事実上あらゆる場所から直接アクセスできるようになりました。これらのリソースの多くは、企業サーバーのネットワーク境界内に存在しなくなりました。
この驚くべき変革により、データと脅威の保護に対する要件も拡大し、セキュリティチームは多くの新しい高度な脅威とコンプライアンスの課題に取り組むことができます。残念ながら、従来のSWGはこの進化する脅威の状況に対応できていません。
現在、ほぼすべての大規模な情報漏洩には、静的エンジンでは阻止できない高度なマルチレベルWebコンポーネントが関係しています。従来のSWGアプローチは、マルウェアサンドボックスを含むセキュリティインフラストラクチャの他の部分と調整することでした。しかし、脅威がより高度で複雑なものになっているため、これを実行するとパフォーマンスが低下したり、脅威が通過したりするようになりました。これは、リモートブラウザ分離(RBI)が高度な脅威保護へのパラダイムシフトをもたらす場所です。RBIがSWGトラフィック検査の不可欠なコンポーネントとして実装され、ピクセルマッピングなどの適切なテクノロジーを使用することで、ランサムウェア、フィッシング攻撃、その他の高度なマルウェアに対するリアルタイムのゼロデイ保護を提供しながら、ブラウジングエクスペリエンスを妨げることはありません。
別の問題は、インターネットの暗号化された性質に関係しています。Webトラフィックの大部分と事実上すべてのクラウドアプリケーションは、SSLまたはTLSを使用して通信とデータを保護します。準拠し、プライバシーを保護する方法でトラフィックを復号化、検査、再暗号化する機能がないと、従来のSWGは今日の状況に対処することができません。
最後に、クラウドアプリケーションの問題があります。クラウドアプリケーションは、従来のWebサイトと同じインターネット上で動作しますが、従来のSWGが単純に理解できない、根本的に異なる方法で機能します。クラウドアクセスセキュリティブローカー(CASB)は、クラウドアプリケーションの可視性と制御を提供するように設計されています。SWGが包括的なCASBアプリケーションデータベースと高度なCASBコントロールにアクセスできない場合、クラウドは事実上ブラインドです。
次世代SWGに必要なもの
次世代のSWGは、Secure Access Service Edge(SASE)アーキテクチャの実装を簡素化し、安全なクラウドの採用を加速するのに役立ちます。同時に、高度な脅威からの保護、統一されたデータ制御を提供し、リモートで分散した労働力を効率的に利用できるようにする必要があります。
次世代SWGで必要な要件
・99.999%の可用性を実現するダイレクトクラウドアーキテクチャでリモートの労働力を実現
国と州による外出規制の状態から通常の状態へ戻る動きがゆるやかなため、多くの組織は、遠隔地に分散した在宅勤務の状況をサポートすることがおそらく新しい標準になると指摘しました。リモートワーカーの生産性を維持し、データをセキュリティで保護し、エンドポイントを保護することは、時には非常に困難な場合があります。クラウドネイティブアーキテクチャは、チームのどこからでも、可用性の確保、レイテンシの低減、ユーザーの生産性の維持に役立ちます。真のクラウドグレードのサービスは、ファイブナイン(99.999%)の可用性を一貫して提供する必要があります。
・管理の複雑さを軽減し、コストを削減
現在、クラウドの採用が増加しているため、トラフィックの80%以上がインターネットに向けられています。高価なMPLSリンクを必要とする従来の「ハブアンドスポーク」アーキテクチャにインターネットトラフィックをバックホールすると、非常にコストがかかる可能性があります。トラフィックが急増するとネットワークの速度が低下し、リモートワーカーのVPNは効果がないことが証明されています。次世代SWGは、SASEフレームワークをサポートし、MPLSリンクの必要性を減らすことで総運用コストを削減するダイレクトトゥクラウドアーキテクチャを提供する必要があります。SaaS配信モデルにより、次世代のSWGは、ハードウェアインフラストラクチャを展開して維持する必要をなくし、ハードウェアと運用コストを削減します。ガートナーのSASEレポートによると、組織は「安全なWebゲートウェイ(SWG)、クラウドアクセスセキュリティブローカー(CASB)を1つのベンダーに理想的に移行することにより、ネットワークセキュリティ側の複雑さを軽減できます。」CASBとSWGを統合することで、組織は統合のメリットを享受できますポリシーとインシデント管理、ビジネスリスクと脅威データベースに関する洞察の共有、および管理の複雑さの軽減。
・既知および未知の脅威からの防御
Webが成長し進化し続けるにつれて、Webを介したマルウェア攻撃も成長し進化しています。ランサムウェア、フィッシング、およびその他の高度なWebベースの脅威により、ユーザーとエンドポイントが危険にさらされています。次世代SWGは、URL、IP、ファイルハッシュの動的脅威インテリジェンスと、機械学習とエミュレーションベースのサンドボックスによる未知の脅威に対するリアルタイムの保護を統合する階層型アプローチを介して、リアルタイムのゼロデイマルウェアと高度なフィッシング保護を提供する必要があります。次世代のSWGには、未知の脅威がエンドポイントに到達するのを防ぐために、統合されたリモートブラウザアイソレーションも含める必要もあります。さらに、次世代のSWGは、SSL / TLSトラフィックを復号化、検査、再暗号化する機能を提供して、脅威や機密データが暗号化されたトラフィックに隠れないようにする必要があります。最後に、次世代SWGは、SOC効率を改善するためにXDRに統合する必要があります。SOCチームはすでに対処することが多すぎて、サイロ型セキュリティツールを受け入れるべきではありません。
・ビジネスではなくデータをロックダウン
今日では95%以上の企業がクラウドサービスを使用していますが、クラウドでデータ損失防止(DLP)ルールを適用できるのは36%にすぎません。次世代のSWGは、組み込みのデータ損失防止テンプレートとインラインデータ保護ワークフローを使用して保護を強化するより効果的な方法を提供し、組織が規制に準拠できるようにする必要があります。デバイスからクラウドへのデータ保護は、エンドポイント、ユーザー、クラウド、ネットワーク全体にわたる包括的なデータの可視性と一貫した制御を提供します。インシデントが発生した場合、管理者は単一のコンソールから調査、ワークフロー、およびレポートを管理できる必要があります。次世代SWGは、ユーザーとエンティティの動作分析(UEBA)を統合して、通常のユーザーを検出し、悪意のあるユーザーや侵害されたユーザーから分離することで、ビジネスの機密データをさらに保護する必要があります。
SWGは、URLフィルタリングデバイスであるだけでなく、クラウドの安全かつ迅速な導入を促進するために不可欠なものになるまで、長い道のりを歩んできました。しかし、私たちは限界を超える必要があります。デジタルトランスフォーメーションにはそれ以上のものが必要です。
※本ページの内容は2020年6月22日(US時間)更新の以下のMcAfee Blogの内容です。
原文:What to Expect from the Next Generation of Secure Web Gateways
著者:Sadik Al-Abdulla