次世代セキュアウェブゲートウェイとは

セクションにジャンプする

次世代セキュアウェブゲートウェイの定義とは（SWGの意味）次世代セキュアウェブゲートウェイソリューションは、従来のウェブプロキシソリューションとどのように違うのか Next Gen Secure Web Gatewayに共通する機能とは Next Gen Secure Web Gatewayに求めるものセキュアウェブゲートウェイとNetskope次世代SWGセキュリティの違いは何か SASEが支配する未来における次世代SWGの役割

11分読む

次世代セキュアウェブゲートウェイの定義とは（SWGの意味）

次世代セキュアウェブゲートウェイ (SWG) は、クラウドを利用した巧妙な脅威やデータリスクの増加から企業を保護するための新しいクラウドネイティブソリューションです。これは、ウェブプロキシやウェブフィルタとしても知られる、従来のセキュアウェブゲートウェイを論理的に進化させたものです。従来のセキュアウェブゲートウェイとは異なり、次世代SWGはクラウドとウェブの両方のトラフィックを扱いますが、前者はウェブトラフィックのみを扱い、個人インスタンスの管理アプリケーションや何千ものシャドーITアプリケーション、クラウドサービスに対するクラウド対応の脅威やデータリスクを認識しません。

過去10年間、多くの企業は、Microsoft Office 365などのリストされた特定のクラウドサービスがインラインファイアウォールとプロキシセキュリティ防御をバイパスすることを許可し、脅威やデータ流出の「レッドカーペット」エントリを可能にしてきました。企業と個人のクラウドアプリケーションインスタンス間のデータ転送を検出できないこと、または脅威クラウド配信に不正なインスタンスを使用することは、レガシー防御の盲点のリストに追加されます。
何が次世代を作るのか?

次世代SWGセキュリティにより、アプリやクラウドサービスでの企業のデータ移動の制御を犠牲にしたり、特定のアプリケーションやアクティビティを全面的に禁止してワークフローを抑制したりすることなく、運用を継続できます。これは、オフィスワークからリモートワークへの最近の大規模な移行、および過去数年間の従来のオンプレミスアーキテクチャからクラウドへの移行を考えると非常に重要です。

ユースケース： NG SWG の上位 6 つのユースケース

次世代セキュアウェブゲートウェイソリューションは、従来のウェブプロキシソリューションとどのように違うのか

前述のように、次世代SWGサイバーセキュリティは、従来のWebプロキシゲートウェイソリューションの次の進化ですが、現代の脅威の状況とデータリスクからどのように正確に保護することができるのでしょうか。

簡単に言えば、従来のウェブフィルタリングやプロキシソリューションは、ウェブやクラウドアプリのユーザーや企業を以下から守るには、もはや有効ではありません。

1. クラウド対応型の脅威だけでなく、クラウドアプリとサービスの増加
現在、ウェブトラフィックの半分以上(53%)はアプリやクラウドサービスに関連しており、マルウェアの3分の2以上(68%)はウェブではなくクラウドアプリから配信されています。従来のウェブプロキシゲートウェイは、アプリやクラウドサービスをデコードして、これらのクラウド配信の脅威を検出することはできません。サイバーキルチェーンのすべての段階が、偵察、兵器化、配信、コールバック通信など、クラウド対応になりました。

ビジネスユニットとユーザーは新しいアプリとクラウドサービスを採用し続けており、今年の最初の6か月間で22%成長し、500〜2,000人のユーザーを抱える平均的な企業が805の異なるアプリにアクセスしています。レガシークラウドSWGソリューションは、成長するシャドーITアプリとクラウドサービスをほとんど認識していなく、IT部門によって管理されているのは3%未満です。

2. クラウドファーストの世界でのデータ漏洩と盗難の増加
クラウドで作成されたデータの90%以上は過去2年間に作られたもので、70%以上のユーザーがモバイルかつリモートで作業しています。マネージドクラウドアプリの企業インスタンスと個人インスタンス間、または別の個人クラウドアプリインスタンスにデータを転送する機能に加えて、ウェブメールやリンクを共有することは、現在どのユーザーにとっても簡単な作業です。

従来のSWGソリューションには、特にアプリやクラウドサービス、ウェブブラウザとフォーム、モバイルアプリ、同期クライアントなど、DLP機能がないことがよくあります。

3. プライベートおよびパブリックアプリおよびリソースにアクセスするリモートワーカーの増加
クラウドとモバイルへのデジタルトランスフォーメーションは、従来のアプライアンスベースのセキュリティスタックをクラウドに移行し、増加するリモートワーカーをより適切に保護することを目的としています。オフィスに設置された従来のSWGアプライアンスは、中央のデータセンターへのVPNでトラフィックヘアピンを強制しますが、これはもはや十分ではなく、結果としてユーザーエクスペリエンスを低下させることになります。

セキュアアクセスサービスエッジ（SASE）アーキテクチャは、複数のセキュリティ防御を1つのクラウドプラットフォーム、1つのコンソール、1つのポリシーエンジンに統合し、運用コストの低減を実現するものです。次世代SWGは、ウェブ、マネージドSaaS、シャドーIT、パブリッククラウドサービス、パブリッククラウドサービス内のカスタムアプリなど、パブリックリソースへのユーザートラフィックを5つのレーンでカバーします。SASEアーキテクチャ内のプライベートアプリやリソースは、位置情報やデバイスに基づく暗黙の信頼を排除したゼロトラストネットワークアクセス（ZTNA）を採用しています。この新しいモデルでは、あらゆるユーザー、あらゆる場所、あらゆるデバイスが、近くのクラウドセキュリティサービスエッジによって保護され、パフォーマンスへの影響は最小限となります。

次世代SWGが真に「次世代」である理由は、検査対象のユーザートラフィックの5レーンの制御、監視、保護の深さにあります。次世代SWGは、従来のウェブプロキシによる1レーンのトラフィックの「許可/ブロック」ポリシーを超え、プロキシ、インラインのCloud Access Security Broker（CASB）、データ損失防止（DLP）プラットフォームの機能を統合しています。この組み合わせにより、さまざまな高度なクラウドの可視化機能と性能を実現します。

動的評価によるWebコンテンツフィルタリング
クラウド型の大きなパフォーマンスとスケールによる SSL/TLS 復号化
Cloud Access Security Broker (CASB) のインライン機能により、アプリやクラウドサービスのトラフィックを検出、デコード、検査することが可能
サンドボックスおよび機械学習ベースの異常検出を含む高度な脅威対策 (Advanced Threat Protectdion)
クラウドアプリとウェブトラフィックのデータ損失防止 (DLP)
インサイト、調査のための豊富なメタデータコンテキスト、詳細なレポートなど

次世代SWGを使用することで、ウェブ、アプリ、クラウドサービスの動作を監視して、きめ細かい使用ポリシーの設定、アプリのリスク、ユーザーのリスク、アクティビティ、データの機密性に基づいた適応型ポリシーの起動など、安全な代替手段やリスクの高いアプリを避けるためのリアルタイムなユーザー指導を提供することができます。クラウド上のセキュリティを向上させるだけでなく、特定の行為やデバイスを一律に禁止することを避けることで、ユーザーエクスペリエンスを向上させることができます。次世代型SWGのきめ細かな制御とインラインの可視化により、ユーザーとデータのアクティビティをコンテキスト化し、適応性のあるポリシーでユーザーを導きながら、リスクを低減して正当な業務遂行を妨げることなくデータを保護することができます。

ブログ： CASBとSWGが進む道

ウェブフィルタリング、SWG、次世代SWGの違いとは

Next Gen Secure Web Gatewayに共通する機能とは

これらは、次世代セキュアウェブゲートウェイならではの6つの個別機能です。

1. 個人の行動を監視して評価
何千ものマネージドアプリとアンマネージドアプリとクラウドサービス、およびWebトラフィックのインラインでの可視化を実現し、SWG + CASB + DLP を1つの次世代 SWGプラットフォームに統合します。

次世代SWGのモニタリングと評価の実践を見る

2. アプリケーションのきめ細かな制御
ビジネスラインやユーザー対ITのシャドーITを含む、何千ものクラウドアプリケーションをリアルタイムできめ細かく制御します。これにより、悪いことが起こらないようにし、安全に良いものを有効にすることができます。

次世代 SWG アプリケーション制御の実際の動作を参照してください。

3. 利用規定の実施
従来型のWebフィルタリングで使用されているようなURLカテゴリ、そしてカスタムカテゴリ、動的ページの評価、さらに包括的なクラウドアプリの使用率の評価を、クラウドとWebの両方を対象とする統合されたポリシーに組み込みます。

次世代SWGの許容可能な使用ポリシーの実践を見る

4. 脅威からの保護
フィッシングや脅威の配信に使用される不正なインスタンスや個人インスタンスを検出するクラウドアプリインスタンスの認識から、スクリプトやマクロの実行前分析、クラウドやベアメタルサンドボックス、機械学習ベースの脅威分析と異常検知まで、高度な防御機能でウェブやクラウド配信型マルウェアや高度な脅威から保護することが可能です。

次世代SWG脅威対策の実践を見る

5. あらゆる場所でのデータ保護
あらゆる場所でデータを追跡して保護し、完全一致から類似性一致を伴うフィンガープリントまで、さまざまな機能を備えた正確で正確な検査を保証します。たとえば、非常に人気のあるChatGPTアプリなどの生成型AIを安全に使用するには、リアルタイムのユーザーコーチング、アップロードされるもののデータ保護、およびアプリケーションアクティビティの制御を可能にするアプリケーションコネクタが必要です。

次世代SWGデータ保護の実践を見る

6. インターネットへの直接接続をカバー
低レイテンシーと高容量を実現するために最適化されたクラウドエッジベースのネットワークインフラストラクチャにより、コストのかかるバックホーリングを排除し、リモートオフィスやユーザーのパフォーマンスを向上させます。

次世代SWGエッジネットワークセキュリティの実際の動きをご参照ください。

Next Gen Secure Web Gatewayに求めるもの

次世代SWGの導入を検討している組織は、次の機能を備えた単一のプラットフォームで統一されたクラウドネイティブソリューションを探す必要があります。

1. 真のクラウドアーキテクチャを活用
真のクラウドのパフォーマンスとスケールを実現するには、クラウドでホストされる個別の従来型ソリューションではなく、完全に統合された機能を備えたクラウドネイティブのマイクロサービスを中心にソリューションを構築する必要があります。また、グローバルおよびローカルクラウドサービスプロバイダーとのピアリング関係を活用したアクセスに最適化されたキャリアグレードのプライベートネットワークを使用することは、世界中で可用性とパフォーマンスを発揮するために不可欠です。結果として得られるクラウドサービスは、ユーザーエクスペリエンスに対するパフォーマンスへの影響が最小限に抑えられ、場合によってはむしろ高速化されます。

2. アプリとクラウドサービスをデコード
このソリューションでは、データと脅威保護の防御のためのコンテンツとコンテキストを理解するために、Web トラフィックと共に何千ものアプリとクラウドサービスをデコードする必要があります。新しい言語は、アプリ、クラウドサービス、および Web サイト用の JSON を中心に構築された API です。 Next Gen Secure Web Gateway 防御では、コンテキストに応じたポリシー制御のためにユーザー、デバイス、場所、アプリ、リスク、インスタンス、コンテンツ、アクティビティを理解し、分析、調査、機械学習のために豊富なメタデータを収集する必要があります。

3. 新しい攻撃でペースを維持
このソリューションは、既知の攻撃から単に保護することはできませんが、クラウドフィッシング、クラウドによるペイロード配信、コールバック通信などのクラウド対応脅威を含む、さまざまな新規および新規脅威に対処できる必要があります。これには、高度な脅威対策とデータ保護対策に加え、機械学習のためのコンテンツとコンテキスト用のアプリと、クラウドサービスの通信をデコードするという体系的な利点が必要です。

クラウド対応の脅威は、従来の防御を通過するか、または許可リストに登録された防御を回避する有効な証明書を使用して、信頼されたドメインを活用します。ユーザーは、このような従来の環境において、企業インスタンスと個人インスタンスの間で悪意を持ってまたは誤ってデータを転送したり、アクセス資格情報のフィッシングを受ける可能性があります。

ブログ： SASEのCISOの見解
ブログ： GartnerのSASEコンバージェンスの戦略的ロードマップをどう考えるか

セキュアウェブゲートウェイとNetskope次世代SWGセキュリティの違いは何か

Netskopeの次世代SWGは、SWGソリューションの特定の実装です。次世代SWGとは、Webゲートウェイを保護するための Netskopeの高度で包括的なアプローチを指し、従来のSWGソリューションを超えたいくつかの主要な機能が組み込まれています。ここにいくつかの差別化要因があります:

クラウドネイティブアーキテクチャ: Netskopeの次世代SWGはクラウドネイティブアーキテクチャで構築されており、クラウドサービスとシームレスに統合し、組織のネットワーク内からアクセスするか、クラウドから直接アクセスするかにかかわらず、Webトラフィックを包括的に可視化および制御できます。
きめ細かな可視性とポリシー制御:次世代SWGは、ユーザーアクティビティやアクセスされたコンテンツのリアルタイム監視など、Webトラフィックをきめ細かく可視化します。これにより、組織はユーザー、グループ、場所、デバイス、およびコンテンツカテゴリに基づいてきめ細かなポリシーを定義および適用し、安全でコンプライアンスに準拠したWebブラウジングエクスペリエンスを確保できます。
統合された脅威保護: Netskopeの次世代SWGは、Webフィルタリング機能と高度な脅威保護を組み合わせています。機械学習と行動分析技術を採用して、マルウェア、フィッシング攻撃、データ流出の試みなど、さまざまな種類のWebベースの脅威を特定してブロックします。
データ損失防止（DLP）:次世代SWGには堅牢なデータ損失防止機能が含まれており、組織は機密データがWebチャネルを介して漏洩または盗み出されるのを防ぐことができます。機密データをリアルタイムで識別して分類し、暗号化または秘匿化を適用し、不正なデータ共有を防ぐためのポリシーを適用できます。
クラウドアプリケーションの制御:クラウドサービスとシャドーITの台頭に伴い、次世代SWGは、Webブラウザを介してアクセスされるクラウドアプリケーションとサービスの制御と可視性の提供に重点を置いています。これにより、組織は、特定のアプリのブロック、ユーザー認証の適用、データ保護対策の適用など、アプリへのアクセスを管理および保護するためのポリシーを定義できます。

全体として、従来のSWGサービスは基本的なWebセキュリティ機能を提供しますが、Netskopeの次世代SWGは、クラウドネイティブアーキテクチャ、きめ細かいポリシー制御、統合された脅威保護、データ損失防止、およびクラウドアプリケーションの制御の強化により、これらの機能を拡張します。これは、クラウドの導入、リモートワーカー、サイバー脅威の急増によってもたらされる進化するセキュリティの課題に対処することを目的としています。

SASEが支配する未来における次世代SWGの役割

パンデミックの過程でクラウドへの大規模な移行に伴い、SWGセキュリティテクノロジーはそれ自体よりも大きなものに変化しています。データ損失防止（DLP）やクラウドアクセスセキュリティブローカー（CASB）などの他のテクノロジーと組み合わせると、 Next Gen Secure Web Gateway の概念は、セキュアアクセスサービスエッジ（SASE）アーキテクチャと呼ばれるものの重要な要素です。

SASEは、複数のセキュリティ技術とネットワーク技術を組み合わせることで、遅延やデータ利用状況の把握といった従来の境界アプライアンスベースセキュリティの欠点を解消し、包括的なウェブおよびクラウドセキュリティを提供します。

これは、セキュアウェブゲートウェイのような限られた範囲のソリューションは、もはや企業にとって選択肢ではないということを意味しています。次世代SWGは、SSEプラットフォームにおいて、Cloud Access Security Broker （CASB）、データ損失防止（DLP）、ユーザー/エンティティ行動分析（UEBA）と連携するSecurity Service Edge (SSE) と呼ばれる複数のセキュリティソリューションを組み合わせたアプローチが必要となります。Netskope SSE これらすべてのツールをシングルパスのアーキテクチャに統合し、リスクの低減、パフォーマンスの加速、あらゆるクラウド、ウェブ、プライベートアプリケーションのアクティビティに対する比類のない可視性を提供します。

SWGとは何か（次世代セキュアウェブゲートウェイ）