前述の通り、Next Gen SWGは従来のウェブプロキシゲートウェイソリューションの次の進化形ですが、具体的にどのように現代の脅威環境やデータリスクから保護するのでしょうか?
簡単に言えば、従来のウェブフィルタリングやプロキシソリューションは、ウェブやクラウドアプリのユーザーや企業を以下から守るには、もはや有効ではないということです。
1. クラウド対応型の脅威だけでなく、クラウドアプリとサービスの増加
現在、ウェブトラフィックの半分以上 (53%) がアプリやクラウドサービスに関連しており、マルウェアの3分の2以上 (68%) がウェブではなくクラウドアプリから配信されています*。従来のウェブプロキシゲートウェイでは、アプリやクラウドサービスをデコードできず、これらのクラウド配信の脅威を検出することができません。サイバーキルチェーンのすべての段階は、偵察、兵器、配信、コールバック通信など、クラウド対応になりました。
ビジネスユニットとユーザーは、新しいアプリやクラウドサービスを自由に採用し続けており、500〜2000人のユーザーを抱える平均的な企業では、805の異なるアプリにアクセスしており、今年の上半期には22%の成長を遂げています。従来のSWGソリューションは、これらの成長を続けるシャドーITアプリやクラウドサービスに対してほとんど認識しておらず、ITによって管理されているのは3%未満です。
2. クラウドファーストの世界でのデータ漏洩と盗難の増加
クラウドで作成されたデータの90%以上が過去2年間に発生し、70%以上のユーザーがモバイルでリモートで作業しています。マネージドクラウドアプリの企業インスタンスと個人インスタンス間、または別の個人クラウドアプリインスタンスにデータを転送する機能に加えて、ウェブメールやリンクを共有することは、今日、どのユーザーにとっても簡単な作業です。
従来のSWGソリューションには、特にアプリやクラウドサービス、ウェブブラウザとフォーム、モバイルアプリ、同期クライアントなど、DLP機能がないことがよくあります。
3. プライベートおよびパブリックアプリおよびリソースにアクセスするリモートワーカーの数が増えている
クラウドとモバイルへのデジタルトランスフォーメーションは、従来のアプライアンスベースのセキュリティスタックをクラウドに反転させ、増加するリモートワーカーをより適切に保護することを目的としています。オフィスに設置された従来のSWGアプライアンスは、中央のデータセンターへのVPNでトラフィックヘアピンを強制しますが、これはもはや十分ではなく、結果としてユーザーエクスペリエンスを低下させることになります。
Secure access service edge (SASE) アーキテクチャは、複数のセキュリティ防御を1つのクラウドプラットフォーム、1つのコンソール、1つのポリシーエンジンに統合し、運用コストの低減を実現するものです。次世代SWGは、ウェブ、マネージドSaaS、シャドーIT、パブリッククラウドサービス、パブリッククラウドサービス内のカスタムアプリなど、パブリックリソースへのユーザートラフィックを5つのレーンでカバーします。SASEアーキテクチャ内のプライベートアプリやリソースは、位置情報やデバイスに基づく暗黙の信頼を排除した ゼロトラストネットワークアクセス (ZTNA) を採用しています。この新しいモデルでは、あらゆるユーザー、あらゆる場所、あらゆるデバイスが、近くのクラウドセキュリティサービスエッジによって保護され、パフォーマンスへの影響は最小限となります。
次世代SWGが真に「次世代」である理由は、検査対象のユーザートラフィックの5レーンの制御、監視、保護の深さにあります。次世代SWGは、従来のウェブプロキシによる1レーンのトラフィックの「許可/ブロック」ポリシーを超え、プロキシ、インラインのCloud Access Security Broker (CASB)、データ損失防止 (DLP) プラットフォームの機能を統合しています。この組み合わせにより、さまざまな高度なクラウドの可視化機能と性能を実現します。
- 動的評価によるWebコンテンツフィルタリング
- クラウド型の大きなパフォーマンスとスケールによる SSL/TLS 復号化
- Cloud Access Security Broker (CASB) のインライン機能により、アプリやクラウドサービスのトラフィックを検出、デコード、検査することが可能
- サンドボックスおよび機械学習ベースの異常検出を含む高度な脅威対策 (Advanced Threat Protectdion)
- クラウドアプリとウェブトラフィックのデータ損失防止 (DLP)
- インサイト、調査のための豊富なメタデータコンテキスト、詳細なレポートなど。
次世代SWGを使用することで、ウェブ、アプリ、クラウドサービスの動作を監視して、きめ細かい使用ポリシーの設定、アプリのリスク、ユーザーのリスク、アクティビティ、データの機密性に基づいた適応型ポリシーの起動など、安全な代替手段やリスクの高いアプリを避けるためのリアルタイムなユーザー指導を提供することができます。クラウド上のセキュリティを向上させるだけでなく、特定の行為やデバイスを一律に禁止することを避けることで、ユーザーエクスペリエンスを向上させることができます。次世代型SWGのきめ細かな制御とインラインの可視化により、ユーザーとデータのアクティビティをコンテキスト化し、適応性のあるポリシーでユーザーを導きながら、リスクを低減して正当な業務遂行を妨げることなくデータを保護することができます。
ブログ: CASBとSWGが進む道
ウェブフィルター、SWG、次世代SWGの違いとは?