SB C&Sの最新技術情報 発信サイト

C&S ENGINEER VOICE

Symantec WSSを例に見るクラウド型SWG導入の際のポイント

ゼロトラスト
2021.10.07

新型ウイルスの影響や働き方改革によりリモートワークの普及が進んでいる昨今ではありますが、それによりビジネスにおけるITインフラの在り方も変わりつつあります。
そんな状況の中、クラウドセキュリティは特に注目される形となっています。
そこで本記事ではwebセキュリティの領域にフォーカスし、最新の形式ともいえるクラウド型のSWGに着目して紹介させて頂きたいと思います。

 

  1. SWG(Secure Web Gateway)とは
  2. SWG選定の際のポイント
  3. WSSに見るクラウド型SWG導入のメリット/検討材料

 

1.SWG(Secure Web Gateway)とは

図1.png

概要

ではまず、SWGについて簡単に説明させて頂きます。
SWGはSecure Web Gatewayの略称で、URL/IPフィルタリング、アンチウイルス、プロキシなどの機能を持つ製品のことを言います。
従来webプロキシとして社内インフラの出入口にGWとして設置され利用されていました。
リモートワークが普及する中でセキュリティ境界をオンプレミス/インターネットの2つに分けることが難しくなり、地理的な制約をなくした形でこの機能を提供するソリューションとしてクラウド型の形式が誕生しました。
近年のクラウド型のSWGは先述のwebプロキシ機能に加えて、SSL通信の復号解析/次世代アンチウイルス/他のクラウドセキュリティ領域との連携機能を提供することも可能で、この近代型の機能を持ってSWGと表現している情報も多いです。

運用方式

SWGの運用方式は大きく3つに分けることができます。

一つは従来型のオンプレミス方式となります。オンプレミス環境のインターネット出入り口にGWとして設置します。
操作性や既存システムとの連携の親和性など運用面のメリットを挙げられる反面で、HWの導入費用やランニングコストが高かったり地理的な柔軟性に欠けるなどのデメリットも存在します。

次にクラウド方式の方法となります。
この形式ではクラウドサービスとしてSWGの機能を提供します。
場合によってはITインフラの設計変更など導入時にハードルがある場合もありますが、場所に捉われないセキュリティ保護や他のクラウドセキュリティ機能との親和性の高さなど多くのメリットを挙げることができます。
現在のワークスタイルにも合っている運用方式と言うことができるかと思います。

最後にハイブリッド方式となりますが、こちらはクラウドサービスとオンプレミスGWの統合型となります。
両方の良いとこ取りのような柔軟さが魅力ではありますが、インフラ設計から運用まで複雑になることから高度な技術力が求められる方式であるとも言えます。

2.SWG選定の際のポイント

図1.png

次にSWGの導入における選定のポイントになる点について記載させて頂きます。

クラウド型SWGの導入検討項目

クラウド型のSWGの導入を検討する要素として最も考えらえるのは、オンプレミスGW配下に属さない端末が多くあるケースです。
拠点外や社外にある端末の保護をオンプレミス経由で実施することは通信効率が悪く、GWにも負担がかかります。
GW負荷スペックを超えれば環境整備を考慮する必要がありコストがかかります。
一方でクラウド型のSWGであれば端末がどこにあってもインターネットへアクセスできる環境でSWGへの接続できれば、オンプレミスGWを介さずにセキュリティ対策が可能です。
従来のように従業員のほとんどが会社内にいるような働き方では問題がありませんでしたが、様々な要因から現在では社外で働くケースも増えています。
このような環境変化に対応するのにクラウド型のSWGは最適と言えます。

各メーカから製品選定時のポイント

クラウド型のSWGの導入を決めた後に考える必要があるのは、どのメーカの製品を選定するかです。
メーカの選定にあたっては、どのような基準で選定すればよいかについてまず決めなければなりません。
そこで要件を満たす製品がいくつかある際の選定のポイントになる点について挙げてみます。
コストの面は機能と同様に重要な要素の1つですが、これらは概ねトレードオフの関係にあるのでどちらを重視するかも基準の1つとなります。
またコストにおいては課金体系においてユーザ数であったり端末数であったり様々なのでどの体系が適しているのかも検討材料となります。
また海外のメーカ製品がほとんどであるため、日本語対応をはじめ主機能要件でない部分において、利用のしやすさなどの運用面についても確認しておいた方が良いです。
また各メーカ毎に強みや特徴は違いますので、これらの違いも押さえて選定できれば導入後の満足度も高められると考えます。

クラウド型でなくオンプレミスが適するケース

ここまでクラウド型のSWGの良さを説明してきましたが、オンプレミス型のほうが適する場合もあるので簡単にケースを紹介させて頂きます。
1つは非常に高い可用性を求める場合です。
クラウド型に可用性も問題があるということではなく、保障をクラウドベンダに委ねることになるので瞬断さえ許されないようなケースにおいては自前での運用が適します。
またコストについても基本的にはクラウド型にメリットが多くなる場合が多いですが、必ずしもそうではなく利用方法によってはオンプレミスにメリットがあることもあるのでコストを重視する場合には始めに比較しておく必要があります。

 

3.WSSに見るクラウド型SWG導入のメリット/検討材料

最後にクラウド型のSWGを導入することでユーザにどのようなメリットがあるのかを見ていきたいと思います。
ここでもシマンテックWSSを例に紹介させて頂きます。

Webセキュリティ+クラウド領域の機能提供

WSSの特徴の1つとして非常に多くの機能を高機能に提供できる点が挙げられます。
プロキシ機能はもちろん、AV/SSL復号/リアルタイムURLフィルタ/レポート機能/簡易なアプリケーション制御/などが基本機能として提供可能です。
またオプション機能としてサンドボックスやWeb分離機能を提供できたり他のセキュリティ群のプロダクトと連携することでCASBやDLPの機能の提供も可能となっています。
機能部分については3つほど掘り下げてご紹介させて頂きます。

Web分離WBI.png

ますWeb分離の機能についてとなります。
この機能ではユーザが端末からWebアクセスする際にWSSが保有する使い捨てコンテナ上で実行し、その表示画面だけをユーザ端末へ転送します。
端末側は受信したコンテンツをオリジナルページと同様に操作可能であることから機能を意識せずに利用でき、かつセキュリティを担保できることが特徴となります。
PDFなどの文書ファイルにも専用のドキュメントサーバを保有しており、PCのブラウザ上で表示する機能を提供します。
生産性を損なわせず、現状分析やポリシーチューニングなどの運用負荷を下げたい場合にはこのオプション機能は非常に有効であると考えます。

アプリケーション制御

次にWSS単体としてできるCASB機能にあたる部分となるアプリケーション制御機能についてとなります。
具体的にできることとしてはアプリケーション毎のブロックであったり、特定のアプリケーションに対してそれ以上の動作制限をすることが可能です。下記は実際の設定イメージとなります。
アプリケーション制御.png
登録されているアプリケーションの総数としては約4,6000種ほどあり、非常に多くのアプリケーションに対して働きかけが可能です。これらのアプリケーション群を宛先として登録し利用の許可/ブロックをコントロールすることが可能です。

動作の制御としては27の項目があり指定したアプリケーションについてどのような動作を許すかについても、特定のアプリケーションに対して実行可能です。
アプリケーション行動制御.png

上記のようにWSS単体としてもアプリケーションに対する簡易な制御が可能ですが、より詳細にCASBコントロールを実施したい場合においてもCloud SOCと呼ばれるCASB機能を有する製品と容易に連携でき機能強化をすることが可能です。
このように他のクラウドセキュリティ領域の製品との親和性や、その豊富さもシマンテックの魅力の1つと言えます。


レポート機能

最後にレポート機能について紹介させて頂きます。
様々な場所から収集した情報を細かくカテゴリカットして表示することができ、欲しい情報にフォーカスした情報収集が可能です。
レポートのカテゴリはセキュリティ/ユーザ行動/使用帯域幅/Webアプリケーション/DLPが大カテゴリとなっており、
それぞれについて収集したい情報部分を選択できるようになっています。
クラウドセキュリティにあたる部分においても多様にカテゴリ選択できるところが特徴となります。
下記はそのイメージとなります。
レポートカテゴリ.png

カテゴリ選択し表示させた際の参考画面となります。
グラフによる可視化され画面下部では表示された情報を更に条件で絞ることが可能となっています。
レポサンプル.png

このようにWebプロキシ機能としてだけでなくクラウドで提供されるサービスについてコントロール/可視化/セキュリティ対策ができるのがクラウド型のメリットとなります。

クラウドファーストなインフラアーキテクチャへの転換

次にWSSの導入事例を見ると、海外拠点や小規模拠点向けとしてや外部持ち出し端末向けのセキュリティ確保の観点から導入を検討されるケースが多いです。
外部端末においては昨今の働き方改革やコロナ対策としてリモートワークが推進される状況においてより増加傾向にあります。
これら本拠地のGW管理下にない端末の保護を本拠地のGW経由で担保するのは非効率であり、GWのスペックによる限界もあります。
そういった理由から場所に関わらずどこからでも効率の良いアクセスが可能なクラウド型のSWGを経由した方が良いケースが増えています。
ビジネスの拡大やビジネススタイルの変換から、オンプレミス管理よりも場所に左右されずスペック調整も容易なクラウド型の管理がより時代の流れに即していていることから導入を検討されるケースが多くなっている傾向と考えています。

コスト削減効果

またクラウド型のSWGの導入においてもう1つメリットになるのがコスト削減の観点です。
オンプレミス環境構築を考えた際にハードウェアの購入費用や保守費用を考慮する必要がありますが、クラウド型においてはハードウェアにかかる費用を考慮する必要がありません。
必要なリソースを必要な分だけ契約する方式のため、リソースを無駄に余らせず非常に効率的な運用が可能であることも魅力の1つと言えます。
ただし長期間の間に多契約で利用するような場合は、利用中ずっと費用が発生するためオンプレミスを構築した方が低コストになるケースもあります。
コスト面が最重要項目である場合は、投資の段階でどちらにコストメリットがあるかよく比較する必要があります。

  

終わりに

最後までお読み頂きましてありがとうございございました。
いかがでしたでしょうか。クラウド型のSWGとはどのようなもので、導入することでどのようなメリットがあるのかについて少しでも理解頂けましたでしょうか。クラウド型のSWGの検討材料の参考になれば幸いです。

その他のおすすめ記事はこちら!

著者紹介

SB C&S株式会社
技術統括部 第2技術部 2課
大木 佑真