従来のセキュリティ対策の代表格であるファイアウォールやIPS/IDS、アンチウイルスソフト、プロキシサーバ。これらは社内ネットワーク（LAN）とインターネット（WAN）の境界の見張り番として、出入りする通信を検疫し、侵入してこようとする「脅威」を検知・防御していました。
しかし、ここ数年における働き方の急変により従来の境界型ネットワークの是非が問われるなか、上記の境界型セキュリティについても見直す必要が出てきました。

本記事では、境界型セキュリティの立役者であったプロキシサーバの後継技術「SWG」についてお話したいと思います。

SWGはセキュアウェブゲートウェイ（Secure Web Gateway）の略で、エンドユーザが社外ネットワークへのアクセスを安全に行うための、主にクラウド型として提供されるプロキシ（Proxy）です。
Proxyは直訳が「代理／代理人」であり、元来プロキシサーバは内部/外部のネットワークの境界上で中継を担う存在で、全てのインターネット通信をプロキシに中継させることで、ログの集積を行ったり、キャッシュを貯める事でレスポンスの向上を計ったり、外部からのアクセスに対して不正アクセスでないかどうかをチェックしたりします。
SWGとは、昔からあるプロキシサーバの機能が拡充されたバージョンといえます。

特に、ゼロトラスト・セキュリティの構築をする上では知っておきたい機能のひとつです。

もともとSWG登場前にも同じような機能は存在しており、WebフィルタリングやIPフィルタリングといった形で提供されていました。基本的にはオンプレミスに実装されることが多いですが、それらをクラウド型として提供するサービスを主にSWGと呼ぶようになりました。
近年の働き方改革に伴い、クラウドでの運用が求められるようになったことに加え、サイバー攻撃の多様化によりWebサイトなどの安全性を評価するためには膨大なデータを取得・精査し反映させることが重要になったため、クラウド化によって取得や反映を適切に行えるようにしているのです。

SWGとプロキシサーバの違いについても解説します。
プロキシサーバとは、インターネットと社内ネットワークの境界に設置され、PCなどのデバイスに代わってインターネット接続を行うサーバのことです。
デバイスが直接インターネットに接続しないことで、セキュリティリスクを軽減することが可能になります。
SWGもインターネットと社内ネットワークの境界に設置されるものですが、プロキシサーバよりもセキュリティ機能が強化されているという点が異なります。

次の章でSWGの機能について解説していきましょう。

SWGには、従来のプロキシサーバが持つ機能の他、ゼロトラストネットワークに則したセキュリティ機能が搭載されています。
提供ベンダによって詳細に違いはありますが、代表的な機能を紹介します。

クライアント上のWebブラウザの代理としてインターネットにアクセスすることで、外部のWebサービスに対してクライアントのIPアドレスを秘匿し、匿名性を担保することができます。

予め定義されたシグネチャファイル※とのパターンマッチングによって、PC内に侵入するウイルスを排除します。
既知のマルウェア感染を防ぎ、PCにおけるセキュリティ向上を行います。

^{※シグネチャファイル…マルウェアや不正アクセスなどの攻撃におけるパターンの特徴（シグネチャ）を集約したファイルのこと}

コンピュータ上に構築した仮想閉域環境にて実行ファイルなどを動かし、挙動を確認して安全性を判断します。
社内ネットワークから離れた場所でマルウェアや不正なプログラムを検知することで、社内システムへの影響を最小限に抑えることが可能です。
（未知のマルウェアにも有効ですが、最新のマルウェアでは自身がサンドボックス内にいることを判断して挙動を止める事で検知をすり抜けるものもあるので、出入口対策だけではなくエンドポイントセキュリティの併用を推奨します）

ブラックリストやホワイトリストでの定義によって、リスクの高いSaaSは使わせない、不正なサイトにアクセスさせない等のフィルタを適用することができます。

許可されてないアプリケーションの利用を制御します（シャドーIT防止）。
SSLの暗号通信を復号し、通信パケットを詳細に分析することでより正確なアプリケーションフィルタを適用できます。
（最近ではSSL暗号化の特性を悪用した標的型攻撃が増え、外部のC&Cサーバとの通信にもSSL通信を行うケースが増えているため、SSL通信の可視化は重要です）

予め定義された機密情報を識別し、重要データと認定された情報の送信やコピーを制限することで、機密情報の流出につながる操作を阻止します。

オフィスで仕事をしていた従業員がコワーキングスペースや自宅でも仕事をするようになり、VPNを経由して社内のオンプレサーバにアクセスするのが非効率になったことで、サーバをクラウド環境に移行し、それに直接アクセスさせる「インターネットブレイクアウト」の構成をとる企業が増えました。
クラウドサービスはIaaSもSaaSもインターネット上で提供されますので、クラウドサービスの浸透に伴って社内ネットワークと外部ネットワーク（インターネット）の線引きが曖昧になり、境界型セキュリティで肝心であった「境界線の内側は安全、外側は危険」という前提条件が揺らぐこととなりました。
従来のネットワーク構成では境界を出入りする通信の見張り番（ファイアウォールなど）が活躍していました。しかし、クラウドサービスに直接アクセスする場合は社内ネットワークを経由しない為、見張り番の検疫を受けることなく通信が完結してしまいます。
SWGが外部ネットワークへの全アクセスを中継することで、適切な出入口対策が実行できるようになるのです。

メリットだらけのSWGですが、デメリットもあります。
SWGを導入する場合はネットワーク構成を大きく変えることが多いです。
そのため、ネットワークの移行自体に手間や時間がかかったり、移行時にはネットワークトラブルなどのリスクも発生します。
ベンダと綿密に移行計画を立てて実行する必要があるでしょう。

SWGは、クラウド型、オンプレ型、ハイブリッド型（クラウド型とオンプレ型の併用）と3種類の導入方法があります。

クラウド上で提供されるSWGをサービスとして利用するパターンです。
オンプレ型に比べて、初期費用が抑えられる点、システムダウンの対応もサービスベンダが行うため自社に大掛かりなセキュリティ部門がなくとも利用ができる点で、導入ハードルが低いこと・運用コストを抑えられることがメリットです。
また、クラウド型で提供される一番大きなメリットは、アクセスする場所に限らず利用できる点です。
現代の働き方にあったSWGの導入としては、一番最初に検討したい導入方法となります。

自社のオンプレミスサーバにSWGを設置する場合、カスタマイズや既存のシステムとの連携を取れます。既にCASBを導入している企業、テレワーカーを保有せず、社内ネットワークからしかアクセスを許容していない運用の企業は、オンプレでの導入も選択肢の一つになるかもしれません。
SWG導入をきっかけに、既存のプロキシサーバをオンプレからクラウドに移行する企業もいるでしょう。

クラウド型とオンプレ型の両方を利用するパターンもあります。
既に社内にプロキシサーバと相応のスキルを持つ情シス担当を持つ企業においては、完全リプレースではなくハイブリッド型で導入し多層階プロキシとして利用する方がユーザビリティが高いでしょう。

機能が似ているセキュリティサービスとしてCASB（キャスビー）があります。
「何に対するセキュリティ対策なのか？」という点で違いがあるため、解説していきたいと思います。

CASB（Cloud Access Security Broker）とは、2012年にアメリカのガートナー社が提唱した、クラウドサービスに対するセキュリティ対策の考え方です。
企業が許可したアプリケーションの実際の利用状況だけではなく、許可していないアプリケーションの利用状況（例えば取引先から自社で使用していないアプリで情報共有をしようと言われる事も多々あると思います）まで把握することが出来ます。また会社が許可しているクラウドサービスにおいては、アプリケーション内のユーザの行動と利用状況を可視化するだけではなく、ユーザ毎の操作権限の設定等も一元管理する事が可能です。

主な機能はSWGと類似していますが、大きく異なる点はSWGが外部ネットワークに出る全てのトラフィックを検疫するのに対して、CASBはクラウドサービスの利用シーンに特化したセキュリティ対策ツールであることです。クラウドサービスに関してはCASBの方がより細かい制御を施すことが出来ます。

最近ではSWGとCASBが融合されたようなセキュリティサービスも登場してきており、CASB、SWG、WAF（Web Application Firewall）などがパッケージ化されたサービスが今後提供されるようになるであろうと考えられています。
SWGでWebへのアクセス、CASBでクラウドサービスへのアクセスを守ることで、どのサイト、どのサービスにアクセスしても安全性を担保することができるようになるでしょう。
一つのサービスでSWGとCASBの機能を利用することができれば、情シスの負担軽減にもつながります。
業界の最新情報は常にチェックしておきましょう。ちなみに、情シスマンのTwitterでも業界情報をつぶやいていますので、もしよろしければ…