新型コロナウイルスの感染拡大により、テレワークを導入する企業が増えています。テレワークの普及により、VPNの利用が増加していることで、遅延などの影響が出ているという声も少なくありません。
本資料では、テレワークの利用増加によって引き起こされる遅延の原因と、テレワーク普及下において活用が広がっているSASEというセキュリティモデルを用いたネットワーク構成について解説しています。
2022.02.22
column_89
従来のセキュリティ対策の代表格であるファイアウォールやIPS/IDS、アンチウイルスソフト、プロキシサーバ。社内ネットワーク(LAN)とインターネット(WAN)の境界の見張り番として出入りする通信を検疫し、侵入してこようとする「脅威」を検知し防御していました。
しかし、これらは境界型ネットワークにおいて有効でしたが、ここ数年における働き方の急変により、ネットワークの在り方も見直さなくてはいけなくなりました。
本記事では、境界型セキュリティの立役者であったプロキシサーバの後継技術「SWG」についてお話したいと思います。
SWGはSecure Web Gatewayの略で、エンドユーザが社外ネットワークへのアクセスを安全に行うための、主にクラウド型として提供されるプロキシ(Proxy)です。
Proxyは直訳が「代理/代理人」であり、元来プロキシサーバは内部/外部のネットワークの境界上で中継を担う存在で、全てのインターネット通信をプロキシに中継させることで、ログの集積を行えたり、キャッシュを貯める事でレスポンスの向上を計ったり、外部からのアクセスに対して不正アクセスでないかどうかをチェックしたりします。SWGとは、昔からあるプロキシサーバの機能が拡充されたバージョンです。
SWGイメージ図
SWGには、従来のプロキシサーバが持つ機能の他、ゼロトラストネットワークに則したセキュリティ機能が搭載されています。
提供ベンダーによって詳細に違いはありますが、代表的な機能を紹介します。
クライアント上のWebブラウザの代理としてインターネットにアクセスすることで外部のWebサービスに対してクライアントのIPアドレスを秘匿し、匿名性を担保することができます。
予め定義されたシグネチャファイル※とのパターンマッチングによって、PC内に侵入するウイルスを排除します。
既知のマルウェア感染を防ぎ、PCにおけるセキュリティ向上を行います。
※シグネチャファイル…マルウェアや不正アクセスなどの攻撃におけるパターンの特徴(シグネチャ)を集約したファイルのこと
コンピュータ上に構築した仮想閉域環境にて実行ファイルなどを動かし、挙動を確認して安全性を判断します。
社内ネットワークから離れた場所にサンドボックスを構築してマルウェアや不正なプログラムをここで検知することで、社内システムへの影響を最小限に抑えることが可能です。
(未知のマルウェアにも有効ですが、最新のマルウェアでは自身がサンドボックス内にいることを判断して挙動を止める事で検知をすり抜けるものも出ているので、出入口対策だけではなくエンドポイントセキュリティの併用を推奨します)
ブラックリスト/ホワイトリストの定義によってリスクの高いSaaSは使わせない、不正なサイトにアクセスさせない等のフィルターを適用することができます。
許可されてないアプリケーションの利用を制御します(シャドーIT防止)
SSLの暗号通信を復号して、通信パケットを詳細に分析することでより正確なアプリケーションフィルターを適用できます。
(最近では、SSLを用いた暗号化の特性を悪用した標的型攻撃が増え、外部のC&Cサーバとの通信にもSSL通信をするケースがあるのでSSL通信の可視化は重要機能です)
予め定義された機密情報を識別して重要データと認定された情報の送信やコピーを制限することにより、機密情報の流出につながる操作を阻止します。
オフィスで仕事をしていた従業員がコワーキングスペースや自宅でも仕事をするようになり、VPNを経由して社内のオンプレサーバにアクセスするのが非効率になったことで、サーバをクラウド環境に移行し、それに直接アクセスさせる「ローカルブレイクアウト」の構成をとっている企業が増えました。
クラウドサービスはIaaSもSaaSもインターネット上で提供されますので、クラウドサービスの浸透に伴って社内ネットワークとイ外部ネットワーク(インターネット)の線引きが曖昧になり、境界型セキュリティで肝心であった「境界線の内側は安全、外側は危険」という前提条件が揺らぐこととなりました。
従来のネットワーク構成では境界を出入りする通信の見張り番(ファイアウォールなど)が活躍していました。しかし、クラウドサービスに直接アクセスする場合は社内ネットワークを経由しない為、見張り番の検疫を受けることなく通信が完結してしまいます。
SWGが外部ネットワークへの全アクセスを中継することで、適切な出入口対策が実行できるようになるのです。
SWGは、クラウド型、オンプレ型、ハイブリッド型(クラウド型とオンプレ型の併用)と3種類の導入方法があります。
クラウド上で提供されるSWGをサービスとして利用するパターンです。
オンプレ型に比べて、初期費用が抑えられる点、システムダウンの対応もサービスベンダが行うため自社に大掛かりなセキュリティ部門がなくとも利用ができる点で、導入ハードルが低いこと・運用コストを抑えられることがメリットです。
また、クラウド型で提供される一番大きなメリットは、アクセスする場所に限らず利用できる点です。
現代の働き方にあったSWGの導入としては、一番最初に検討したい導入方法となります。
自社のオンプレミスサーバにSWGを設置する場合、カスタマイズや既存のシステムとの連携を取れます。既にCASBを導入している企業、テレワーカーを保有せず、社内ネットワークからしかアクセスを許容していない運用の企業は、オンプレでの導入も選択肢の一つになるかもしれません。
SWG導入をきっかけに、既存のプロキシサーバをオンプレからクラウドに移行する企業もいるでしょう。
クラウド型とオンプレ型の両方を利用するパターンもあります。
既に社内にプロキシサーバと相応のスキルを持つ情シス担当を持つ企業においては、完全リプレイスではなくハイブリッド型で導入し多層階プロキシとして利用する方がユーザビリティが高いでしょう。
機能が似ているセキュリティサービスとしてCASBがあります。
「何に対するセキュリティ対策なのか?」という点で違いがあるため、解説してきたいと思います。
CASB(Cloud Access Security Broker)とは、2012年にアメリカのガートナー社が提唱したクラウドサービスに対するセキュリティ対策の考え方です。
企業が許可したアプリケーションの実際の利用状況だけではなく、許可していないアプリケーションの利用状況(例えば取引先から自社で使用していないアプリで情報共有をしようと言われる事も多々あると思います)まで把握することが出来ます。また会社が許可しているクラウドサービスにおいては、アプリケーション内のユーザーの行動と利用状況を可視化するだけではなく、ユーザ毎の操作権限の設定等も一元管理する事が可能です。
CASBについて詳しく解説した記事はこちら
主な機能はSWGと類似していますが、大きく異なる点はSWGが外部ネットワークに出る全てのトラフィックを検疫するのに対して、CASBはクラウドサービスの利用シーンに特化したセキュリティ対策ツールであることです。クラウドサービスに関してはCASBの方がより細かい制御を施すことが出来ます。
SWGはインターネット上の脅威からユーザーを保護する役割を担う新しい出入口対策ツールです。
いかなる状況下においても事業を継続させるべく、サーバのアウトソースや新たなクラウドサービスの導入、ロケーションを問わない働き方、様々な要素がゼロトラストセキュリティの必然性に繋がる中、出入口対策におけるユーザー防御の要となる仕組みでしょう。
快適な通信環境を実現する Withコロナ時代のネットワーク構成とは
新型コロナウイルスの感染拡大により、テレワークを導入する企業が増えています。テレワークの普及により、VPNの利用が増加していることで、遅延などの影響が出ているという声も少なくありません。
本資料では、テレワークの利用増加によって引き起こされる遅延の原因と、テレワーク普及下において活用が広がっているSASEというセキュリティモデルを用いたネットワーク構成について解説しています。