SWG（Secure Web Gateway）とは？ 仕組み、代表的な機能、メリット・デメリットを詳しく解説

SWG（Secure Web Gateway）の概要

SWG（Secure Web Gateway）とは

SWG（Secure Web Gateway）とは、インターネットとエンドポイント（端末）の間に介在して、クラウド上でセキュリティ機能を提供するというソリューションのことを指します。2021年にアメリカのガートナー社が提唱した概念です。

SWGは、インターネットとエンドポイント（端末）をつなぐプロキシのゲートウェイで、そこにさまざまなセキュリティ機能が付加されたものです。代表的なセキュリティ機能としては、URLフィルタリングやマルウェア防御（アンチウイルス機能）、DLP（Data Loss Prevention）などを搭載しています。

インターネットアクセスに関連するセキュリティソリューションとしては、従来からゲートウェイ型のものもありました。しかしゲートウェイ型のセキュリティソリューションは、社内からのインターネットアクセスを制御するなど、特定の拠点に限られた環境で有効なものが多く、社外に持ち出した端末からのインターネットアクセスの制御には対応ができないという課題がありました。クラウドの利用が当たり前になった昨今の環境下では、クラウドベースで動作し、リモートワークやモバイル利用の通信なども保護できるSWGの有効性が高まっています。

ネットワークセキュリティについては、SASE（Secure Access Service Edge：セキュアアクセスサービスエッジ）というネットワークとセキュリティの統合モデルの考え方があります。2019年にガートナー社が提唱したコンセプトです。SASEのうちA（Access）を除いたセキュリティ部分を切り出してSSE（Security Service Edge）といいます。SWGは、CASB（Cloud Access Security Broker）やDLPなどとともに、SSEの機能を担うようになっています。つまりSWGは、SASEの機能の中で、セキュリティに関する一部分を担っているといえます。SSEについては別記事でも詳しく解説しています。

SWGの仕組み

SWGは、クラウドベースのサービスとして提供されることが一般的であるため、場所に依存しないセキュリティアプローチが可能です。最も簡単な導入方法としては、PCなどのエンドポイントに専用のエージェントをインストールするエージェント方式です。これにより、当該の端末でインターネットにアクセスする際は、必ずクラウド上のSWGを経由してアクセスすることになるので、セキュリティを強化できます。

その他、プロキシ自動構成（PAC）ファイルを利用して、プロキシサーバを使用するようにWebブラウザーを構成するプロキシ方式や、IPsec またはGRE接続を使用して社内からの出口にあるファイヤーウォールとSWGを直接トンネルで結ぶIPSec/GRE方式などがあります。

採用すべきSWGの方式は、どのような環境でインターネットを活用するかによって異なりますが、リモートワークなど社外での利用が前提であればエージェント方式が有効です。また、社内からのアクセスのみを制御できればよいというケースや、サーバ系の機器などエージェントをインストールできないケースでは、プロキシ方式や IPSec/GRE 方式が有効となります。

SWGとオンプレミス型プロキシの違い

オンプレミス型のプロキシの場合は、基本的には業務をする場所が社内であることが前提です。社内から当該プロキシを経由しない限り、セキュリティ機能が効かないことになってしまいます。

しかし、すでに触れた通り、社外でのリモートワークを日常的に行う状況では、必要なPCなどの端末を社外に持ち出して、業務遂行にあたることも多くなります。そのような活用が多いようであれば、場所に左右されることなく、クラウド上でセキュリティ機能が活用できるSWGが必須ということになります。

SWGが必要とされる理由

昨今のビジネス環境において、特にコロナ禍以降は、リモートワークが一般化し、インターネットに接続する環境下での業務遂行が常態化しています。また、各種の業務アプリケーションの利用や、各種のデータのやり取りにおいても、クラウド化が進展しています。業務遂行に活用されるアプリケーションもデータも、すべてがクラウド上にあります。そのため、セキュリティ対策としてのSWGの重要性が高まっているといえます。

SWGの主な機能

SWGの主な機能は次の５つです。

URLフィルタリング

ユーザーが利用しようとしているWebサイトについて、業務に無関係なWebサイトや、マルウェアなどに感染する恐れのある不正なWebサイトへのアクセスを制限する機能です。

特定のURLを制限するだけでなく、Webサイトをカテゴリーに分類して、カテゴリーベースでアクセスを制限することも可能です。

アプリケーションフィルター

クラウド上で提供される特定のWebアプリケーションやネットワークサービス（たとえば、ソーシャルメディア、クラウドストレージ、インスタントメッセージングアプリなど）について、アクセスを制限したり、あるいは特定のアプリケーションだけ許可したりといった管理・制御を行う機能です。

アンチウイルス

インターネットからダウンロードされたファイルやWebページのコンテンツをスキャンし、ウイルスやマルウェアが含まれていないかをチェックする機能です。ファイルが危険と判断された場合、アクセスをブロックし、ユーザーに警告を表示します。

サンドボックス

アンチウイルスと似た機能ですが、サンドボックスは、サンドボックス技術を使って、Webからダウンロードされたファイルを仮想環境で実行し、その挙動を監視することで、未知のマルウェアについての危険性を確認する機能です。これによって、システムに感染する前に、マルウェアの挙動を検知し、端末への感染を防ぐことができます。

DLP（Data Loss Prevention）

DLPは、端末とインターネットの間でやりとりされる各種のデータ（ワード、エクセル、画像データ、電子メール、ファイル転送、Webアクセスなど）を監視する機能です。機密情報や個人情報がデータの中に含まれているかチェックし、そうした情報が含まれている場合、データのダウンロードやアップロードをブロックし、ユーザーに警告を表示します。

一般的なSWG製品の場合は、これらの機能がすべて搭載されているものがほとんどです。ただし、サンドボックスやDLPについては、標準のパッケージには含まれず、オプション設定になっているなど、製品によってバラツキがあるので、導入の検討にあたっては、適切に確認する必要があります。

SWG導入のメリット、デメリット

SWG導入検討には、以下に挙げるメリット、デメリットを考慮することが重要です。

メリット

SWGは基本的にクラウドサービスであるため、場所を制限されることなく、インターネットアクセスを安全に行うことができるという点が大きなメリットのひとつです。

また、クラウドであるが故に、ユーザー数やトラフィックが増減したとしても、必要に応じてスケールアップやスケールダウンが容易に行えるというスケーラビリティがあることも大きなメリットといえます。

さらには、オンプレミスと違って、サービス提供事業者によってセキュリティに関する脅威情報が常に最新のものに更新されます。もちろん、サーバの保守・管理の手間も不要ですし、運用に関する手間やコストを大幅に削減することができます。障害発生時においても、サービス提供事業者側が迅速な復旧を行うことが基本となり、利用者側の負荷は大きく軽減できます。

デメリット

ほとんどのSWGがサブスクリプション型の料金体系であり、中長期的なトータルコストを比較した場合、導入のパターンや規模によっては、オンプレミスモデルの方がリーズナブルになる可能性がある点に注意が必要です。

導入のパターンや規模、必要な機能などをしっかりと見極め、オンプレミスモデル側では導入後のメンテナンスなどの保守・管理にかかるコストも忘れがちなのでしっかりと勘案した上で、コストメリットを確認しておくことが重要です。

SWG導入時の課題、検討ポイント

昨今のSWG製品に関していえば、機能面での優劣はそれほどないといえます。どこまでの機能が標準料金で利用可能なのか、どの機能がオプション設定で別料金が発生するのかといった違いはあるかもしれません。しかし、一般的には「SWGの主な機能」で取り上げたような機能を利用可能なものがほとんどです。

そのため製品選びにおいては、機能の横の広がりのカバレッジだけではなく、その縦の深さ（たとえば、DLPのテンプレートの充実さなど）がどうなのかという点を掘り下げて比較検討することが重要なポイントになります。

また、アクセスポイントがどれだけ充実しているかを確認することも重要です。特にグローバル企業の場合には、指定の地域で利用できるか確認しておく必要があります。中には、特定の国や地域での使用については、オプション扱いで別途料金が発生する場合もあります。

特に中国におけるアクセスポイントについては、中国独自のグレートファイアウォール（大規模なネット検閲システム）があることから、事前に利用可否をしっかりと確認しておく必要があります。

さらにSWGの場合には、クラウド型でSＷGを経由してインターネットにアクセスする仕組みであるため、アクセス速度に遅延が発生しないか確認することも重要なポイントです。

SWGの導入によってセキュリティは強化されたものの、それによってアクセスが遅くなり業務に支障が出るようでは本末転倒です。

いくつものセキュリティ上の課題がある場合でも、優先順位はどうなっているのか、あるいはどの機能を重要視しているのか、といった点をしっかりと検討した上で、自社のニーズに沿った製品選びをすることが重要といえます。

包括的なセキュリティ統合プラットフォーム 「Netskope」

包括的なセキュリティ統合を実現する「Netskope」なら、クラウドサービスの利用が不可欠となった今日のビジネス環境において、SWGはもちろん、CASBを含む総合的なセキュリティ対策が実現します。

「Netskope」は、SWGに関して十分な機能を備えていますが、加えてCASBに関して大きな強みをもっています。

たとえばSWGのURLフィルタリング機能によって、特定のWebサイトへのアクセスを制御することができますが、CASBの機能を活用することで、さらに詳細なアクセス制御をかけることが可能になります。あるWebサイトにおいては、ユーザーの閲覧を許可するが、データのダウンロードは制限するといったように、アクティビティベースでのポリシー設定も可能です。

また、個人情報の漏洩を防ぐDLP機能についても充実しており、「Netskope」の場合は、個人情報とは何かという定義から、標準のテンプレートを使って詳細に設定することができます。

多様なクラウドサービスの利用が求められる環境においては、SWGによる単純な制御では業務上の要件を満たせない場合がありますが、高度なセキュリティ機能を有する「Netskope」を活用することで利便性向上と強固なセキュリティ対策を両立させることができます。