SWG(Secure Web Gateway) せきゅあうぇぶげーとうぇい
プロキシURLフィルタリングマルウェア対策ゼロトラストSASEクラウドセキュリティ
SWGについて教えて
簡単に言うとこんな感じ!
SWG(Secure Web Gateway)は、社員がインターネットを使うときに「危ないサイトには行かせない」「怪しいファイルはブロックする」番人みたいな仕組みだよ。会社とインターネットの間に立って、悪いものを全部チェックしてくれるセキュリティの関所なんだ!
SWG(Secure Web Gateway)とは
SWG(Secure Web Gateway) とは、社内のユーザーがインターネットにアクセスする際に、その通信を検査・フィルタリングするセキュリティ製品・サービスです。悪意のあるWebサイトへのアクセスをブロックし、マルウェア(ウイルスなどの悪意あるソフトウェア)の侵入を防ぐ「インターネット出入口の番人」として機能します。
従来は物理的なアプライアンス(専用機器)として社内に設置するのが一般的でしたが、近年はクラウド上で提供される クラウド型SWG が主流になっています。在宅勤務や外出先からのアクセスが増えた現代では、クラウド型が特に有効で、SASE(Secure Access Service Edge) と呼ばれる次世代ネットワークセキュリティの重要な構成要素の一つとして位置づけられています。
企業がSWGを導入する最大の理由は「ユーザーの行動を制御しつつ、外部からの脅威を防ぐ」ことです。単純なファイアウォールでは防げない、HTTPS通信の中に隠れた脅威やフィッシングサイトへの誘導なども検出・遮断できる点が大きな特徴です。
SWGの主な機能と仕組み
SWGは複数のセキュリティ機能を組み合わせて、インターネット通信を多層的に守ります。
| 機能 | 説明 | 具体例 |
|---|---|---|
| URLフィルタリング | 危険・不適切なサイトへのアクセスをカテゴリ単位でブロック | 賭博サイト・フィッシングサイトへのアクセスを禁止 |
| マルウェア検査 | ダウンロードするファイルをリアルタイムにスキャン | 添付ファイルに仕込まれたウイルスを検出・遮断 |
| SSLインスペクション | 暗号化(HTTPS)通信の中身を復号して検査 | 暗号化通信に隠れた攻撃コードを発見 |
| アプリケーション制御 | 特定のクラウドアプリやSNSの利用を制限 | 業務外のYouTubeや個人DropboxへのアップロードをNG |
| データ漏洩防止(DLP) | 機密情報の外部送信を検知・ブロック | 顧客名簿ファイルのアップロードを禁止 |
| サンドボックス | 怪しいファイルを隔離環境で実行して安全性を確認 | 未知のマルウェアを安全な仮想環境で検査 |
SWGの処理フロー
社員のPC → [SWG] → インターネット
↓
┌─────────────────┐
│ 1. URLフィルタ │ → ブラックリスト照合
│ 2. SSLインスペクション│ → HTTPS復号・検査
│ 3. マルウェアスキャン │ → ファイル検査
│ 4. アプリ制御 │ → ポリシー適用
│ 5. DLPチェック │ → 情報漏洩防止
└─────────────────┘
↓
OK → 通信を許可
NG → ブロック&警告設置形態:オンプレミス型 vs クラウド型
| 比較項目 | オンプレミス型(旧来) | クラウド型(現在主流) |
|---|---|---|
| 設置場所 | 社内データセンター | クラウド上 |
| リモートワーク対応 | 苦手(VPN経由が必要) | ◎(どこからでも適用) |
| 導入コスト | 高い(機器購入) | 低い(月額課金) |
| 保守・更新 | 自社で対応 | ベンダーが自動対応 |
| スケーラビリティ | 拡張に時間・費用がかかる | 柔軟に拡張可能 |
歴史と背景
- 2000年代初頭:インターネット普及に伴い、社員の不適切なWebアクセスが問題化。プロキシサーバーによるURLフィルタリングが登場
- 2005〜2010年:Webからのマルウェア感染が急増。URLフィルタリングだけでは不十分となり、マルウェア検査機能を統合した「SWG」という概念が確立。BlueCoat・Websense・McAfeeなどが市場を牽引
- 2010年代前半:HTTPS(暗号化通信)の普及により、通信の中身が見えない問題が発生。SSLインスペクション機能が重要に
- 2017〜2019年:クラウドサービス・SaaSの爆発的普及。社員が社外から直接クラウドに接続するケースが増え、「社内の機器だけを守ればよい」時代が終わる
- 2019年:Gartnerが SASE(サシー) という概念を提唱。SWGはSASEを構成する中核コンポーネントとして再定義される
- 2020年〜現在:コロナ禍によるリモートワーク急拡大で、クラウド型SWGの需要が爆増。Zscaler・Netskope・Palo Alto Networksなどが市場をリード
SWGとゼロトラスト・SASEの関係
SWGは単体でも使えますが、現代のセキュリティアーキテクチャでは SASE(Secure Access Service Edge) の一部として組み合わせて使うのが主流です。
SWGと従来のプロキシサーバーの違い
| 比較項目 | 従来のプロキシサーバー | SWG |
|---|---|---|
| 目的 | 主にキャッシュ・アクセス制御 | セキュリティ重視の多層防御 |
| マルウェア対策 | なし〜簡易 | 高度なスキャン・サンドボックス |
| SSL通信の検査 | 非対応が多い | SSLインスペクション標準搭載 |
| クラウド対応 | 限定的 | クラウドネイティブ設計 |
| 場所を選ばない利用 | 難しい(VPN必須) | どこからでも適用可能 |
主要なSWG製品・サービス
| ベンダー | 製品名 | 特徴 |
|---|---|---|
| Zscaler | Zscaler Internet Access (ZIA) | クラウドネイティブの代表格 |
| Netskope | Netskope Secure Web Gateway | CASBとの統合が得意 |
| Palo Alto Networks | Prisma Access | SASEフルスタックで提供 |
| Microsoft | Defender for Cloud Apps | M365環境との親和性が高い |
| Forcepoint | Forcepoint ONE SWG | DLP連携が強み |
関連する規格・RFC
| 規格・RFC番号 | 内容 |
|---|---|
| RFC 7230 | HTTP/1.1の基本仕様(SWGが検査するプロトコル) |
| RFC 8446 | TLS 1.3(SSLインスペクションの対象となる暗号化プロトコル) |
| RFC 7235 | HTTP認証フレームワーク(プロキシ認証に関連) |
関連用語
- SASE — ネットワークとセキュリティをクラウドで統合する次世代アーキテクチャ
- ZTNA — ゼロトラストに基づいて社内リソースへのアクセスを制御する仕組み
- CASB — クラウドサービスの利用を可視化・制御するセキュリティ機能
- ゼロトラスト — 「何も信頼しない」を前提にしたセキュリティの考え方
- プロキシサーバー — クライアントとサーバーの間を仲介する中継サーバー
- DLP — 機密情報の外部漏洩を検知・防止するセキュリティ技術
- ファイアウォール — ネットワークへの不正な通信をブロックするセキュリティの基本機能
- SSLインスペクション — 暗号化されたHTTPS通信を復号して中身を検査する技術