ネットワールドSEが語る!SaaS時代にも最適なVMware Cloud Web Security

「VMware Cloud Web Security」は「VMware SASEにおけるSecure Web Gateway(SWG)の機能を提供」するクラウド型のソリューションです。高度化するサイバー攻撃やSaaS利用の増加に対応します。2021年6月のリリース以降、Cloud Web Securityには続々と新機能が提供されています。

本記事では、弊社SEの工藤が従来プロキシサーバーからSecure Web Gatewayへの置き換えという観点からCloud Web Securityの特徴についてご紹介します。

目次

プロキシサーバからSecure Web Gateway / Cloud Access Security Brokerへ

これまでのプロキシは、コンテンツキャッシュによるアクセスの高速化、URL制御によるセキュリティの確保、そしてログの取得による監査対応が主な用途でした。例えば、企業内でOSアップデートなどがあった際にアクセスが集中すると、業務に支障をきたしかねません。また、業務に不要なサイトへのアクセスは、ウイルス感染などリスクをもたらす可能性があります。そうした中で何かインシデントが発生した際に、対処や原因究明のために、ユーザーのネットワーク内の行動やログを解析する必要があるため、プロキシサーバは、企業のインターネット活用に欠かせない存在になっています。インターネット活用が進むと、用途によってファイルのアップロードやダウンロードを制御したり、サイトのカテゴリでアクセス制限をしなければないらないという要望が高まりました。このような課題が挙げられる中で、WebセキュリティアプライアンスやURLフィルタといった、プロキシのWebセキュリティ機能をさらに発展させた製品が提供されています。

そしてクラウドが主流となっている中で、サイバー脅威の深刻化とゼロトラストセキュリティにより、さらに高度なWebセキュリティを提供するSecure Web Gateway(SWG)やSaaSに対応してURLではなくクラウドアプリケーション単位で制御を行うCloud Access Security Broker(CASB)が登場しています。そしてSWGやCASBは、VMware が提供しているクラウド上で提供されるネットワーク機能とセキュリティ機能を併せ持ったプラットフォームである「VMware SASE」に統合されています。

プロキシサーバからSWG/CASBへの進化

VMware Cloud Web Securityの概要

ゼロトラストセキュリティにおいてクラウド上で提供されるネットワーク機能とセキュリティ機能を併せ持ったVMware SASEは、単体の製品ではなく、3つのサービスから構成されています。認証を担うVMware Secure Access、通信の最適化を担うVMware VeloCloud SD-WAN、そしてSWGを担うのが、VMware Cloud Web Securityです。VMware SASEの構成要素やラインナップ詳細については、こちらの記事をご確認ください。

以下、 Cloud Web Securityの具体的な機能について簡単にご紹介します。

1. SSLの復号化

現在、ブラウザとサーバー間の通信を暗号化し、情報の流出や改ざんを防いでいることが多くなっていますが、その内容の安全性までは担保できていないので、信頼済みの証明書で暗号化された通信については、悪質な内容を含んでいても、セキュリティをすり抜けてしまう可能性があります。そこでCloud Web Securityは、サーバ側で一度SSL通信を復号化し、内容を検査した上で、もう一度VMwareの証明書で暗号化してユーザーのブラウザに届けることで、セキュリティを担保する仕組みを取っています。

2.URLフィルタリング

業務に関係ないサイトやマルウェアの拡散や情報の搾取を狙ったフィッシングサイトへのアクセスを制限し、標的型攻撃を防ぐ機能です。カテゴリベースのアクセス制御にも対応し、現在、73のWebカテゴリと11の脅威カテゴリを実装し、その情報は常時アップデートされています。

3. マルウェア防御・サンドボックス

ファイルのアップロードやダウンロード時に、一旦Cloud Web Securityのサーバを経由してファイルを検査することで、安全性が確認されたものだけをダウンロードでき、セキュリティを担保することが可能な機能です。また、サンドボックスでチェックを行っているので、実行ファイルの検査も可能になっています。また、パスワードで暗号化されたファイルも、Cloud Web Security上で入力することでスキャンが可能になります。

このように、Cloud Web Securityはプロキシサーバとしての基本的な特徴も備えており、既存のオンプレミスのWebセキュリティの置き換えにも十分対応することが可能です。実際、現在のCloud Web Securityは、SD-WANもしくはSecure Accessによる通信時に、Cloud Web Securityを経由して通信するよう設定することで利用できるので、VMware SASEのネットワーク上で、透過プロキシのように働きます。もちろん、Zoomなどプロキシの利用が非推奨になっているサービスについては、SD-WANやSecure Accessの設定で直接インターネットアクセスさせる設定も可能です。

VMware SASE利用時の通信経路

CASBとData Loss Prevention(DLP)も利用可能に

Cloud Web Securityのリリースから、上記でご紹介した基本的な機能に加えCASBとData Loss Prevention(DLP)も追加され、さらにセキュリティ機能が強化されました。後半は、これらのアップデートについてご紹介します。

1. CASBによるSaaSアプリ利用の可視化

Cloud Web Securityは、アクセスログからSaaSアプリの利用状況を可視化し、それぞれのアプリ毎やカテゴリ別に見やすくレポーティングできますので、SaaSアプリのシャドーIT化を防ぐことができます。加えて、利用中のSaaSアプリのセキュリティ状況をリスクスコアとして表示することができます。Microsoft 365のようなSaaSアプリの業務利用では、SaaSアプリのセキュリティ要件を把握し、業務におけるリスクを評価しながら運用することが必要です。特に個人情報を扱うようなビジネスでは、SaaSアプリのリスクの評価は不可欠ですが、数十〜数百にものぼるSaaSアプリを管理・評価することは、非常に大変な作業ですが、Cloud Web Securityのリスクスコアが、いわばSaaSアプリの信用情報のような役割を果たすことで、業務利用に適したSaaSアプリかどうかの判断や、それを受けたセキュリティポリシーの策定の手助け、コンプライアンスの強化を図ることが可能です。

CASBによるSaaS利用の可視化

2.  CASBによるSaaSアプリの制御

実際のSaaSアプリ利用で、可視化の結果策定されたセキュリティポリシーを実現する機能が、CASBによるSaaSアプリの制御です。URLフィルタでは、URLやサイトのカテゴリを判断してアクセス制限することしかできませんが、CASBは個別のアプリケーション単位で識別し、それぞれにきめ細やか詳細なルールを作成することにより、APIレベルでアクションを制御できるのが特徴です。例えば情報漏洩対策では、柔軟な制御が可能で、Cloud Web Securityでクラウドストレージへのアップロード機能だけをブロックするといったこともできます。取引先とのやり取りに使うSaaSアプリや、個人利用のSaaSアプリといった、社内のロールによる権限管理では制御できないSaaSアプリも、CASBで制御することで、安全に使用することができ、データ漏洩対策も可能です。

柔軟なアプリケーション単位の制御

3. DLP機能

Cloud Web Securityには、データに対しても制御を行うことができるDLP機能も実装されており、機密データが企業の境界から外に漏えいしないように保護します。HIPAA、PCI、GDPR といった個人情報保護のコンプライアンスにも容易に対応することが可能で、ファイルのアップロードやダウンロード時に辞書とマッチングし、機密情報を示す語彙を検出した時に、監査者への通知やアップロードのブロックといったアクションを設定することができます。添付ファイルに加え、SNSやメールといったテキスト入力も検出対象とすることができます。

DLPで可能な制御

まとめ

Cloud Web Securityはプロキシとしての基本機能に加え、アップデートにより、クラウド時代に対応したセキュリティ機能がさらに充実してきています。特にCASBによる可視化・制御を活用することで、皆様がビジネスで利用しているSaaSアプリを安全に利用するための運用工数を大幅に削減することが可能です。

目次