セキュア・ウェブ・ゲートウェイ(SWG)は、インターネット接続の安全性を確保することを目的としたSASE/SSEソリューションにおいて、重要な役割を果たしています。 その主な目的は、オンライン上の脅威からユーザーを保護し、組織内で許容されるアクセスポリシーを実施することです。 SWGは、ユーザートラフィックを傍受し、アクセスポリシーの実施を含む様々なセキュリティエンジンを採用することでこれを実現します。 組織のアクセスポリシーを満たし、クリーンとみなされるトラフィックのみが通過を許可されます。 現在、インターネットトラフィックの95%が暗号化されているため、SASE/SSEソリューションで包括的なセキュリティを実現するには、このトラフィックを解読する能力が必要です。 トラフィックのほとんどはMITM(Man-In-The-Middle:中間者)によるTLS復号化で復号化できますが、特に個人を特定できる情報(PII)を扱うウェブサイトや銀行サイトをユーザーが閲覧する場合、ユーザーのプライバシーに関する懸念が浮上しています。 さらに、特定のアプリケーションソフトウェアベンダーは、MITM による TLS 復号化を完全に防ぐために、証明書のピン留め技術を採用し始めています。 これらの進展は、企業に価値を提供しながら、SASEレベルで適用できるセキュリティについて疑問を提起しています。 そこで、評判のセキュリティ・エンジンが勢いを増しています。 この記事では、TLS復号化の有無にかかわらず普遍的に適用できるセキュリティエンジンについて説明することで、インターネット接続におけるSWGの価値を強調します。 また、復号化されたTLSトラフィック上で動作し、包括的なセキュリティ対策を可能にするセキュリティ・エンジンについても探求しています。

SASEの全コンポーネントに共通する一般的な機能

SASEセキュリティのアクセス制御は、アイデンティティを中心に行われるため、認証と認可は、SASEのすべてのコンポーネントで必要とされる基本的な機能です。 Identity-aware SASEIdentity brokerの記事は、異なる認証方法と複数の認証サービスとのインタフェースについての洞察を提供します。さらに、Proxies-in-SASE の記事では、ユーザからインターネットへ、ユーザから SaaS サービスへ、ユーザから企業アプリケーションへ流れるトラフィックを捕捉するために使用される技術を掘り下げています。 しかし、この記事では主にSWGコンポーネントのセキュリティエンジンに焦点を当てます。 この記事では、集中型構成管理や観測可能性機能など、すべてのSASEコンポーネントで共有されている他の共通機能については掘り下げていません。

セキュリティエンジンと汎用ポリシー評価

SASEフレームワークでは、すべてのセキュリティエンジンは、システムの振る舞いを制御するルールとアクションを提供する、管理されたポリシーに基づいて動作します。 各セキュリティ・エンジンは複数のポリシー・テーブルで構成することができ、各テーブルには複数のポリシーを含めることができます。 ポリシーは、アクションとルールのセットで構成されます。 Action」は、システムがトラフィック・セッションをどのように処理するかを決定します。 ポリシー内のルールは、ポリシーが一致すると見なされるために満たさなければならない条件を定義します。 ルールは、一致する属性とそれに対応する値で構成されます。 トラフィックセッションが指定された属性値と一致する場合、そのルールは一致したと見なされます。 セキュリティ・ポリシーを効果的に実施するために、ルール内でさまざまなマッチング属性を使用できます。 これらの属性の例には、スケジュール(日付/時間範囲)、送信元IP、宛先IP、プロトコル/宛先ポート、送信元ポート、ユーザーの電子メールアドレス、ユーザーグループ、ユーザーロール、発行者などのユーザークレーム属性、およびJWTクレームレジストリで指定されているその他の属性が含まれます。 さらに、ドメイン名、URL、リクエストヘッダと値、HTTPメソッド、デバイスの姿勢、UEBAスコア、ユーザーの位置、ドメインカテゴリ、ドメインレピュテーションスコア、URLカテゴリ、URLレピュテーションスコア、IPセキュリティカテゴリ、IPレピュテーションスコア、ファイルレピュテーションスコアなどの属性を利用することもできます。 すべてのセキュリティ・エンジンがポリシーのすべてのマッチング属性をサポートしているわけではないことに注意することが重要です。 SASEは、トラフィック・セッションを複数のセキュリティ・エンジンを通して評価します。 各セキュリティエンジンは、設定されたポリシーに基づいて、トラフィックセッションを許可するかどうかを独自に決定します。 すべてのセキュリティ・エンジンがトラフィック・セッションの継続を許可した場合、SASEはトラフィックの通過を許可します。 SASEがセキュリティエンジンを実行する順番は、通常、事前に定義されています。 しかし、ある種の SASE 実装は、セキュリティエンジンの実行順序を選択する柔軟性を提供するかもしれません。 これにより、管理者は特定のセキュリティ・エンジンを優先したり、要件に基づいて処理順序を調整したりすることができます。

インライン脅威インテリジェンス収集

SWG(セキュア・ウェブ・ゲートウェイ)コンポーネントは、インラインの脅威インテリジェンスを収集する上で重要な役割を果たします。 信頼できるプロバイダーからのデータフィードに依存して、以下のようなさまざまな側面に関する貴重な情報を取得します:

  • IPアドレス、ドメイン、URL、ファイル、SaaSサービスの評判:SWGは、脅威/データインテリジェンスフィードを活用して、これらのエンティティの評判を評価します。 この情報は、潜在的に悪意のある、または疑わしいソースを特定するのに役立ち、システムは情報に基づいた意思決定を行うことができます。
  • ドメイン、URL、SaaSサービスの分類:インテリジェンス・フィードを活用することで、SWGはドメイン、URL、SaaSサービスが属するカテゴリを決定することができます。 この分類は、ポリシーの実施を支援し、組織が特定のカテゴリに基づいてきめ細かいセキュリティ制御を定義することを可能にします。
  • コンテンツのマルウェア分類SWGは、収集した脅威インテリジェンスを使用して、コンテンツ分析に基づいて潜在的なマルウェアを分類します。 コンテンツの特性を調べることで、悪意のあるファイルやウェブサイトを特定し、ブロックまたは隔離することができます。
  • コンテンツのデータ分類:SWGはまた、ウェブトラフィックのコンテンツを分類するために、データ分類インテリジェンスフィードを利用しています。 この分類により、送信またはアクセスされる可能性のある機密情報を特定し、データ保護ポリシーを効果的に実施することができます。

すべてのインターネット接続トラフィックとSaaSトラフィックがSWGを通過するため、SWGはトラフィックのさまざまな属性を収集することができます。 脅威/データインテリジェンスフィードを活用することで、SWGはこれらの属性を貴重な脅威情報で充実させることができます。 この情報は、異なるセキュリティ・エンジン間でのポリシー施行を容易にするだけでなく、SWGを流れるトラフィックに存在する脅威を可視化します。 この強化された可視性により、企業は潜在的なセキュリティ・リスクをリアルタイムで検出して軽減し、強固なセキュリティ体制を確保することができます。

SSL検査前のセキュリティエンジン

これらのセキュリティ・エンジンは、トラフィック・セッションをTLS/SSLで復号化する前に処理します。 これらのセキュリティエンジンは、インターネットに接続されたすべてのHTTPトラフィックに作用します。 これらのセキュリティエンジンは、潜在的なリスクを特定した場合、トラフィックセッションを停止します。

  • IPレピュテーションベースの脅威防御セキュリティエンジン:SWGの管理者は、特定のIPカテゴリ、IPレピュテーションスコア、およびその他の一般的な属性に基づいてポリシーを作成する機能を備え、カスタマイズされたセキュリティ対策を確立することができます。 このエンジンは、マルウェアやフィッシングコンテンツをホストしていることで知られるウェブサイトにアクセスするユーザーを強力に保護します。 宛先IPアドレスから収集した包括的な脅威インテリジェンスを活用することで、潜在的なリスクを効率的に特定して軽減し、悪意のある行為からユーザーを保護します。 各IPアドレスのレピュテーションを評価することで、セキュリティエンジンは、マッチングポリシーに沿った適切なアクションについて十分な情報を得た上で決定を下し、プロアクティブかつダイナミックなセキュリティ体制を確保します。
  • ドメインレピュテーションベースの脅威防御セキュリティエンジン:SWGの管理者は、ドメインカテゴリ、ドメインレピュテーションスコア、およびその他の一般的な属性に基づいてポリシーを作成する機能を備えており、必要なセキュリティ対策を効果的に定義することができます。 このエンジンは、マルウェアやフィッシングコンテンツをホストしているとのフラグが付けられたウェブサイトにアクセスするユーザーを包括的に保護します。 HTTP CONNECTホストヘッダ、TLSベースのHTTPトラフィックのTLS SNI、クリアHTTPトラフィックのホストヘッダなど、さまざまなソースから収集したドメイン脅威インテリジェンスを活用し、潜在的なリスクを正確に特定して軽減するポリシーを評価します。 ドメインレピュテーションデータを組み込むことで、セキュリティエンジンはプロアクティブな防御策を保証し、全体的なセキュリティ態勢を強化し、潜在的な脅威からユーザーを保護します。

レピュテーション・ベースのセキュリティ・エンジンは、正確さと適応性の両方を優先します。 これらのセキュリティエンジンは、包括的なポリシーレベルの柔軟性を提供し、SWG管理者に例外を作成する能力を与えます。 これらの例外は、脅威インテリジェンス・フィードによって生成された誤検知への対応や、ローカルの脅威ハンターがさらなる検査を行うためのトラフィックを意図的に許可する必要性への対応など、さまざまな理由から極めて重要です。 ドメインレピュテーションセキュリティエンジンに関しては、インテリジェンスを収集し、レピュテーションポリシーを実施するためにどのドメイン名を利用するかという重要な問題が生じます。 このような疑問が生じるのは、ドメイン名がトラフィックの複数のレイヤーに存在するためです。 SWGのフォワードプロキシ方式でトラフィックが流れる場合、SWGはHTTP CONNECTリクエストのホストヘッダとTLS Server Name Indication(SNI)フィールドからドメイン名を抽出することができます。 ホストヘッダとTLS SNIの値は通常一致していますが、異なる場合もあります。 その結果、SWGはデフォルトでこのセキュリティエンジンを2回通過することになります。 最初のパスはSWGがHTTP CONNECTリクエストを受信したときに発生し、2番目のパスはSWGがTLSトラフィックを受信したときに発生します。 このアプローチは、SWGがドメインのレピュテーションを正確に評価し、対応するポリシーを実施できることを保証します。 しかし、SWGはインテリジェントで効率的であるように設計されています。 HTTP CONNECTリクエストから抽出されたドメイン名とTLS SNIフィールドが同一の場合、SWGはこの冗長性を認識し、レピュテーションエンジンの再実行の必要性を回避します。 この最適化により、セキュリティ評価プロセスを合理化し、不必要な計算オーバーヘッドを削減することができ、包括的なドメインレピュテーションに基づく脅威防御を確保しながら、SWGが高いパフォーマンスレベルを維持することが可能になります。

アクセス制御エンジン

レピュテーションベースの脅威防御に加え、SWGは堅牢なアクセス制御機能を提供し、管理者はさまざまなインターネットサイトにアクセスする際に、ユーザーに差別化されたアクセスを提供することができます。 この強力なセキュリティエンジンにより、管理者は信頼できる脅威インテリジェンスプロバイダーが提供するドメインカテゴリに基づいてポリシーを作成することができます。 ドメインカテゴリを活用することで、SWG管理者は膨大な数のインターネットサイトをいくつかの包括的なカテゴリに分類し、管理を簡素化することができます。 この分類システムにより、ポリシーの作成が効率的かつ容易になり、管理者は個々のサイトごとに詳細な設定を行うことなく、効果的にアクセス制御手段を定義することができます。 さらに、アクセス・コントロール・エンジンは、ポリシー内で個々のドメイン名を指定する柔軟性も提供します。 これにより、管理者は特定のサイトへのアクセスをきめ細かく制御できるようになり、特定のサイトが独自のアクセス許可や制限を必要とする状況に対応できます。 アクセス制御エンジンの柔軟性は、ドメイン分類プロセスで誤検知が発生するシナリオで特に役立ちます。 このような場合、管理者はポリシー内に例外を作成して分類を上書きし、影響を受けるサイトの正確なアクセス制御を保証することができます。 この例外処理機能により、管理者は厳格なセキュリティ対策と、誤分類される可能性のある合法的なサイトに必要なアクセスを提供することのバランスを保つことができます。

SASE TLS/SSL検査エンジン

SWG TLS/SSL検査エンジンは、TLS/SSLセッションのコンテンツへのアクセスを必要とする高度なアクセス制御や脅威防御を可能にする上で、重要な役割を果たします。 しかし、TLS検査ではこれらのセッションを解読する必要があり、そのためには秘密鍵にアクセスする必要があります。 中間者(MITM)として、SWGは秘密鍵に直接アクセスすることはできません。 この制限を克服するために、TLS 検査エンジンは通常、企業で信頼されている認証局(CA)を使用してサーバー証明書を模倣する技術を採用しています。 クライアントからの新しいTLSセッションごとに、TLS検査エンジンがたどる典型的なステップの流れは以下のとおりです:

  • 宛先サービス(インターネットサイト)へのTLS接続を確立します。
  • 宛先サービスから提示された証明書を取得します。
  • 証明書のライフタイムを含め、証明書の内容を模倣し、模倣証明書を作成します。
  • エンタープライズ信頼済み CA を使用して、擬似証明書に署名します。
  • クライアントとのTLSハンドシェイク中に、この擬似証明書を提示します。

このプロセスをブラウザのセキュリティポップアップを発生させることなくシームレスに実行するためには、Enterprise CA 証明書チェーンが、通常、システム管理ソフトウェアを通じて、信頼できる CA として従業員のマシンに安全にオンボードされていることが不可欠です。 擬似証明書の鍵生成と署名に伴う計算オーバーヘッドを最小限に抑えるため、TLS検査エンジンは擬似証明書と対応する秘密鍵をキャッシュし、有効期限が切れるまで再利用します。 TLSインスペクションは高度な脅威防御とアクセス制御のために非常に望ましいものですが、企業では復号化が許可されない特定のケースがあるかもしれません。 このようなケースには、特にバンキング、金融、ヘルスケアサイトにアクセスする際のプライバシーに関する懸念や、証明書のピン留めが採用されるシナリオが含まれます。 さらに、ブラウザやOffice 365の拡張機能など、クライアント側でTLS暗号化が行われる前にすでに脅威がチェックされているコンテンツについては、TLS検査を有効にしないという選択肢もあります。 TLS復号化を実行するかどうかを柔軟に決定できるように、SWG TLS/SSL検査エンジンは管理者がポリシーを作成できるようになっています。 これらのポリシーにはドメイン・カテゴリの分類を含めることができ、管理者は金融やヘルスケア・サイトなどの特定のカテゴリや、企業が復号化を嫌うその他のサイトのTLS復号化をバイパスすることができます。 SWGのTLS/SSL検査エンジンは、ポリシーベースの制御と分類を提供することで、企業は強固な脅威対策と高度なアクセス制御を確保しながら、プライバシーとセキュリティの維持のバランスをとることができます。

SWG PKIインフラストラクチャ

SASEのサービスは、本質的にマルチテナントであり、複数の企業をサポートします。 このような状況の中で、独自の公開鍵基盤(PKI)インフラを持つ企業もあれば、PKIインフラを持たない企業もあります。 重要なことは、強固なセキュリティを確保するために、(模倣された証明書に署名するために使用される)エンタープライズCA証明書の有効期間が比較的短く、通常は数日間であるべきであるということです。 安全な環境を維持するためには、CA証明書の定期的な再発行が必要です。 SWGのコンテキスト内でCA証明書の秘密鍵のセキュリティを確保するためには、証明書署名要求(CSR)に基づく証明書生成が望ましい。 多くのSWGは、SWGデータプレーンインスタンスに中間CA証明書(SWG CA証明書)を発行するため、独自のPKIインフラを提供しています。 企業が独自の PKI インフラストラクチャを持たない場合、SWG の PKI インフラストラクチャは、個々の企 業に代わって親認証機関証明書とルート認証機関証明書を自動的に作成します。 企業が独自の PKI インフラストラクチャを持っている場合、SWG の PKI インフラストラクチャは、 署名された親 CA 証明書を取得するために企業の PKI インフラストラクチャとの通信を確立する。 親認証機関の証明書が取得されると、その証明書は SWG 認証機関の証明書への署名に使用され、模倣 証明書への署名に使用される証明書の信頼性と完全性が保証されます。 PKI インフラストラクチャは、模倣証明書に署名するために使用される秘密鍵を保護する上で重要な 役割を果たすため、SWG の重要な構成要素であると考えられています。 CA証明書の定期的な再発行を含むPKIインフラストラクチャを効果的に管理し、確立されたセキュリティ慣行を遵守することにより、SWGはマルチテナントSASEサービス環境で使用される証明書の完全性と信頼性を確保することができます。

SSL検査後のセキュリティエンジン

TLS/SSL復号化後、SWGは一連のセキュリティ・エンジンを利用してトラフィック・セッションを処理し、潜在的なリスクを特定します。 これらのセキュリティエンジンは、包括的な脅威防御を確保する上で重要な役割を果たします。

URLレピュテーションベースの脅威防御セキュリティエンジン

SWG管理者は、URLカテゴリ、URLレピュテーションスコア、その他の関連属性に基づいてポリシーを作成する機能を備えており、セキュリティ対策を効果的に定義することができます。 ドメインレピュテーションベースの脅威防御エンジンはドメインレベルでの防御を提供しますが、URLレベルでレピュテーションベースの脅威防御を実行する必要が生じる場合があります。 これは、サブセクションやサイトの特定のセクションを表す異なるURLを持っているウェブサイトでは特に重要です。 ドメイン全体の評判は良くても、サイト内の特定のセクションが危険にさらされている可能性があります。 したがって、URLベースのレピュテーション・セキュリティ・エンジンは、包括的な保護に不可欠であり、ユーザーがマルウェアをホストするウェブサイトやフィッシング・ウェブサイトにアクセスすることを防ぎます。 特定のURLの評判を考慮することで、このエンジンは脅威検出の精度を高め、潜在的に有害なコンテンツのプロアクティブなブロックを可能にします。 SWG Pre Decryption Security Engines」のセクションで前述したように、脅威インテリジェンス・フィードに由来する評価スコアは、時に誤検知を引き起こす可能性があります。 さらに、管理者が脅威ハンターによるより詳細な検査のためにトラフィックセッションの進行を許可したい場合もあります。 さらに、クライアント・レベルで包括的な保護がすでに適用されている場合、ゲートウェイ・レベルで脅威の保護を重複させる必要はないかもしれません。 このようなシナリオに対応するため、復号後のレピュテーション脅威保護エンジンもポリシー駆動型となっており、管理者は例外ポリシーを作成することができます。

高度なアクセス制御エンジン

レピュテーションベースの脅威防御に加え、SWGは堅牢な高度アクセス制御機能を提供し、管理者がさまざまなインターネットサイトにアクセスする際に、ユーザーに差別化されたアクセスを強制できるようにします。 この高度なアクセス制御エンジンは、「SWG Pre Decryption Security Engines」セクションで既に説明した「Access Control Engine」と共通点があります。 しかし、TLS復号化後に動作するため、URL、HTTPメソッド、HTTPリクエストヘッダに基づいて、さらに高度なアクセス制御オプションを提供します。 高度なアクセス制御エンジンは、URLカテゴリを活用します。URLカテゴリは、ドメインカテゴリと比較して、より正確できめ細かなウェブサイトの分類を提供します。 URLカテゴリを利用することで、管理者は特定のURLに基づいてアクセスを規制するポリシーを効果的に定義し、きめ細かなアクセス制御を行うことができます。 アクセス制御エンジンと同様に、高度なアクセス制御エンジンも例外を作成する柔軟性を提供し、URL分類で誤検知が発生するシナリオに対応します。 これらの例外により、管理者は、誤分類される可能性のある特定のサイトやコンテンツ、または特別なアクセス許可が必要なコンテンツに対して、デフォルトのアクセス制御ポリシーを上書きすることができます。

コンテンツ検査機能付きセキュリティエンジン

これまで説明されてきたセキュリティ・エンジンは、脅威が検出されたり、アクセスが拒否されたりした場合に、トラフィック・セッションを停止させることに重点を置いてきました。 これらのエンジンは、最初のHTTP情報とリクエストヘッダに基づいて動作し、トラフィックが検査されるまでトラフィックを一時停止することができます。 しかし、HTTPセッション内のコンテンツをより深く検査する必要がある、追加のセキュリティエンジンがあります。 これらのエンジンが効果的に脅威を検出するには、リクエストとレスポンスの両方のコンテンツにアクセスする必要があります。 従来のエンジンとは異なり、これらのコンテンツ検査エンジンは、トラフィックフロー全体を停止するのではなく、脅威が検出された瞬間に特定のトラフィックを停止します。 これらのセキュリティエンジンの中には、コンテンツ全体へのアクセスを必要とするだけでなく、潜在的な脅威を特定するために脅威インテリジェンス・フィードを利用する前に、コンテンツに対してさらなる処理を行う必要があるものもあります。 例えば、ファイルが圧縮されている場合、解析のために解凍する必要があります。 さらに、特定の脅威インテリジェンスプロバイダーは、Word文書、PowerPointプレゼンテーション、OpenOfficeファイル、Excelスプレッドシート、PDFなど、さまざまなファイルタイプからのテキストストリームの抽出を期待しています。 これらの抽出と脅威の検出には計算量がかかるため、HTTPトランザクションに遅延が発生する可能性があります。 これに対処するため、多くのセキュリティエンジンは、脅威検出とインライン実施によるインラインキャプチャ、またはオフライン脅威検出によるインラインキャプチャという2つのオプションを提供しています。 インライン検出モードでは、トラフィックがキャプチャされ、HTTPセッション内で脅威の検出が行われるため、即座に強制アクションを実行できます。 オフライン検出モードでは、トラフィックは引き続きキャプチャされますが、テキストストリームの抽出と脅威インテリジェンスフィードによる脅威検出はHTTPセッションの外部で実行されます。 このモードでは、問題のあるトラフィックは直ちに停止されませんが、潜在的な脅威に対する可視性は維持されます。 この2つのモードにより、企業はインラインでの脅威防御とユーザーエクスペリエンスのバランスを柔軟に取ることができ、ニーズに最も適したアプローチを選択することができます。

ファイルレピュテーションベースの脅威防御セキュリティエンジン

SWGは、HTTPで転送されるファイルのレピュテーションを評価する上で重要な役割を果たす、ファイルレピュテーションベースの脅威防御セキュリティエンジンを組み込んでいます。 このエンジンは、ゲートウェイを通過するコンテンツを継続的に分析するSWGの脅威インテリジェンス収集機能を活用しています。 トラフィックが流れると、脅威インテリジェンスエンジンは、ファイルのレピュテーションスコアを決定するために、転送中とファイル終了時の両方でコンテンツのハッシュを計算します。 必要に応じて、SWG はハッシュを計算する前にコンテンツの解凍を行います。 管理者は、ファイル・レピュテーション・スコアを考慮し、この評価に基づいてトラフィック・セッションを許可するか拒否するかを決定するポリシーを作成する柔軟性が与えられます。 このセキュリティ・エンジンはポリシーの評価を実行し、脅威が検出されるとトラフィックのさらなる転送を停止します。

マルウェア対策セキュリティエンジン

SWGに統合されたマルウェア対策セキュリティエンジンは、高度な脅威インテリジェンスとマルウェア対策機能を組み込んでおり、ウイルスやマルウェアがトラフィックストリームに侵入し、ユーザーデバイスに到達するのを効果的に検出・防止します。 このエンジンは、双方向のトラフィックを積極的に監視することで、ユーザーが無意識のうちにマルウェアを拡散するのを防ぐという重要な役割も担っています。 先に述べたように、これらのセキュリティエンジンは、ローカルファイル内のコンテンツを分析するために様々な技術を採用しています。 必要に応じて、このエンジンはファイルを解凍してテキストストリームを抽出し、脅威インテリジェンスマルウェア対策機能を使用して徹底的に検査します。 テキストストリームは、シグネチャベースの解析において特に重要であり、既知のマルウェア株の検出を可能にします。 SWGソリューションは管理者に柔軟性を提供し、さまざまなタイプのマルウェアを検出した際に、脅威インテリジェンス・プロバイダが提供する信頼レベルを考慮して、適切なアクションを指示するポリシーを作成することができます。 これにより、マルウェアへの対応を特定の脅威とリスクレベルに合わせたものにすることができます。 さらに、SWGは、パフォーマンス上の懸念や誤検知に対処し、脅威ハンターによるより深い脅威の検査を容易にするために、ポリシー内に例外を作成する機能を提供します。 この柔軟性により、管理者はセキュリティ対策を微調整し、保護と運用効率の適切なバランスを取ることができます。

侵入検知・防御(IDP)セキュリティエンジン

IDPセキュリティエンジンは、SWGの不可欠な部分であり、トラフィックストリーム内の潜在的な悪用を特定するように設計されています。 システムの脆弱性を悪用することは、攻撃者が不正アクセスやルートキットの導入、マルウェアの配布に用いる一般的な手法です。 これらの脆弱性は、バッファ/スタックオーバーフロー、不適切な入力検証、システムやアプリケーションの設定ミスなどの形で現れます。 SWGのIDPSは、クライアントマシンを標的としたエクスプロイト攻撃を検出し、インターネット上のサードパーティのサービスを悪用しようとする侵害されたクライアントを特定することで、企業の資産がさらなる攻撃の発射台になることを防ぎます。 SWGのIDPエンジンは、いくつかの理由により、誤検知を減らし正確な検知を実現します:

  • クリアデータへのアクセス:IDPエンジンは、暗号化が解除されたトラフィックデータにアクセスできるため、潜在的な攻撃を効果的に分析して検出できます。
  • 再構築および再順序付けされたデータへのアクセス:このエンジンは、再構築され順序が変更されたデータストリームにアクセスできるため、包括的な分析と悪意のある活動の検出が可能です。
  • HTTPプロトコルで抽出およびデコードされたデータへのアクセス:SWGのプロキシ部分から抽出およびデコードされたデータを持つことで、IDPエンジンはコンテンツに対するより深い可視性を獲得し、攻撃パターンをより効果的に検出できるようになります。

IDPエンジンは、プロトコル異常シグネチャ、トラフィック異常シグネチャ、コンテンツベース・シグネチャなど、さまざまな種類のシグネチャを使用して攻撃を検出します。 脅威インテリジェンス・プロバイダーは広範なシグネチャ・データベースを提供していますが、すべてのシグネチャをロードすると、システムのパフォーマンスに大きな影響を与える可能性があります。 この懸念に対処するため、SWGはシグネチャの適用可能性などの要因に基づいてシグネチャをチューニングする機能を提供します。 例えば、HTTPベースのトラフィックに関係のないシグネチャや、HTTP内の非暗号化コンテンツを検査するシグネチャは避けることができます。 チューニングでは、リスクへの影響、脅威インテリジェンスプロバイダーが提供するシグネチャの信頼レベルなどの要因も考慮できます。 SWGソリューションは、ポリシーベースのトラフィック選択も提供し、管理者がIDP処理を受けるべきトラフィックを決定できるようにします。 この柔軟性により、クライアント・エンドポイント・レベルですでに攻撃についてスキャンされたトラフィックに対する冗長なIDPスキャンを回避することができます。

データ損失防止セキュリティエンジン

SWGにデータ損失防止(DLP)セキュリティエンジンを組み込むことは、ますます一般的になっています。 この強力なエンジンは、財務、会計、またはビジネス上の機密情報を、適切な権限なしに不用意に送受信しないように設計されています。 ポリシーベースのコントロールとユーザー属性を活用することで、DLPセキュリティエンジンは偶発的または意図的なデータ漏えいのリスクを監視し、軽減します。 DLPセキュリティエンジンがその役割を効果的に果たすには、データ伝送の完全なコンテンツへのアクセスが必要です。 テキストストリームを抽出し、その感度に基づいてデータを分析・分類することができます。 データ分類インテリジェンスプロバイダーは、テキストストリームを利用して分類結果を生成します。分類結果には、コンプライアンスラベル(個人を特定できる情報、PIIなど)、一般的な機密文書データ(財務情報など)、カスタム定義の機密データなど、さまざまな属性が含まれます。 機密データを正確に管理するために、SWGは、管理者がさまざまな分類属性と値を組み込んだポリシーを作成する機能を提供します。 これらのポリシーと一般的なマッチング属性を組み合わせることで、管理者はきめ細かなアクセス制御を定義し、さまざまな種類の機密データをどのように扱うべきかを指定することができます。

カスタム・セキュリティ・エンジン (Bring Your Own Security Engine)

SASE/SWGプロバイダーは包括的なセキュリティ・カバレッジを提供していますが、日々進化する脅威の状況、特にゼロデイ攻撃には、さらなる強化が必要な場合があります。 多くの場合、企業のセキュリティチームは、新たな攻撃パターンを特定するために、積極的に脅威の探索に取り組んでいます。 また、脅威インテリジェンスの共有を通じて、他の企業のセキュリティチームから新たな脅威パターンを受け取ることもあります。 いずれの場合も、これらのチームは、こうした新たな脅威のパターンや攻撃から資産を保護するために、SWGを望んでいる可能性があります。 SWGは通常、十分に設定されたIDPエンジンやその他のセキュリティエンジンを備えていますが、複雑な脅威パターンを検出するためのルールを作成する柔軟性に欠ける設定システムになっている場合があります。 これらの保護のために新しいソフトウェアロジックを追加するために、SWGプロバイダーだけに頼るのは時間がかかります。 さらに、企業によって観察される脅威のパターンは、その環境に特有のものであり、一般的な使用法には当てはまらない可能性があります。 このような場合、SWGベンダーは、このようなカスタム要件に対応する新しいソフトウェアをタイムリーにリリースすることをためらうかもしれません。 そのため、企業のセキュリティ部門やマネージド・セキュリティ・サービス・プロバイダ(MSSP)が開発した新しいカスタム・プログラム・セキュリティ・エンジンを柔軟に統合する必要があります。 SWGソリューションは、新しいセキュリティ・エンジンを組み込むためのオープン・インターフェースを提供することが期待されています。 SWGの中には、LuaスクリプトやWebAssembly(WASM)モジュールを追加できるものもあります。 これらの機能により、組織はLuaスクリプトやWASMモジュールなどの新しいセキュリティエンジンを開発し、SWGインフラストラクチャに統合することができます。 SWGは、これらのカスタム・エンジンが他のセキュリティ・エンジンと干渉せず、SWG管理者が設定した制限内で計算リソースを消費することを保証します。 カスタムプログラムセキュリティエンジンの統合を可能にすることで、SWGは企業のセキュリティ態勢を強化し、新たな脅威に迅速に対応し、資産を効果的に保護します。 この柔軟性により、企業は社内のセキュリティ専門知識を活用したり、MSSPと協力して独自のセキュリティ要件に対応するカスタマイズされたセキュリティエンジンを開発したりすることができます。

概要

要約すると、この記事では、安全なインターネットアクセスのためのセキュリティエンジンの概要を説明しました。 すべてのセキュリティエンジンが含まれていることは、異なるSASE/SWGソリューションによって異なる可能性があり、新しいタイプのインターネット脅威が出現した場合、新しいセキュリティエンジンが追加される可能性があることに注意することが重要です。 SASE/SWGソリューションは、IPレピュテーションベースの脅威防御、ドメインレピュテーションベースの脅威防御、アクセス制御、TLS/SSL検査、ファイルレピュテーションベースの脅威防御、マルウェア対策、侵入検知・防止、データ損失防止などのセキュリティエンジンを活用しています。 これらのセキュリティエンジンは、全体的なセキュリティ対策を強化し、インターネットにアクセスする際のさまざまな脅威からの保護を提供します。 脅威の状況が進化し続ける中、組織は定期的にセキュリティのニーズを評価し、選択したSASEソリューションが新たなリスクを効果的に軽減するために必要なセキュリティエンジンを組み込んでいることを確認する必要があります。

  • CTOインサイトブログ

    Aryaka CTO Insightsブログシリーズは、ネットワーク、セキュリティ、およびSASEのトピックに関するソートリーダーシップを提供します。 Aryaka製品の仕様については、Aryakaデータシートを参照してください。