SWGとは「Secure Web Gateway」の略であり、ネットワーク内外の通信を監視してセキュリティレベルを高めるソリューションのこと。事前に定義したセキュリティポリシーに従い、トラフィックやアプリケーションなどの検査・制御を行う。外部からの不正アクセスだけでなく、組織内部で行われる、業務にふさわしくない、望ましくないような通信をフィルタリングしてコンプライアンスを確保するといった用途でも用いることが可能だ。

従来のプロキシサーバーと同様に、ネットワークの境界（ゲートウェイ）に設置され、ネットワーク内のデバイスに代わってサーバーにアクセスすることでさまざまな機能を担う。具体的には、URLフィルタリング、アプリケーションフィルター、アンチウイルス、サンドボックスといった機能を備える。

従来、「ネットワークの内部は安全、外部は危険」という先入観が持たれがちだったが、大手企業などで相次いだ、組織内部の関係者による犯罪行為の実例が示すように、「内部だから安全」とは言い切れない。そのため、SWGのようなソリューションを導入することで、そうした犯行を抑止することにつながることも期待される。

SWGのセキュリティ機能

SWGが有する、主なセキュリティ機能を以下に紹介する。

アンチウイルス

事前に定義されたパターンファイルを元に、ゲートウェイにおいて通信のフィルタリングを行う。パターンに該当するマルウェアが検出された場合、隔離して駆除する。

サンドボックス

ネットワーク内に仮想的に構築された空間において、マルウェアの疑いのあるプログラムを動作させ、その挙動に基づいてマルウェアに該当するかどうかを判断する機能である。先述のパターンファイルにて定義されていないマルウェアであっても、実行時の動作を観察することで、その危険性を判別することが可能だ。

こうした機能を備えることで、内部ネットワークへのマルウェアの侵入を抑止する。ただし、最近ではサンドボックス空間を検知すると、マルウェアとしての挙動を示さないように仕込まれたマルウェアも少なくない。そのため、デバイス側でのエンドポイントセキュリティ導入も併せて行うことが求められる。

アプリケーション制御

ユーザーや部署ごとに必要となる業務用アプリケーションや取り扱うファイルは当然ながら異なる。したがって、一部ユーザーのみ必要とするアプリケーションやファイルに対し、すべてのユーザーがアクセスできる状態は情報漏えいのリスクが伴う。

そこで、アプリケーションの制御機能を使用することで、アプリケーション利用に関する許可設定などの制御を行うことが可能となる。企業が承認していないデバイスやサービスを利用する、シャドーITのような状況が生み出されることも抑止可能だ。

URLフィルタリング

業務上、必要のないWebサイトへのアクセス、あるいはマルウェアに感染する危険性のあるWebサイトへのアクセスをフィルタリングする機能である。フィルタリングの方式としては、許可するサイトを列挙し、それ以外は拒否するホワイトリスト方式、拒否するサイトのリスト以外は許可するブラックリスト方式が存在する。また、カテゴリーに基づいてフィルタリングする機能もある。

SWG導入における3つのパターン

働き方の変化やSaaSなどの利用が一般化し、ネットワーク内外のアクセスにおいてセキュリティを意識する必要が生じたことでSWGの重要性は高まっている。SWGは主に、3つの導入方法がある。

クラウド型

クラウドサービスとして提供されるSWGを利用する方式。サーバーや専用機器の購入が不要なため、初期コストを抑制しての導入が可能だ。ネットワーク経由で接続できるため、オフィスの内外を問わず利用できる。また、クラウドサービスのため、トラブルやメンテナンス時にはベンダーが対応することから、管理コストも削減できる。ただし、サービス事業者が提供する機能をそのまま利用することになるため、自社の状況に応じたカスタマイズなどは難しい。また、利用する状況によっては費用が高くなる場合がある。

オンプレミス型

自社内のサーバーでSWGを実行、あるいは自社内にSWG機器を設置する方式。一般的なプロキシサーバーと同様に、自社の環境に応じてカスタマイズを行うことが可能だ。その一方で、そうした環境を自社で管理する必要があることから、管理コストや管理者の教育も求められる。

ハイブリット型

内部ネットワークにはオンプレミス型、外部ネットワークにはクラウド型、といったように双方を組み合わせて併用する方式。時代が大きく変わり、業務環境にもダイナミックな変化が起こっている。クラウド型、オンプレミス型それぞれのメリットを活かすことで、セキュリティレベルの堅持と高い効率性を並列で実現する。ただし、利用環境の規模や状況によっては運用コストが増大し、セキュリティレベルも低下するといった事態にも陥りかねないため、導入時の検討は慎重に行う必要がある。