コンテンツ提供:株式会社ネットワールド
VMware Cloud Web Securityは、VMware SASEにおけるSecure Web Gateway(SWG)の機能を提供する、クラウドベースのソリューションです。高度化するサイバー攻撃や、SaaS利用の増加に対応し、ゼロトラストセキュリティの実現に貢献します。2021年6月のリリース以降、Cloud Web Securityには続々と新機能が提供されています。本記事では、株式会社ネットワールドの工藤 真臣氏が、従来のオンプレミスのセキュリティの置き換えという観点を踏まえ、Cloud Web Securityの特徴や最新アップデートについてお届けします。
本記事は、2022年5月31日に開催されたVMware Security Dayのセッションを元にした記事です。本記事に記載された情報は、2022年6月現在のものとなりますのでご了承ください
株式会社ネットワールド
ソリューションアーキテクト
工藤 真臣 氏
プロキシサーバからSWG / CASBへの進化
VMware Cloud Web Securityのご紹介の前に、まずはインターネット黎明期から、プロキシ技術の発展を振り返ってみましょう。プロキシの基本的な用途は、コンテンツキャッシュによるアクセスの高速化、URL制御によるセキュリティの確保、そしてログの取得による監査対応です。例えば企業ユースでは、OSアップデートなどの際にアクセスが集中すると、業務に支障をきたしかねません。業務に不要なサイトへのアクセスは、ウイルス感染などリスクをもたらす可能性があります。そして何かインシデントが発生した際に、対処や原因究明のために、ユーザーがどこにアクセスしたのか、ログを解析する必要があります。こうしてプロキシサーバは、企業のインターネット活用に欠かせない存在となりました。インターネット活用が進むと、用途によってファイルのアップロードやダウンロードを制御したり、特定のURLだけでなくサイトのカテゴリでアクセス制限をしたりといった要望が高まりました。そこで、WebセキュリティアプライアンスやURLフィルタといった、プロキシのWebセキュリティ機能をさらに発展させた製品が登場しました。
そしてクラウド時代の今、サイバー脅威の深刻化とゼロトラストセキュリティの浸透により、さらに高度なWebセキュリティを提供するSecure Web Gateway(SWG)や、SaaSに対応してURLではなくクラウドアプリケーション単位で制御を行うCloud Access Security Broker(CASB)が登場しました。そしてSWGやCASBは、VMware SASEのような包括的なクラウドネットワーク・セキュリティを提供するプラットフォームに統合されつつあります。
プロキシサーバからSWG/CASBへの進化
VMware Cloud Web Securityの概要
ゼロトラストセキュリティにおける通信の信頼性を実現するVMware SASEは、単体の製品ではなく、3つのサービスから構成されています。認証を担うVMware Secure Access、通信の最適化を担うVMware SD-WAN、そしてSWGを担うのが2021年6月にリリースされたVMware Cloud Web Securityです。以下、 Cloud Web Securityの具体的な機能について簡単にご紹介します。
1. SSLの復号化
現在、インターネット 通信の大半は暗号化されていますが、その内容の安全性までは担保できていません。信頼済みの証明書で暗号化された通信については、悪質な内容を含んでいても、セキュリティをすり抜けてしまう可能性があります。そこでCloud Web Securityは、サーバ側で一度SSL通信を復号化し、内容を検査した上で、もう一度VMwareの証明書で暗号化してユーザーのブラウザに届けることで、セキュリティを担保する仕組みを取っています。
2.URLフィルタリング
業務に関係ないサイトや脅威サイトへのアクセスを制限し、標的型攻撃を防ぐ機能です。カテゴリベースのアクセス制御にも対応し、現在、73のWebカテゴリと11の脅威カテゴリを実装しています。
3. マルウェア防御・サンドボックス
ファイルのアップロードやダウンロード時に、一旦Cloud Web Securityのサーバを経由してファイルを検査することで、セキュリティを担保する機能です。サンドボックスで実行ファイルの検査も可能になっています。また、パスワードで暗号化されたファイルも、Cloud Web Security上で入力することでスキャンが可能になります。
このように、Cloud Web Securityはプロキシサーバとしての基本的な特徴も備えており、既存のオンプレミスのWebセキュリティの置き換えにも十分対応することが可能です。実際、現在のCloud Web Securityは、VMware SASEのネットワーク上で、透過プロキシのように働きます。具体的には、SD-WANもしくはSecure Accessによる通信時に、Cloud Web Securityを経由して通信するよう設定することで利用できます。もちろん、Zoomなどプロキシの利用が非推奨になっているサービスについては、SD-WANやSecure Accessの設定で直接インターネットアクセスさせる設定も可能です。
VMware SASE利用時の通信経路