Symantec Secure Web Gateway - 製品アップデート

Broadcom Softwareの一事業部であるシマンテックは最近、Secure Web Gateway（SWG）のラインナップを増強し、新たなオールインワンSWGソリューション（Web Protection Suite）と新たなハードウェアアプライアンスを追加しました。これらによって、企業のネットワーク、ユーザー、データをインターネット上やクラウド内の悪質なWebサイトトラフィックによる攻撃から守る体制を強化します。 

新たなWeb Protection Suiteをサポートするためにハードウェアアプライアンスを刷新し、エンタープライズサブスクリプションライセンスという形でハードウェアの購入とソフトウェアの購入を切り離しました。お客様にとって、これは導入時の柔軟性が増しコストを削減できることを意味します。つまり、Symantec SWGソリューションの導入方法をお客様が選択できるようになりました。SaaSホスティングサービスとして、自社のクラウド内に、仮想アプライアンスとして、または専用ハードウェア上に導入することができます。私たちは詳細を知るために、Symantec Secure Web Gatewayの製品管理チームとの座談会を開きました。 

Q: シマンテックのプロキシベースのSWGソリューションにはどのようなオプションがありますか。

A: クラウドベースソリューションとオンプレミスソリューションがあり、新しいサブスクリプションライセンスによって非常に柔軟な選択が可能になっています。

ただし、お客様についての理解が深まるにつれて、ほとんどのお客様がクラウドへの移行を望んでいるにもかかわらず、独自のオンプレミス統合が多数開発されていることがわかりました。そのようなお客様をサポートするために、当社はSymantec Web Protection Suite（WPS）という新しいソリューションを導入しました。WPSでは、お客様がどこでもSWGを実行できるライセンスが提供されます。それがシマンテックのSaaS SWGサービスであっても、シマンテックのS210またはS410ハードウェア上や仮想環境内またはパブリッククラウド内に配備されたSWGアプライアンスであっても対応可能です。

新しいWPSライセンスでは、今日はお客様が現在いる場所でSWGを実行し、明日（あるいは来年以降）にはクラウドへ移行するといった柔軟な導入を1つのソリューションで実現できます。当社では、これを別々の製品のセットではなくシマンテックの単一のSWG製品であると考えています。したがって、お客様は以前よりはるかに簡単に、望みどおりのペースでシマンテックの最新SWGソリューションの導入を進めることができます。

Q: シマンテックは最近SWGアプライアンス製品群への製品追加を発表しました。  シマンテックが去年発表した内容をもう一度説明していただけますか。また、この新しいアプライアンスを追加した意義を教えてください。 

A: もちろんです。S210は、去年発表したS410のローエンド版です。S210は基本的に、アプライアンスラインを完成させるものとして追加されました。これで、小規模なリージョンオフィス、リモートオフィスを対象とするローエンドのS210から、マルチギガビットの容量を備えたハイエンドのデータセンターに対応できるS410までが揃いました。S210とS410は両方ともシマンテックの新しいサービスフレームワークをサポートしているので、これらの新しいハードウェアプラットフォームでも複数のアプリケーションをサポートできます。したがって、S410向けに開発された機能はすべてS210でも使用できるようになっています。

Q: ハードウェアプラットフォームライン全体にわたって各アプライアンスは基本的に同じ機能を備えているのですか。

A: はい、そのとおりです。新しいS210/S410エコシステムの利点は、ワークロードを現在のトラフィックプロファイルに柔軟に適合させることができるため、新しい場所や新しいユーザーを追加したり、異なるワークロードとポリシーを使用してトラフィックを分析したりする場合に、状況に合わせて構成を変更できる点です。新しいプラットフォームでは、シマンテックの新しいハードウェアでもお客様独自の仮想環境（オンプレミスまたはクラウド）でも、新しいアプリケーションの基本的な縮小、拡張、サイズ変更、移動、追加を非常に柔軟に行うことができます。

これらの機能の中でも、大容量のプロキシアプリケーションをセグメント化された個別のワークロードで実行することも大規模なインスタンスとして実行することもできる能力は特筆に値します。基本的には、プラットフォームを使用してプロキシのワークロードを分割することができます。何より、すべてのWebトラフィックを守るために最先端の保護を望む場合には、Symantec Content Analysisの先進的な脅威防御モジュールを追加してプロキシと組み合わせることができます。

Q: 脅威の状況の変化を受けて、現代のSWGはいま何をするべきだと思われますか。

A: 現代のSWGは4つの重要事項に対処できるようになる必要があると思います。

最初に、クラウドベースのアプリケーションが広く普及したため、SWGが対処するべきトラフィックのプロファイルが変化しています。時代は従来の一般的なインターネットベースのブラウジングから、クラウドアプリケーションからのトラフィックの増加へと移り変わっており、Salesforceのようにユーザーが勤務時間中ずっと使い続けるクラウドアプリケーションもあります。現代のSWGは、クラウドトラフィックのこのような増大に対処して、これまでと同レベルの検査と保護を顧客に提供できなければなりません。

次に、効果的なSWGソリューションは、必要に応じて拡張/縮小、移行、移動、調整ができるように、包括的なカバー範囲と、導入を容易にする柔軟性を備えている必要があります。決まった場所からアクセスする固定ユーザーの場合、シマンテックのS210やS410のような高性能ハードウェア上のオンプレミスシステム、仮想環境、独自のクラウド環境などがこれに含まれます。ユーザーがローミング中の場合は、シマンテックのSaaS SWGサービスがこれに当たります。顧客はそれぞれ違っているので、型にはまったSWGで一律に対処することはできません。

加えて、顧客は環境内の全域で複雑なSWGポリシーを管理できる必要があります。基本的には、「1回作成したら広く利用する」というポリシーメカニズムです。シマンテックのUPE（Universal Policy Enforcement）はこのメカニズムを可能にします。個々の企業や業種に合ったポリシー、あるいは社内のコンプライアンス基準やセキュリティ基準を満たすポリシーを作成して、本社、支社、遠隔地、移動中のユーザーにそれを適用することができます。

最後に、現代の効果的なSWGは、SASEフレームワークの推奨機能を揃えるために、他の技術と統合できる必要があります。それは、何年も前に導入した単なる基本的なプロキシ以上のものです。プロキシは今でも重要であり、トラフィックの暗号化、全コンテンツ分析、詳細なファイルインスペクションを提供する土台です。しかし、それのみに留まらず、動的サンドボックス、リモートブラウザ隔離、DLP、ゼロトラストネットワークアクセス、その他のSASEコンポーネントを備える必要があります。現代のSWGは、そのような土台になる必要がありますが、シマンテックはすでに、自社のSWGをSASE対応にするために、これらの機能の大多数をSWGに組み込み済みです。これが、シマンテックが他社から抜きん出ている点です。

Q: クラウドへの移行によって、企業ユーザーにとっての潜在的脆弱性はどのように増大しますか。

A: クラウドアプリケーションへの移行に伴って、クライアントアプリケーションは暗号化されたHTTPSセッションをデフォルトでサポートしなくてはならなくなりました。インターネットを介してデータをプレーンテキストで送るのは、明らかに安全ではありません。したがって、現代のSWGはすべて新しいTLSセッションを処理する必要があります。TLS 1.3はすべてのブラウザが対応している最新バージョンで、ユーザーとサービスの間を移動中のデータを完全に保護するために、エンドツーエンドの暗号化を提供します。

ただし、トラフィックが暗号化されるため、そこにマルウェアが潜んでいる可能性があり、コンテンツを検査できない場合には、悪質なペイロードという脅威を見つけることができません。そのため現代のSWGは、クラウドアプリケーションが使用しているTLSの全バージョンを、セキュリティを低下させることなくサポートする必要がある一方で、TLSセッションを検査して高度な脅威を見つける仕事も引き続きこなさなくてはなりません。シマンテックは、かなり前からTLS 1.3をサポートしています。

Q: 1年前に新製品のS410を導入すると同時に、コアコンポーネントに関してサブスクリプションライセンス制度を導入したというお話でしたね。そのソフトウェアライセンスによって、お客様にとって導入オプションの柔軟性はどのように向上したのですか。

A: サブスクリプションライセンスは、いつでも必要なときにSWG機能を導入できる柔軟性を提供するだけでなく、ESX、KVM、Azure、AWS、GCP環境のすべてにおいて、単一のライセンスですべて管理できます。したがって、ハードウェアでの提供という形だけに制限されることなく、原則としてどこでも必要な場所にSWGを導入して利用することができます。

Q: 新しいライセンス制度には、ほかにもお客様にとってメリットになることがあります。どのようなメリットがあるのか教えてください。

A: シマンテックでは、ライセンスを2つの異なる方法で整理統合しました。まず第1に、以前は、Symantec SWG製品を購入した場合、事後に追加機能を付け加えることができました。そして追加した機能を登録して管理するには、それぞれ個別の設定がありました。導入を簡単にするために、これらをすべて簡素化しました。

これらの機能をコア機能として提供し、お客様が複数の異なるプールやインスタンスを管理しなくて済むようにしたいと考えたのです。そこで、すべての機能を以下のサービスのサブスクリプションに含めました。

• 暗号化されたトラフィックの復号化
• コンテンツフィルタリングと脅威保護
• 脅威カテゴリ
• リスクレベル

また、各要素を個別に管理するのではなく、インスタンスをどこに導入した場合でもこのフォローがあるというメリットもあります。これは、サブスクリプションライセンスへの移行によって生じた大きな変化の1つでした。 

ライセンスの第2の整理統合では、フレームワークの各アプライアンスインスタンスを個別に管理するという考えを、集約されたキャパシティプールへと折りたたみました。その結果、たとえば10台のアプライアンスまたは10台の仮想アプライアンスを購入する代わりに、10台の仮想アプライアンス分の能力を単一のライセンスで購入できるようになりました。その柔軟性により、購入したものを10台の新しいアプライアンスとして導入することも、全部まとめて1つの大きなインスタンスとして導入することもできます。新しいライセンスでは、個々のアプライアンスをそれぞれ管理する代わりに、すべてのコンピューティングニーズを、それが大きくても小さくてもまとめて管理できるようになりました。これが、サブスクリプションライセンスの柔軟性です。

Q: ソリューションはどのように課金されますか。

A: 当社は、多くの異なる環境に対応するとともに、お客様にとってわかりやすいシンプルな料金体系にしたいと考えました。そこで、お客様のSWGワークロードを処理するためにどの程度の処理能力が必要であるかに基づいてライセンス料金を計算するというライセンス体系にしました。

Q: 以前は別売りだったソリューションのいくつかを、サブスクリプションライセンスの一部として購入できるようになったということでしたね。 

A: 最も重要なアドオンは、Content Analysisを通じて入手できるプロキシ上で動作するコンテンツ保護サービスと脅威保護サービスです。Content Analysisは、Symantec AVと高度な機械学習、そしてContent Analysisに含まれるすべてのマルウェア検知エンジンを提供します。このフレームワーク上で実行される主要アプリケーションの中に、Symantec ProxyとContent Analysisの2つがあります。シマンテックでは、プロキシが消費する脅威フィードとコンテンツフィードをプロキシアプリケーションによってすべて取り込み、プロキシが以下を含むすべてのデータサービスを自動的に消費するようにしました。

• コンテンツカテゴリ
• セキュリティカテゴリ
• レピュテーションおよびリスクレベルフィード
• 位置情報フィード
• CASBアプリケーションデータフィード

プロキシを使用することで、すべてのトラフィックを理解してURL分類、脅威リスクスコアリング、クラウドアプリケーションの使用に活かすことができます。これらのデータサービスはすべてサブスクリプションの一部であり、追加のアドオン費用なしでプロキシに直接提供されます。さらに、フィードされたデータはすべて自動的に保守され、常に最新の状態で利用できます。

Content Analysisの側では、シマンテックのマルウェア検知エンジンをベースコンテンツアプリケーションの一部として含めることで、これと同じになっています。すべてのお客様が個別のアドオンなしで、すべてのマルウェアパターンとエンジンのアップデートが直接Content Analysisアプリケーションにフィードされるというメリットを得られます。Content Analysisに組み込まれた最新技術の1つである高度な機械学習によって、コンテンツの静的ポリシー分析も実行されます。

新たにオールインワンのSWGソリューション（Web Protection Suite）が加わったSecure Web Gateway（SWG）のラインナップの詳細については、こちらにお問い合わせください。シマンテックは、企業のネットワーク、ユーザー、データをインターネット上やクラウド内の悪質なWebサイトトラフィックによる攻撃から守る、業界をリードするソリューションを提供します。確実な防御のために最良のソリューションを選んでください。