セキュア Web ゲートウェイの導入

J社は従業員 50 名の部品メーカーである。J社では PC の Web ブラウザを利用して，社内の業務用サーバ，K 社が提供する電子メール・ストレージサービス（以下，K 社 SaaS という）に HTTPS でアクセスして業務を行っている。このたび，テレワーク勤務の導入，プロキシサーバの運用作業の省力化及びセキュリティ強化のため，L 社が提供するセキュア Web ゲートウェイサービス（以下，SWG サービスという）を導入することになり，その担当として情報システム部の C 主任が任命された。

J 社のネットワークは，DMZ セグメント（以下，DMZ という），サーバセグメント及び内部セグメントから構成されている。現状の J 社のネットワーク構成を図 1 に示す。

K 社 SaaS は，電子メールの送受信，ファイルの保存・参照・ダウンロードの機能を提供している。K 社 SaaS では，アクセスを許可する送信元を J 社のグローバル IP アドレスだけに制限し，利用時は利用者認証を行っている。
DMZ には，NTP サーバ及びプロキシサーバが設置されている。NTP サーバはプロバイダが提供する公開 NTP サーバと時刻同期しており，①社内のネットワーク機器，サーバ及び PC の時刻補正に利用されている。プロキシサーバは PC からインターネットへのアクセスに対して，登録した FQDN や IP アドレス宛ての通信をブロックする。PC のプロキシ設定は PAC ファイルを利用して，②インターネット上の Web サイトへはプロキシサーバを経由し，業務用サーバや K 社 SaaS へはプロキシサーバを経由せずに直接接続する設定としている。プロキシサーバは TCP/10080 で接続を待ち受ける設定にしている。
内部セグメントには，PC が設置されており，L3SW のもつ DHCP サーバ機能で IP アドレスなどが割り当てられている。
サーバセグメントには，業務用サーバ，認証サーバ及び syslog サーバが設置されている。認証サーバは，プロキシサーバ及び業務用サーバの接続時に RADIUS プロトコルを用いて利用者認証を行っている。syslog サーバは，③プロキシサーバ及び業務用サーバのアクセスログ，認証サーバの認証ログ，FW の通信ログ，L3SW のリソースログ，J 社内のサーバやスイッチのシステムログを保存している。syslog サーバに保存しているログは，業務用サーバや Web サイトへのアクセス履歴の確認，障害発生時の原因分析に利用されている。
J 社のネットワークからインターネットには，FW がもつキャッシュ DNS サーバ及び NAPT の機能を利用してアクセスしている。FW の許可ルールを表 1 に示す。

注記 FW は応答パケットを自動的に通過させるステートフルパケットインスペクション機能をもつ。 C 主任は SWG サービスの仕様を調査した。
SWG サービスは，セキュリティ機能及びプロキシ機能をもつクラウド型のサービスである。PC にエージェントソフト（以下，ソフト E という）を導入し，Web ブラウザからソフト E 及び SWG サービスを経由して Web サイトにアクセスする。④SWG サービスは HTTPS 通信のコンテンツを調査する機能をもつ。SWG サービスを経由して Web サイトにアクセスする HTTPS 通信を信頼させるために，PC に証明書をあらかじめインストールする。
SWG サービスは，一部の Web サイトで実施される送信元アドレス制限に対応するため，契約した企業単位に固定のグローバル IP アドレス（以下，SWG-GIP という）を割り当てるサービスメニューをもつ。契約した企業の通信を SWG サービスが中継する際，送信元アドレスを SWG-GIP に変換する。
ソフト E を導入すると，PC のプロキシ設定が変更され，プロキシサーバとしてソフト E が設定される。ソフト E は PC のローカルプロキシとして動作し，HTTP 及び HTTPS の通信を SWG サービスの TCP/443 ポート宛てに中継する。ソフト E は SWG サービスに登録された直接接続リストをダウンロードして，このリストに登録された Web サイトには SWG サービスを経由させずに，ソフト E から直接接続する。ソフト E は，SWG サービスにアクセスするときに利用者認証を行い，認証に失敗した場合又は未認証の場合，ソフト E 及び SWG サービスは HTTP 及び HTTPS の通信をブロックする。
SWG サービスのセキュリティ機能を表 2 に示す。 C 主任は，SWG サービスの導入に向けて，F 課長と検討を行った。

F 課長：まずは，社内ネットワークの変更点を説明してください。
C 主任：PC から SWG サービスを利用するため，全ての PC にソフト E を導入します。これによって，社内で利用する PC 及びテレワーク勤務のために社外に持ち出した PC（以下，R-PC という）からのアクセスが，SWG サービスを経由するようになります。SWG サービスのサービスメニューを利用して，SWG-GIP を割り当ててもらいます。また，R-PC から業務用サーバに接続できるように，現在利用している社内のプロキシサーバは，設定を変更してフォワードプロキシサーバからリバースプロキシサーバに利用方法を変更します。⑥フォワードプロキシサーバの機能停止に伴って FW の許可ルールを削除し，リバースプロキシサーバのために許可ルールを追加します。
F 課長：SWG サービスを導入した場合，社内の PC から K 社 SaaS へのアクセス経路を教えてください。
C 主任：SWG サービス導入時のネットワーク構成を図 2 に示す。図 2 の ⑦(G), (F), (I), (H), (J) の経路になります。

F 課長：FW に，⑧PC が SWG サービスへ接続するための許可ルールが必要ですね。次に SWG サービスのセキュリティ機能の利用方針を説明してください。
C 主任：サイトブロック機能には，フォワードプロキシサーバでブロック先として登録していた FQDN や IP アドレスを設定します。レピュテーション機能では，安全性が高い Web サイトだけに接続させるため，導入時はできるだけしきい値を高く設定しておき，業務影響を確認しながら調整していきます。
F 課長：現在は，PC から業務用サーバ及び K 社 SaaS には直接接続していますが，SWG サービスを導入した場合に直接接続は利用しないのですか。
C 主任：業務用サーバ及び K 社 SaaS には，SWG サービスを経由して通信させるため，ダイレクト通信機能は利用しない予定です。併せて，⑨K 社 SaaS の設定を変更します。また，業務用サーバへ SWG サービスからの通信を FW で許可します。
F 課長：なるほど。PC, R-PC どちらも SWG サービスを経由させてセキュリティポリシーを合わせていますが，⑩通信の経路を考慮すると業務用サーバのプライベート IP アドレスは直接接続リストに登録した方が良いですね。
C 主任：分かりました。業務用サーバのプライベート IP アドレスを直接接続リストに登録します。
F 課長：SWG サービスは 90 日間のトライアル利用ができるので，機能確認や移行方法を検討してください。

C 主任はトライアルの結果を基に，SWG サービスの導入計画を立案し，承認された。