ゼロトラストの理解:IDaaSとSWGのWebアクセス制御について
浅葉 正史はじめに
今回は、Oktaに少しは関連するもののOktaの詳細にふれるわけでなく、番外編的なブログ投稿になります。
IDaaSと、SWG(Secure Web Gateway。「スウィッグ」と発音するらしいです。)の、Webアクセス制御の違いについて考えたことのメモとなります。
私は、これまで、ゼロトラストセキュリティやその構成要素(IDaaS、SWG、ZTNA、CASB、SIEM、EDR・・・)についてふわっとしたイメージはあったのですが、もやっとよくわかっていない部分も多くありました。 今回は、このブログを書くことを通して、掲題について少し理解が進んだような気がしています。
(というわけで、こちらの投稿は初級者向けの内容です)
背景
これまで、本Okta特集ブログでいくつかの投稿をしてきました。
今回は、同僚から「テクバンはIDaaSだけでなくゼロトラストセキュリティを実現するためのソリューションを全般的に提供しているので、テクバンらしく、次回はOktaとZscalerの連携や、OktaとCrowdStrikeの連携といった、Oktaとテクバンが提供するゼロトラスト関連他ソリューションとの連携を題材にブログを書いてみてくれないか」と頼まれました。
で、とりあえず次は、Okta WICと弊社が取り扱うSWG、Zscaler Internet Access(以降「ZIA」と記述を省略します)をテーマにブログを書こうと決めたのでした。
なお、OktaとZIAのSAMLとプロビジョニング連携については、以下の弊社ブログにて手順が紹介されています。
#Zscaler(ZIA)とOktaのSAML連携 | バンブロ ! ネットワークソリューション特集
こんにちは。ネットワークソリューション特集 編集部です。今回は、Zscaler(ZIA)とOktaのSAML連携の設定についてご紹介します。 Oktaは、ID管理や認証を集中して行うク…
上記と同じ内容のブログを重複して投稿するのは意味がないので、もっとこう、ゼロトラストセキュリティの観点で、OktaとZIAを連携するとこんなことが出来るみたいな内容で何か書けないものかなみたいなことを考えていました。
ただ、私は、テクバンのゼロトラスト関連ソリューションの仕事にOktaから加わっており、IDaaS以外のゼロトラスト構成要素技術については理解が不充分です。
ですので、まずは「SWGとはなにか?」の勉強から始めました。
SWGとは
SWGとは何かについて。
以下はZscaler社によるSWGを説明するページです
https://www.zscaler.jp/resources/security-terms-glossary/what-is-secure-web-gateway
以下は、弊社のZIA導入支援サービスの紹介ページで、ZIAの説明が記載されています。
https://www.techvan.co.jp/solution/security/zscaler_internet_access
ゼロトラストの概念が出る前の境界防御セキュリティを学んできて育った世代の私の解釈としては、「簡単に言うとSaaS版のプロキシサーバー(サンドボックス機能付き)兼ファイヤーウォール(帯域制御機能付き)かな?」という感じです。
境界防御のファイヤーウォールは、社内ネットワークとインターネットの間に物理的に機器を設置することで通信を仲介しますが、SWGは保護対象のデバイスの通信を、例えばデバイスにインストールした専用ソフトの機能などで、インターネット上のSWGに全てリダイレクトするようにしてSWGが仲介できるようにします。
何が解り辛かったか(Webアクセス制御は、SWGでもIDaaSでもできる?)
IDaaSとSWGですが、どちらもWebのアクセス制御を行えます。
IDaaSのアクセス制御のイメージ図。様々な場所の様々な種類のデバイスが、図の中心に位置するIDaaSを介して、様々なクラウドサービスやオンプレシステムにアクセスして、ポリシーによってアクセス制御されるイメージ図をよく目にします。
ちなみに、以下は弊社のOkta導入支援サービスの紹介ページに掲載されているOktaのアクセス制御のイメージ図です。
一方、SWGについてネットで調べても、上記と非常によく似た図を目にするのです。SWGが中心にあって、様々な場所の様々な種類のデバイスが、SWG経由でWeb上の様々なサイトにアクセスし、ポリシーによりアクセスが制御されるイメージ図です。 前述リンクの、Zscaler社よるSWG説明ページにも、似た図が掲載されています。
そのため、私はIDaaSのWebアクセス制御機能とSWGのWebアクセス制御機能は類似の機能であり、どちらも似たようなものなのかなと思ってしまっていました。
今回、ブログを書く目的で、注意深くSWGとは何かを調べ、ZIAで何ができるのかZIAのマニュアルを読んでみたところ、これが全くの勘違いであったことに気付きました。
IDaaSのWebアクセス制御と、SWGのWebアクセス制御は全く違う
そもそも、IDaaSのアクセス制御と、SWGのアクセス制御は目的(保護対象)が異なります。
IDaaSのアクセス制御は、自社が利用するクラウドサービステナントおよびその中のデータを、不正/危険なアクセスから保護することが目的となります。
従って、アクセス制御の対象はあくまでもIDaaSと連携したシステムのみです。
IDaaSと連携したシステムに対しては、世界中のあらゆるデバイスからのアクセスが制御されます。
一方SWGのアクセス制御は、自社のデバイスやデバイス内のデータを、不正なサイトやポリシー外のサイトの通信から保護することが目的となります。(デバイスを保護する目的は自社システムやそのデータを保護することにあるので、最終的な目的は変わらないとも言えますが。)
従って、対象デバイスの全ての宛先の全ての通信が制御対象となります。
逆にあくまでも保護対象のデバイスの通信を制御するものになりますので、それ以外のデバイスの通信はSWGは関与しない、というか関与出来ません。
つまり、
IDaaS :保護対象のシステムに対するあらゆるデバイスからのアクセスを制御
SWG :保護対象のデバイスのあらゆるインターネット通信を制御
ゼロトラストセキュリティのためには両方必要
当初は、OktaとZIAの類似のアクセス制御機能を連携させた合わせ技みたいな内容をブログに書けないかとぼんやり思っていたのですが、調べるうちにIDaaSとSWGのアクセス制御は目的からして全く別物であるということが判って来たため、結局それは諦めました。
しかし、違いを下表にまとめてみましたが、別物だからこそ、ゼロトラストセキュリティの実現のためには両方必要なんだということがちゃんと理解ができてよかったです。
| IDaaSのアクセス制御 | SWGのアクセス制御 | |
|---|---|---|
| 直接の保護対象 | 自社のシステムおよびその中のデータ | 自社のデバイスおよびその中のデータ |
| 不正ユーザー/不正デバイスからのアクセス防御 | 〇 | × |
| 不正なサイト/ポリシー外のサイトへのアクセス遮断 | × | 〇 |
| 保護の方法 | 認証の許可/拒否 | パケット通信の許可/拒否 |
おわりに
以上、私が掲題について学習してわかったことのメモになります。
こいつは何をあたりまえのことを書いているんだと思われる方が多いのではと思いますが、もし私と同じようにゼロトラストの構成要素技術について理解がもやっとしていた方に読んで頂いて、本投稿がほんのちょっとでも理解が進む助けになったなら幸いです。
今後ですが、Okta WICとCrowdStrikeのEDR(弊社で取り扱っています)との連携をテーマにブログを書くことができたらいいなと思っています。こちらのテーマでしたら、今回とは違って具体的な技術検証を行った結果を、手順紹介も含めて出来るのではないかと思っています。
