2025.10.15 ｜ Writer：ミズタニ、カジワラ

NTT東日本でネットワークセキュリティ対策(SWG)を運用してみた

こんにちは！NTT東日本セキュリティエンジニアのカジワラです。

ゼロトラストセキュリティコラムの第12回をお届けいたします。過去のコラムもぜひご覧ください。

過去のゼロトラストセキュリティのコラムはこちらからご覧いただけます。

今回も、製品ごとに運用時の困りごとを例に挙げながら、どういう運用を行っているのか、どのような点を工夫しているのかについてご紹介していきます。

本コラムでは、社外ネットワークへの通信に関するセキュリティ対策として、Secure Web Gateway（以降SWGと表記）にスポットを当ててご説明します。

最後までお付き合いいただけますと幸いです。

Secure Web Gatewayの導入に関するご相談について、NTT東日本のセキュリティエンジニアがお応えします。お気軽にお問い合わせください！

1. SWG導入の重要性
2. SWG導入後に感じたメリット: 2-1. セキュリティ機能の向上; 2-2. 可用性と運用効率の向上
3. SWG運用で困ったこと: 3-1. クライアントの運用に関する課題; 3-2. トラフィック精査と制御設定の重要性
4. まとめ

1. SWG導入の重要性

本章ではSWGの重要性についてご説明します。

現代のビジネス環境では、インターネットやクラウドアプリケーションの活用が当たり前となり、業務の効率化や柔軟性は飛躍的に向上しています。しかしその一方で、サイバーセキュリティの脅威は日々進化し、従来の対策だけでは十分に対応しきれない状況になっています。

特に企業がネットワーク通信において直面する課題は多岐にわたります。代表的なものを挙げると、以下のようなリスクが存在します。

不正なURLや情報漏えいにつながるサイトへのアクセス
業務に不要なクラウドアプリケーションの利用
社外からのマルウェア（悪意のあるソフトウェア）や不正コマンドの脅威

これらのリスクに対応するには、通信ログの分析が不可欠です。しかし、膨大なログからリアルタイムで脅威を特定・対処するには、人的リソースだけでは限界があります。

そこで注目されているのが、Secure Web Gatewayです。

SWGは、インターネットアクセスの安全性を確保し、クラウド利用に伴うリスクを軽減するためのゲートウェイとして機能します。さらに、通信ログの分析や脅威検知機能も備えており、膨大なログ監視を効率的に行うことが可能です。

SWGの主な機能

URLフィルタリング
Webサイトをカテゴリやリスクレベルに応じて分類し、業務に不要または危険なサイトへのアクセスを制限します。
マルウェア防御
暗号化されたWeb通信内のマルウェアを検出し、ダウンロードされるファイルを検査して隔離・遮断します。
企業内情報の流出対策
文書やメール、ファイル内の企業情報を検知し、企業のセキュリティポリシーに基づいて制御します。

SWGは、セキュリティ強化だけでなく、業務の安心・安全な運用を支える基盤として、今後ますます重要な役割を果たしていくと考えられます。

NTT東日本では、SWGの機能を活用し、ネットワークを介した業務を一つの端末で完結できる環境を構築しました。また、セキュリティの観点からリスクのある通信やアプリケーションの利用を未然に防ぎ、利便性と安全性の両立を目指しています。

Secure Web Gatewayの導入に関するご相談について、NTT東日本のセキュリティエンジニアがお応えします。お気軽にお問い合わせください！

2. SWG導入後に感じたメリット

NTT東日本セキュリティエンジニアのミズタニです。

ここからは、SWGの運用中に得られた気づきや課題についてご説明します。

2-1. セキュリティ機能の向上

NTT東日本ではSWG製品の中でも、Zscaler社のZscaler Internet Access(以降ZIAと表記)を使用し、端末のインターネットアクセスを一元的に管理しています。

ZIAについては第10回でCASB機能を紹介しましたが、今回はSWG機能に特化してご説明します。

NTT東日本の社給PCでは、インターネット接続時にZIAを通じてセキュリティ検査と通信制御が行われます。これにより、通信プロトコル単位での詳細な制御が可能となり、業務に必要な通信のみをZIAで許可することで、セキュリティリスクを排除しています。

ZIAはクラウド版プロキシとして機能するだけでなく、サンドボックスやアンチマルウェアなどの高度な脅威検知機能を備えており、危険な通信をリアルタイムで分析・ブロックすることで、セキュリティレベルを大幅に向上させています。

NTT東日本では、この機能の導入により業務に支障をきたすことなく、セキュリティと運用効率を両立できるようになり、安定した業務環境を実現しました。

2-2. 可用性と運用効率の向上

SWGは従来のオンプレミス型プロキシとは異なり、クラウドベースで複数ゲートウェイ構成を採用しており、この仕組みにより可用性と冗長性が確保されています。

たとえば、あるデータセンターで障害が発生した場合でも、他の拠点を経由して通信を継続できるため、業務が停止することはありません。これは、単一障害点に依存しない構成の強みと言えるでしょう。

さらに、SWGはハードウェア非依存構成を採用しているため、物理的な攻撃対象が減少し、セキュリティリスクを低減します。加えて、ベンダー側で自動的にアップデートや脆弱性対応が行われるため、社内IT部門の運用負荷も大幅に軽減されます。特に、障害対応やセキュリティパッチの適用にかかる時間とリソースを削減できる点は、オンプレ型と比較して大きなメリットです。

ポリシー管理もクラウド上で一元化されており、拠点ごとの設定変更が不要になることで、運用のスピードと柔軟性が向上します。また、トラフィックが単一点に集中しない構成により、ネットワークの輻輳が起こりにくく、通信品質の向上にも寄与しています。

このように、SWGは「セキュリティ」「可用性」「運用効率」「通信品質」のすべてにおいて、現代の企業にとって理想的な選択肢です。

Secure Web Gatewayの導入に関するご相談について、NTT東日本のセキュリティエンジニアがお応えします。お気軽にお問い合わせください！

3. SWG運用で困ったこと

本項ではSWGの運用で困ったこと、苦労したことについてご説明します。

3-1. クライアントの運用に関する課題

Zscalerでは、Zscaler Client Connector (以降ZCCと表記)というエージェントがクライアント端末にインストールされている必要があります。

クライアント端末の運用において、このZCCの定期的なバージョン更新は欠かせない作業です。しかし、この更新についての事前検証が課題となりました。

NTT東日本では、社内の利用者数が5万人を超えているため、ユーザー影響を最小限に抑えるための慎重な対応が求められます。

具体的な作業手順としては、まず少数のユーザーを対象に部分的な更新を実施し、その結果を踏まえて段階的に対象範囲を拡大していく検証プロセスを踏んでいます。このような段階的な展開には時間と調整が必要であり、運用上の大きな負担となっています。

また、ZCCのバージョン更新時には一時的な通信断が発生する可能性があり、業務への影響を最小限に抑えるため、更新タイミングの調整と影響範囲の事前把握が重要です。

こうした課題に対応するためには、更新スケジュールの早期策定と関連部署との綿密な調整が欠かせません。さらに、通信断の影響を最小限に抑えるための技術的対策の検討も、円滑な運用を支える重要な要素となります。

3-2. トラフィック精査と制御設定の重要性

トラフィックの精査と制御設定は、セキュリティと業務効率の両立に欠かせない重要な要素です。しかし、設定変更が予期せぬトラブルを引き起こすこともあります。

実際に、SWGの設定変更により一部サービスが利用不可となる事例が発生しました。イベント対応のため、2024年1月15日からポート規制を解除していた期間中に新たな業務サービスが導入されました。イベント終了後の2025年1月23日にポート規制を再度有効にした際、そのポートに依存していた業務サービスの通信が遮断され、業務に影響が生じました。

原因は、新規サービス利用開始前の申請漏れと、不要な設定の削除を先延ばしにしたことです。このトラブルを教訓に、NTT東日本では申請ルールの徹底と、制御設定の影響範囲の事前評価および関係者への周知を強化しています。安定した運用には技術的な精度だけでなく、運用ルールの遵守と関係者間の連携が不可欠なのです。