プロキシ・SWG・CASB・EDRと透過型ファイアウォールの役割分担

セキュリティ製品の検討を始めると、まず製品カテゴリの多さに圧倒されます。プロキシ、SWG、CASB、EDR、ファイアウォール——それぞれのベンダーは自分のカテゴリの重要性を語りますが、「結局どれが必要で、何が重複しているのか」は意外と説明されません。この記事では、特定の製品名には踏み込まず、カテゴリ同士の役割分担を整理する「軸」を提供します。

整理軸は「どの層で・どの観測点から見るか」

機能の一覧表を見比べても、カテゴリの違いは分かりにくいものです。実は各カテゴリを分けているのは機能の優劣ではなく、システムのどこに立って、何を観測するかという立ち位置の違いです。

カテゴリ	観測点	主に見るもの
EDR	端末の中（エージェント常駐）	プロセスの挙動、ファイル操作、端末上の不審な活動
CASB	クラウドサービスの利用	SaaSの利用状況、アカウント、クラウド上のデータの扱い
プロキシ / SWG	Webアクセスの代理（経由点）	URL・カテゴリ単位のWebアクセス、Web経由の脅威
透過型ファイアウォール	回線上（ネットワーク層）	セグメントを通過する通信の宛先・プロトコル

EDRは端末の内側に常駐するため、プロセスが何をしたかまで見えます。CASBはクラウド利用というアプリケーションの文脈を見ます。プロキシ・SWGは端末がWebへ出るときの代理人として、Webアクセスを細かく制御します。透過型ファイアウォールは回線そのものに立ち、その線を通るすべての通信を——Webに限らず——宛先とプロトコルの単位で見ます。

それぞれに「見えないもの」がある

立ち位置が違うということは、それぞれに死角があるということでもあります。

• EDR はエージェントを入れられない機器（IoT、複合機、検証用サーバ、管理外の持ち込み端末）が見えません。また、エージェント自体が無効化・回避される可能性も残ります
• CASB は対象としたクラウドサービスの外で起きること——クラウドを経由しない通信——は守備範囲外です
• プロキシ / SWG はプロキシを経由しない通信が見えません。プロキシ設定を持たないアプリや機器、プロキシを迂回する通信は素通りになります
• 透過型ファイアウォール は回線上の宛先は見えますが、端末の中で何が起きたか、暗号化された通信の中身は見えません

つまり「このカテゴリさえあれば足りる」という製品は構造的に存在しません。どの観測点にも、その観測点からは原理的に見えないものがあるからです。

「どれか1つ」ではなく層を重ねる

この整理から導かれる結論は、各カテゴリは競合ではなく補完関係にある、ということです。端末の中はEDRが、クラウド利用はCASBが、Webアクセスはプロキシ・SWGが、回線上の通信はネットワーク層の制御が見る——それぞれの死角を別の層が補う「防御の多層化」が基本の考え方です。

たとえば端末側の対策がマルウェアに無効化されても、ネットワーク層の制御は端末の制御外にあるため独立して機能します。逆にネットワーク層では見えない端末内部の挙動は、EDRの領分です。情報持ち出しの経路が多様である以上、観測点も複数必要になります。

選ぶ順番の考え方

すべてを一度に導入できる組織は多くありません。順番を決める軸は2つです。

1. 守りたいものから逆算する — 守りたい資産はどこにあり、漏れるとしたらどの経路か。その経路を観測できる層から優先します
2. 運用体制から逆算する — どの製品もアラートやログのレビューという運用が発生します。端末への展開・管理が負担ならエージェント型は後回しにする、ネットワーク構成を変えられないなら透過型を検討する、といった現実的な制約も判断材料です

正直な注意点

この記事の分類は理解のための単純化です。実際の製品はカテゴリをまたぐ機能を持つことが多く、境界は年々曖昧になっています。カテゴリ名で判断せず、「この製品はどこに立って、何を観測し、何が見えないのか」を個別に確認することをおすすめします。

まとめ

• 製品カテゴリの違いは機能の優劣ではなく「どの層で・どの観測点から見るか」の違い
• EDR＝端末の中、CASB＝クラウド利用、プロキシ・SWG＝Webアクセスの代理、透過型FW＝回線上のネットワーク層
• どの観測点にも原理的な死角があり、「1つで足りる」製品は存在しない
• 各カテゴリは補完関係。死角を別の層が補う多層防御が基本
• 選ぶ順番は「守りたいものの経路」と「運用体制」から逆算する

Tate（盾）はこの整理でいう「回線上のネットワーク層」に立つ透過型ファイアウォール・アプライアンスです。設計思想は設計思想・信頼性をご覧ください。