サイバー攻撃の手法は高度化していると言われるが、添付ファイルや改ざんサイトを糸口にして侵入を図るというプロセス自体は昔から変わらない。一方、クラウドやモバイルといったITの使い方の変化は大きい。加えて、セキュリティ運用担当者の生産性向上も急務となっている。ITの新たなあり方を踏まえたセキュリティ製品・サービスを紹介する。
(取材・文/日高 彰・前田幸慧・銭 君毅)
「攻撃手法の高度化」は
今年に入ってからだけでもサイバー攻撃の被害が頻繁に報じられている。また、ITベンダー各社からは、新たな脅威に対応するソリューションとして、さまざまなセキュリティ製品が提案されている。
サイバーセキュリティの話題では、決まり文句のように「サイバー攻撃の手法は高度化、巧妙化が進んでおり」と語られることが多い。確かに、マルウェアが添付されたメールを見ると、以前は明らかに業務と無関係な内容だったり、不自然な日本語表現が含まれたりして、一目見て怪しさを感じさせるものだったのに対し、最近では正規の業務連絡と見分けの付きにくいものが多い。
アカウント情報の詐取や不正送金に用いられる偽のWebページも、ドメイン名とサイト証明書を確認するなど、ある程度の知識がなければ見破ることは困難になってきている。かつての情報セキュリティ教育では「不審な添付ファイルは開かない」「怪しいサイトには接続しない」が基本事項だったが、これも「攻撃メールの見た目は必ずしも不審ではない」「正規サイトを見極めるのは困難。メール内のリンクはクリックせず検索エンジンからアクセスせよ」に変わりつつある。
このような現象だけを見れば、確かに攻撃手法の高度化、巧妙化は進んでいる。しかし、これらはテクノロジーを利用する「人の目」をいかに欺くかといった性質のもので、メールの添付ファイルや、改ざんされたWebサイトを糸口にしてユーザーの環境に侵入するという攻撃のプロセス自体はもう何年も変わっていない。「人はミスをすることを前提に、侵入を前提とした対策をすべき」というスローガンも今に始まったことではない。
一定以上の規模の企業では、接続先や通信経路を限定するといったセキュリティポリシーを設け、自社のネットワークの統制を図っていることが多い。セキュリティインシデントの報告を見ると、正しくポリシーが適用されていれば、攻撃者との間で発生する通信や、外部への情報の漏えいをブロックないし検知できたと考えられるケースも少なくない。
ポリシー適用を阻む
しかし、昨今の企業では、以前策定したポリシー通りのシステム運用が現実には難しくなってきているという問題がある。
大きな原因として挙げられるのが、クラウドとモバイルの普及だ。以前は、社内ネットワークを安全な「内部」、インターネット接続など安全性が担保されないネットワークを「外部」と区分けし、その境界で防御を行うという考え方が主流で、企業のセキュリティポリシーやネットワーク構成も境界防御型を前提としていた。
しかし、今や企業の業務アプリケーションは社内とクラウドの両方にまたがっている。さらに、デジタルトランスフォーメーション(DX)の機運の高まる中、アプリケーションごとにポリシーとネットワーク構成を一から検討するやり方は、クラウドを活用した迅速なサービス投入という企業ニーズにそわない。一方、ユーザーはあるときは社内から、あるときは社外のモバイル環境から業務システムにアクセスする。昨今の感染症の流行に見られるように、大規模なリモートワーク環境を突然要請されることもある。
このような状況になると、内部と外部を区別し、アプリケーションや端末ごとにポリシーに合致するシステム構成をとるという考え方は破綻に近づく。また、あるセキュリティベンダーの営業担当者は「地方や海外の事業所、グループ会社では現場まかせの運用になっているというケースをよく目にする」と話し、データセンターや本社オフィスでは適切な運用を行っている大企業でも、拠点が小さくなればなるほど統制が効きにくくなる傾向にあると指摘する。今年1月、三菱電機とNECが相次いでサイバー攻撃の被害を公表したが、両社でも最初に狙われたのは海外や子会社のシステムだったとされている。
セキュリティ製品やサービスも
このような背景から、各社が提供するセキュリティ製品やサービスも、クラウドやモバイルの存在を前提としたうえで、企業のシステム全体を管理・統制する性質のものに変わりつつある。
米インフォブロックスは、DNS・DHCP管理ソリューションを提供しているネットワークセキュリティベンダーだ。端末が他のリソースと通信を行う際には、相手先のIPアドレスをDNSサーバーへ問い合わせる。DNSサーバーが攻撃された場合、端末自体に脆弱性がなくても、ネットワーク全体のダウンや不正なサイトへの誘導といった危険があるため、インフラの中でも重要なポイントとなるが、セキュリティ対策では盲点となりやすい。また、DHCPは社内の端末を特定するため、DNSはどの相手先と通信しているかを特定するために必須の情報となる。同社の「BloxOne Threat Defense」は、DNSのセキュリティを強化すると同時に、DHCPとDNSを一元管理することで、攻撃者と社内端末の不正通信も検知できるようにしている。
従来はアプライアンス製品を主力としていた同社だが、社外ネットワークで業務を行うユーザーへの対応のため、BloxOne Threat DefenseではSaaS版も提供している。どの端末がどこと通信をしているかを、オンプレミス/クラウドを問わず単一のプラットフォームで分析可能となっており、社外で稼働する端末で不審な通信が発生した場合もいち早く検知できるのが特徴。同社のジェフ・ホーン サブジェクト・マター・エキスパートは「BloxOne Threat Defenseは大量のデータを吸い上げ、どのIPアドレスが何をしているかというすべての軌跡がたどれるようになっている。これはIoTデバイスについても可能だ」と話し、ネットワークセキュリティ製品はロケーションとデバイスの種類を問わないことが必須の要件になるとの見方を示す。
米インフォブロックス
また、SaaSの利用が拡大したことで、WAN回線でも新たなニーズが高まっている。従来、多拠点をもつ企業では、全社でのポリシー統制のためにインターネットへの出入口は中央データセンターの1カ所としていたケースが多い。各拠点からクラウドサービスを利用する場合も、まず閉域網経由でデータセンターへアクセスし、そこからインターネットへ出ることになるが、Office 365などのトラフィックが増大したことで、閉域網やネットワーク機器のキャパシティが足りなくなり、生産性が低下するという問題が顕在化している。
そこで、複数の回線をソフトウェア技術で束ね、トラフィックに応じて最適な経路でアクセスを可能にするSD-WANサービスが近年注目を集めている。ソフトバンクでは今年、従来提供していたSD-WANサービスに、新たなラインアップとなる「SD-WAN Type X」を加えた。Type Xは、米128テクノロジーのルーティング技術をベースとしており、クラウドへの接続をより高速かつ安全に行うことができるという。
具体的には、各拠点にはSD-WAN対応ルータ、パブリッククラウド側には仮想ルータを導入し、指定以外の通信をすべて遮断した安全な接続路を確保する。このようなポリシーを各拠点のネットワーク機器に一つ一つ設定するのは作業負荷が大きく、柔軟な設定変更も行えないが、ソフトウェア技術のため管理コンソールから一元的な運用が可能だ。また、拠点設置のルータには、SIMカードを内蔵したLTE回線内蔵モデルも用意されており、固定回線の工事を待てない臨時の拠点などにも対応できる。
従来は拠点間接続の柔軟性やコスト削減が導入の動機となっていたSD-WANだが、重要な業務システムのクラウド化が進んだことで、「クラウドを含め確実にポリシーを適用できるネットワークサービス」という性格が増しつつある。
[次のページ]SD-WAN+セキュリティの「SASE」が登場
