2021年7月末、パイオリンクから新たな製品「TiFRONT-AP」が発表された。この製品は、単なる無線LANアクセスポイント（無線AP）とは異なる。その“違い”こそが、いまの企業組織に必要なもう一枚の防御層を作り出し、販売店にとって顧客に提案できる新たなセキュリティとなりうる。


　新型コロナウイルス感染症に伴い、日本でもテレワークが浸透しつつある。とはいえ、完全にオフィスを撤廃し、全社員がテレワークのみで働く企業はごく少数だ。多くの中小企業では、テレワークとオフィスの両方を活用するハイブリッドワークといえるような仕事環境を必要としているだろう。このようなスタイルでは、企業が保持するPCデバイスを社内や社外を問わず活用する必要がある。企業がこれまで投資してきたファイアウォールやUTMなどのセキュリティ機構が存在するオフィスだけでの業務であれば、これまで通りの仕組みが有効だろう。しかし、テレワーク時代にはこれまでさほど想定していなかった自宅やカフェなどの“壁の外での仕事”を社内のPCが担うことになる。

　昨今では、在宅勤務に起因するインシデントも多発している。三菱重工は20年8月、従業員が自宅に持ち帰った社有PCが社内ネットワークを経由せず、自宅のインターネットからSNSを利用した結果、第三者からマルウェアを含んだファイルをダウンロードしたことで社有PCが感染したと発表した。該当社員がその後出社し、社内ネットワークに接続したことでマルウェアがネットワークを通じ社内に感染拡大し、外部に不正な通信を行ったことで事故が発覚した。このときはしっかりと検知できたために重要な情報の流出はなかったが、これを止められなかった場合、むしろ「気がつけなかった場合」、取引先、グループ会社にも影響が波及する重大なインシデントに発展するかもしれない。これこそが、テレワーク時代に考えるべきポイントだ。

　いま、セキュリティ対策としてEDRや次世代アンチウイルスに注目が集まっている。しかし、全てのマルウェアは“ネットワーク”を通じ活動をする。ならば、そのネットワークに着目し、端末に近い部分で働くセキュリティ機構があればいい。パイオリンクはそう考え、これまで製品を作り続けてきた。

セキュリティスイッチ機能内蔵の「無線AP」が何を変えるか

　21年4月、千葉・幕張メッセにて最新のインターネットテクノロジーを披露する「Interop Tokyo 2021」が開催された。毎年話題になるのは、ネットワークソリューションを提供する名だたる企業たちが最新の製品を持ち寄り、最先端のネットワークを構築する「ShowNet」だ。そのShowNetに、パイオリンクの「TiFRONT」が参加したのをご存じだろうか。TiFRONTは“セキュリティスイッチ”ともいうべき、L2スイッチにセキュリティ機能を搭載し、有害トラフィックをスイッチレベルで検知、排除するという、オリジナリティのある製品だ。

　パイオリンクは、以前から「スイッチ」の役割に注目していた。12年に最初のモデルの「セキュリティスイッチ」をリリースする。これはネットワークを構成する上で不可欠なスイッチを単なる接続機器とするのではなく、その中でフィルタリングなどを行う機能を作るという大変めずらしい構成のネットワーク機器といえる。他には見ない機能であったため、セキュリティやネットワークを理解しているエンジニアにとっては魅力的な選択肢として活用されていた。

　最も重要なのは、このセキュリティスイッチはこれまでのスイッチと差し替えるだけ、併用するだけで機能するという点だ。17年には、最新版のセキュリティスイッチ「TiFRONT」が登場、クラウド管理が可能となり、パイオリンクのパートナー企業を通じ、システム構築におけるもう一つの提案として、このTiFRONTが活用されてきた。販社からすると、提案の中に追加することで顧客の安全に一役買うことができる重要なピースであるともいえるだろう。

　これまでTiFRONTは、官公庁の一部門や工場、大学、高校など、大口の顧客においても活用がされるだけでなく、地方の市役所や幼稚園、弁護士事務所のような小さな拠点においても活用されている。どの顧客も、先進的なセキュリティを手軽に手に入れたいと考えた結果だ。現在では、その特徴的な機能を理解し、評価しているパートナーの強いプッシュによって徐々にこの「セキュリティスイッチ」という仕組みが展開しつつある。その結果が、あのInteropに参戦することにつながったのだ。

　そして21年7月、パイオリンクとしても、TiFRONTユーザーとしても待望の「無線LANアクセスポイント内蔵モデル」のTiFRONTが登場した。テレワークによってノートPCの活用が当たり前となったいま、TiFRONT-APが担う役割は大きい。無線APのリプレース時に、提案の一つとしてこの製品が加えられることは、販売店にとっても顧客にとっても重要な付加価値になるのではないだろうか。

そもそも「セキュリティスイッチ」とは？

　では、パイオリンクが提案している「セキュリティスイッチ」の機能を、もう少し掘り下げてみよう。

　まず誤解のないように明確にしたいのは、この製品が「マルウェアそのものを検知する」というものではないということだ。マルウェアの検知は、これまで通りMicrosoft Defenderをはじめとするマルウェア対策ソフトなどを活用する。もちろん、UTMのセキュリティ機能も併用することができるだろう。

　では、セキュリティスイッチが担う役割は何か。それは、「マルウェアの行動を止める」ことだ。過去のものとは異なり、最近のマルウェアは感染後、単独では動かずにさまざまな通信を行う。例えば被害が大きく報道されるようになった、ファイルなどを暗号化し、解除キーを身代金と交換するような「ランサムウェア」では、感染した1台の端末から、ネットワーク上近くにある端末に横展開を行う。これによって、攻撃者は被害を拡大させ、企業が身代金を支払う理由を作るのだ。

　対策としてはもちろん、ランサムウェアに「感染させない」ということが挙げられる。しかし、ランサムウェアをはじめ、昨今のマルウェアは亜種を作ることは非常に簡単であり、指名手配写真ともいえるマルウェア対策ソフトのパターンファイルをすり抜けてしまい、感染を止められない。現在ではマルウェアは感染するものとして捉え、その後いかに封じ込めるかが重要だ。

　そこで、セキュリティスイッチは感染後の「行動を止める」ことに注目する。マルウェアが他の感染端末を作るために行う通信は、通常のものとは異なるものだ。悪性が高く、攻撃性のある通信のみを止め、それ以外のクリーンな通信はそのまま通すことができれば、業務への影響を最低限にし、悪意ある通信だけを止めることができる。

　TiFRONTおよびTiFRONT-APでは、機器に内蔵されるセキュリティ機能「TiMatrix」が、ランサムウェアが拡散で使用するSMB通信や、内部の不正通信を検知・遮断。正常な通信のみを許可し、業務への影響を最低限に留める。工場などで活用されるIPカメラに対する攻撃に関しても、その兆候を示す通信を検知し、攻撃を遮断することが可能だ。
 

TiFRONT-APが目指すもの

　これまで単なる通信機器として考えられていたスイッチで、このようなセキュリティ機能が実現されていることは大きな意味があると語るのは、パイオリンクでTiFRONT-APをはじめとするプロダクトマネジメントを行う松田太郎氏だ。

　「TiFRONT-APを含む、セキュリティスイッチはスイッチ同様の概念で設置ができ、同時に端末をセキュリティ的に見ることができる。端末に最も近い位置に存在し、端末の通信の振る舞いを見て、攻撃性があるかないかを見極める。攻撃性があれば該当の通信を止める。業務への影響も最低限で、SMB、SOHOと呼ばれるようなセキュリティ／ネットワークの専任メンバーがいない場所でも、TiFRONT-APを設置さえすればこのデバイスがセキュリティを担保する」（松田氏）。
 
　さまざまなものがネットワークにつながる時代。そのつながりに着目し続けてきたTiFRONTは、L2スイッチ、無線APにおいて「可視化」「検知」「対応」「運用」を実現する仕組みを実装した。この四つが運用に組み込まれることで、ネットワーク環境を清潔にし、整頓されたトラフィックが流れることになる。それこそが、セキュリティとして正しい姿なのだ。
   

有線／無線をクラウドで統合管理し、スイッチで“セキュリティ”を

　パイオリンクの松田氏は、このTiFRONT-APは顧客やパートナーの声を元に作り上げたと述べる。既発売のTiFRONTとの組み合わせも想定しており、PoE（Power over Ethernet）ポートと直結することで、TiFRONT-APを給電することもできるようにパッケージした。

　「中小企業ではUTMがまだ活用されていないところも少なくない。UTMとこのセキュリティスイッチを組み合わせることで、入口や出口だけでなくTiFRONT、そしてTiFRONT-APで内部対策を行い、多層防御を組み上げることができる。そして、それらをクラウドで管理することで運用も手軽になる。大きな企業も中堅でも、いままでのセキュリティ投資を生かしつつ、TiFRONTの導入でさらにできることが増える。インシデントが発生したときの対応に役に立つのではないか」（松田氏）という。

　TiFRONTおよびTiFRONT-APのポイントは、設置工数の少なさ、そして必要十分なセキュリティ機能だ。しかも、端末にはエージェントのインストールが不要なため、「Webカメラやスマートフォン、制御装置、センサーも守れる。TCP/IPを利用し、IPアドレスを持つもの全てが保護対象となる」と松田氏は述べる。

　加えて、「セキュリティスイッチは既存の製品と置き換えるものではなく、追加して層を厚くするというイメージ。今あるセキュリティ体制を、さらに強化できるという売り方ができるのではないか。販売する方々に向け、ソリューションの強化に、さらなる1枚が追加できることをアピールしたい」としている。

　TiFRONT-APのスペックは必要十分だ。SMBやサテライトオフィスから、フロアAPとしての活用も可能だ。1台のAPで最大100台の端末を収容でき、温度仕様が50度までと、工場をはじめとする場所での活用も想定している。価格も法人向けの無線APと遜色ない価格帯で、その上にセキュリティ機能が追加されている。販売店としても“利益が取りやすい”製品といえる。

　これらの機器は、パイオリンクおよびパイオリンクのパートナーから提供されている。既にこれまで2万台を超える販売実績がある上に、OEMとしても提供されているため、知らないうちにTiFRONT機能を活用していた、というエンジニアもいるかもしれない。

　テレワークが当たり前となった時代、端末は危機にさらされている。理想論よりも先に、堅実な手法で安全を確保しなければならない。その点で、端末に近い位置で検知・遮断を行い、エージェントも不要，端末や業務に影響が少ない手法で安全を確保しようとする“セキュリティスイッチ”のアプローチは、多くの組織にマッチするはずだ。これまでにない考え方であるため、伝わりづらかった部分もあるだろう。ぜひ、パイオリンクのセミナーなどで直接、これらの機能についてチェックしてみていただきたい。