2024.12.19
システムの穴を運用でカバーしようとしてミス多発… バグが大量発生、決算が合わない状態から業務効率化を実現するまで
提供:株式会社網屋
リンクをコピー
記事をブックマーク
寺園雄記氏:本日の題名のとおり「利便性の両立」も考えないといけませんが、こちらは、テレワークの普及で利便性は向上したものの、ネットワークの課題が顕在化していることを示すスライドです。
左側が、旧来型の境界線防御でテレワークを実施した場合の課題です。いくつかビックリマークで挙げていますが、先ほどから申している脆弱性の部分もしかりですし、ID認証の強度の部分やアクセス権。テレワークでVPN(仮想プライベートネットワーク)に入ったらどこにでも入れてしまい、侵入されたらもう終わってしまう。
あと社内のVPNに入っていない状態で、自宅で業務PCからインターネットアクセスした時にマルウェアに感染する危険性。それを避けるために、業務PCでインターネットアクセスをする際は完全にVPNを通過させる構成をとっているお客さまもいらっしゃいます。そうすると、例えば本社のファイアウォールがボトルネックになって通信の遅延が発生し、Web会議ができずに仕事にならないといった課題などが挙げられると思います。
このネットワークセキュリティに対する課題については、ゼロトラストの考え方を情報システム部でコーディネートするかたちが、中堅・中小企業でゼロトラストを成功させる1つのポイントになるのかなと考えています。
ここからは少し、当社が提供するサービス「Verona」についてご紹介差し上げたいと思います。
今お話しした顕在化した課題に対して、Veronaを実装いただくとすべてを払拭したセキュアなゼロトラスト環境を構築できます。
「ネットワークとセキュリティの両立」ということで、こちらのスライドには「プライベートアクセス」と「インターネットアクセス」の2つを書いています。
Veronaでは、VPNを張って「セキュアに社内に入る」、もしくは「クラウドにアクセスする」という環境をご提供しています。
さらに先ほど課題として挙げた、VPNをつないでいない時の端末のセキュリティを保全する仕組みもご提供しています。詳しくは後半でご紹介いたします。
Veronaはフルマネージド型のゼロトラストネットワークとなっていまして、こちらの01番から03番がワンパッケージの中に含まれているのが特徴です。
導入時の初期設定や導入後の追加、設定変更。そして先ほど一番重要と申し上げた運用の部分。
運用の部分について、一つひとつご紹介しますと、アカウントの管理、証明書の発行/停止や、接続ログの記録や保管、そしてファームウェアアップデートなど。セキュリティ対策の運用で必要な部分が、すでにインクルードされています。さらに障害時の対応や不具合時の対処も、スライド上部の「クラウド管理センター」で技術者がお客さまに代わって対応を進めます。
さらに詳しくご紹介しますと、例えば左側の旧来型ですと、セキュリティ設定を行ったあとは、WindowsのPCのように自動でアップデートがかかったりしないので、どうしてもメーカーから適用されるセキュリティパッチを自分でネットワーク機に当てる、もしくは業者さんに当ててもらうという作業が必要で、だいたいここがおろそかになって侵入されてしまいます。
しかしVeronaであれば、先ほどのクラウド管理センターから自動でファームウェアがアップデートされますので、お客さまが意識されなくても、最新のセキュリティ状態でお使いいただくことができます。
また、先ほど「ID/パスワードはすぐに漏洩して(ネットワークに)入られますよ」という話がありましたが、市販の一般的なVPN装置は、誰が認証にくるかわからないのでインターネット上で聞き耳を立てて待っている状態で、なりすましでIDとパスワードを総当りで試して侵入されたという事件も実際に起きています。
Veronaではセンターでの認証がOKにならないと通信できない仕組みになっており、基本的にこの「V-edge」というVPNルーターがポートを全部閉じているので、外からなりすませない仕組みが実装されています。これが「ダイナミックポートコントロール」の機能です。
証明書認証も標準で搭載されており、市販の一般的な機器ですとスライドの③にあたるID/パスワードだけなので、なりすまされて入られる危険性が高いんですが、Veronaでは証明書認証とパスワード認証も組み合わせた多要素認証での接続を標準としています。スライドの①②③の3つの接続フローがこれにあたります。
例えばスライド上部の「CAS-Center」というクラウドセンターに、私が「社内の人間として入っていいですか」という確認をとって、センターがOKであればVPN装置に「今から寺園が入ってくるので、寺園宛だけにポートを開けて待て」という動的な指示が出て、私の端末がVPN装置にトンネルを張って、セキュアな通信が行われると。作業が終わればポートを閉じて、外から侵入されない動きになります。
ID管理を簡単にするAzureAD( Microsoft Azureのクラウドベースのユーザー管理サービス)との連携の説明スライドもご用意しました。
ユーザーIDの管理は情シスさまの手間になりますが、入退室者の管理をおろそかにしてしまうと、退職した方のIDで不正侵入されてしまうといったリスクもあります。
VeronaではVPN装置のID管理とAzureADのID管理を統一できるので、AzureAD側だけ見ていれば勝手にVeronaにアカウント連携ができるという、シングルサインオンができる仕組みになっています。現在はAzureADのみですが、HENNGE Oneとの連携も近日リリース予定となっています。
さらに、Veronaは細かくアクセス権を設定することで被害を最小化できるようになっています。例えば、スライドでは営業部と開発部を一例で挙げていますが、相互通信できる対象のアクセス制御を設定できます。
なので仮に営業の私が感染すると、どうしても営業部の中は感染が広がる可能性がありますが、開発部まで被害が及ばないというかたちを実現できます。
これ以外にも、こちらのスライドの「経路選択と負荷分散」。通信負荷の集中を解消するための機能です。
いわゆる重要データにはVPNトンネルを張って接続されると思いますが、例えばWeb会議ですとか(Office)365などは、テレワークの自宅のインターネットから飛ばした方が速いし便利なため、この機能を使って業務効率を上げていただけます。
スライド右側にロードバランスとありますが、Veronaは100名規模から5,000〜6,000名規模までさまざまな規模の会社さんに使っていただいており、徐々にスケールアップできる構成にしています。最初から高額な機器を導入いただくのではなく、100人や200人単位で1個1個足していただけます。また同時接続台数が多い時は、負荷分散が自動で行われる機能も搭載しています。
こちらは直近リリース予定の機能になりますが、「DNSセキュリティ」と申しまして、VPNを張らない状態の端末のWebアクセスをしっかり保護する機能になります。
当社は独自の脅威インテリジェンスというデータベースを持っておりまして、社内にいても社外・ご自宅にいても、この機能がオンになった状態であれば安全なインターネットアクセスしか許可しません。
本人の覚えがないところで感染していて、知らない間にデータが流されていたといったお話はよく聞きます。多くはC&Cサーバー(サイバー攻撃者がマルウェアに指令を出したり、盗み出した情報を受け取ったりするためにボットネットワークをコントロールする指令サーバー)をキックして、どこに飛ばされたかわからないようになっています。
ただ、私どもはそういったダークサイトやダークなサーバーの情報を脅威インテリジェンスのデータベースとして持っており、そこへのアクセスを遮断します。ですので、仮に知らない間に感染しても、そこにデータが流れない仕組みを標準でご提供しています。
それ以外にも情シスの管理者さま向けですが、煩雑で大変な証明書管理がWebで簡単に行えるようになっていまして、例えば紛失した方がいらっしゃれば、クラウド上の管理画面ですぐに利用停止にして、社内に入ってこれないかたちにできます。
また初期導入の際、20〜30人規模であれば証明書の開封はそんなに大変ではないと思いますが、3,000人や5,000人の規模ですと証明書を配布するだけでもかなりの手間となります。Veronaには管理画面からメールで一括送信できる機能など、管理者さまの運用負担を大きく軽減する機能も標準で装備しています。
またこちらのスライドのように、誰がいつ入り、何をやったかというログが証跡としてしっかり残る作りにもなっています。
最近増えているのが、こちらのクラウドアクセスのご契約です。
今まではVPNを張って、外出先から社内の重要なサーバーや基幹システムへのアクセスをご要望されるお客さまが多かったんですが、最近はクラウドシフトで、各種クラウドを利用されるお客さまが増えています。社内に入るというよりは、クラウドの環境にセキュアにアクセスしたいというお客さまに向けたサービスになります。
スライドにある「クラウドゲートウェイ」というものをご用意し、社内をキックせずに一度当社の環境に集約させていただいた上で、お客さまがご契約されているIaaS、SaaSにトンネルを張ったり、グローバルIPで制限をかけてセキュアな状態でアクセスしていただくといった提供方法で、契約数がかなり増えています。
左側の「仮想V-edge方式」は、お客さま独自で持っていらっしゃるクラウド環境にVPN装置のソフトウェアモジュールを搭載していただき、ダイレクトにそちらにつないでいただく方式などで、仮想V-edgeとクラウドゲートウェイはお客さまにご選択いただけます。
Veronaは、基本的にお客さまによる設定投入などは一切ないサービスです。
IPアドレスの情報やホスト名など10〜15項目を申込書に書いていただき、証明書をとって端末にソフトウェアをダウンロードしていただくと、すぐにVPNが使えるようになります。その後のセキュリティや通信状況のメンテナンスは、当社が請け負うので、情シスさまのご負担はないサービスパックになります。
機械を購入してそれ以降のメンテナンスを自社でやる、もしくは外注さんに委託するといった部分のコストを考えると、Veronaはすべてがコミコミのサービスパッケージですので、コスト的にもかなりお安くご提供できるものになっています。
ご紹介が前後しましたが、このVeronaは2,900社を超える導入実績がございまして、セキュリティを意識しながら利便性を上げて、快適に場所を選ばず働きたいというお客さまに採用いただいています。
スライドのように、ご覧になればおわかりいただけるような会社さんや施設さんでご利用いただいていますが、1つ事例で挙げさせていただくのが火災報知器のホーチキさんです。
スライドの事例上は2,000ですが、現在は3,000ライセンスぐらいご利用いただいています。
コロナのタイミングで、「全社員でのテレワークを整備せよ」という経営層からのミッションを受け、スライド左側の情シスの鈴木(智)さまが迅速にテレワーク環境を整備するために、Veronaをご契約いただきました。
先ほどお話しした、申し込みからかなり短納期でサービスリリースできるところと、クライアントの証明書認証やダイナミックポートコントロールなどのセキュリティ機能がご要件に合致して採用いただいております。
最後に「ゼロトラストの実現に向けて『Verona』という選択」というスライドをご用意させていただきました。
セキュリティと利便性も兼ね備えたサービスとして、さらに海外製品ではなく、当社・網屋独自で開発・販売を行う国産のサービスですので、安心してご利用いただけるソリューションになっていると思います。
40分少々お時間いただいたと思いますが、何かみなさまのお役に立てればと考えております。今後ともよろしくお願いいたします。
株式会社網屋
2024.12.20
日本の約10倍がん患者が殺到し、病院はキャパオーバー ジャパンハートが描く医療の未来と、カンボジアに新病院を作る理由
2024.12.19
12万通りの「資格の組み合わせ」の中で厳選された60の項目 532の資格を持つ林雄次氏の新刊『資格のかけ算』の見所
2024.12.16
32歳で成績最下位から1年でトップ営業になれた理由 売るテクニックよりも大事な「あり方」
2023.03.21
民間宇宙開発で高まる「飛行機とロケットの衝突」の危機...どうやって回避する?
PR | 2024.12.20
モンスター化したExcelが、ある日突然崩壊 昭和のガス工事会社を生まれ変わらせた、起死回生のノーコード活用術
2024.12.12
会議で発言しやすくなる「心理的安全性」を高めるには ファシリテーションがうまい人の3つの条件
2024.12.18
「社長以外みんな儲かる給与設計」にした理由 経営者たちが語る、優秀な人材集め・会社を発展させるためのヒント
2024.12.17
面接で「後輩を指導できなさそう」と思われる人の伝え方 歳を重ねるほど重視される経験の「ノウハウ化」
2024.12.13
ファシリテーターは「しゃべらないほうがいい」理由 入山章栄氏が語る、心理的安全性の高い場を作るポイント
2024.12.10
メールのラリー回数でわかる「評価されない人」の特徴 職場での評価を下げる行動5選
Climbers Startup JAPAN EXPO 2024 - 秋 -
2024.11.20 - 2024.11.21
『主体的なキャリア形成』を考える~資格のかけ算について〜
2024.12.07 - 2024.12.07
Startup CTO of the year 2024
2024.11.19 - 2024.11.19
社員の力を引き出す経営戦略〜ひとり一人が自ら成長する組織づくり〜
2024.11.20 - 2024.11.20
「確率思考」で未来を見通す 事業を成功に導く意思決定 ~エビデンス・ベースド・マーケティング思考の調査分析で事業に有効な予測手法とは~
2024.11.05 - 2024.11.05