「何も信頼しない」を前提とするセキュリティ　企業がゼロトラストを実現する方法

Webとデータのセキュリティ対策

山下智子氏：みなさま、こんにちは。アルプス システム インテグレーション株式会社の山下と申します。どうぞよろしくお願いいたします。さて、今日は「ゼロトラスト実現への第一歩！～Webとデータのセキュリティ対策～」と題しまして、ゼロトラストセキュリティ実現への第一歩として、身近なところで対策がしやすいWebとデータのセキュリティ対策についてご紹介します。

テレワークが急速に拡大したことと、日々巧妙化するサイバー攻撃や未知の脅威対策として注目を集めているゼロトラストセキュリティですが、テレワーク環境ではクラウドサービスの利用が不可欠です。

また、ランサムウェアなどのマルウェアの主要侵入経路の1つである、Webからの感染リスクが高まります。テレワークを狙った企業内ネットワークへの攻撃も活発化してきており、機密情報の漏洩リスクも懸念されます。

本セッションでは、Webとデータ管理のゼロトラスト対策に有効なソリューションをご紹介いたしますので、ぜひご参考にしていただければ幸いです。今回はゼロトラストについてのおさらいから、Webとデータのセキュリティ対策の必要性と、対策ソリューションをご紹介します。

それでは簡単に弊社のご紹介です。弊社はアルプス システム インテグレーションと申しまして、社名が長いので略称のALSIと呼んでいただいています。電子部品とカーソリューションのアルプスアルパイン株式会社の、システムインテグレーション事業を担う子会社として設立されました。

セキュリティ関連の自社製品を中心に企画・開発・販売をしているメーカーで、18年連続市場シェアナンバー1のWebフィルタリングソフトや、エンドポイントセキュリティのInterSafe ILPシリーズを、企業・官公庁・学校などのさまざまなお客さまにご利用いただいています。

「ゼロトラスト」の定義とは何か？

それでは弊社のご紹介は以上として、本題に入ります。まずゼロトラストの概念について簡単におさらいします。ゼロトラストについてはみなさまもご存知かと思いますが、「何も信頼しない」を前提とするセキュリティの考え方になります。

従来の対策としては、決まった場所や端末を利用するのである程度安心感がありましたが、昨今働き方の変革が進む中で、社内システムやクラウドを活用して仕事をするのはもう当たり前となっています。

また、あらゆるデバイスや場所からのアクセスするようになっていますので、ネットワークにおける社内と社外の境界はもう意味を持たなくなってきています。

ウイルス感染したパソコンから社内ネットワークを介して感染を広げる被害をもたらす事故であったり、内部の悪意のあるユーザーから機密情報が漏洩してしまう事故も後を立たないのが実情です。

「社内は善、社外は悪」という前提に立ち、ファイアウォールで社内外の境界を守る従来の境界型防御セキュリティは、もはや役に立たなくなってきました。このような状況を踏まえて、すべてのアクセスを信頼しない、すべてを検査することを前提に対策を打つのがゼロトラストセキュリティです。

しかしながらその実現のためには、データ保護やID管理、デバイスセキュリティをはじめ多種多様なIT製品やサービスの導入が必要とされ、万全のモデルを構築するには3年を要すると言われていますので、すべてを一度に対策するのはコストも含めて大変です。

2020年度以降、多くの企業でテレワークが導入されて、クラウドサービスの利用が増えていることから、そのような状況における課題を右下に3つ挙げてみました。まず「クラウドサービスのアクセス管理を行いたい」、2つ目が「シャドーITによる情報漏洩の事故を減らしたい」、3つ目が「機密情報への不正アクセスのリスクを減らしたい」。こちらの3つになります。

情報セキュリティにおける脅威

まずは身近なところで実施がしやすく効果が高いとされるセキュリティとして、Webとデータの対策についてお話しします。

それではまず1つ目、Webセキュリティです。IPAから毎年発表されている「情報セキュリティ10大脅威」をご覧いただきます。これに関してはすでにご存知の方もいらっしゃると思います。この赤い枠で囲った部分に注目してお話ししたいと思いますが、1位の「ランサムウェアによる被害」については、2020年から4年連続で1位となっています。

感染経路としてWebやメールからの感染がありますが、Webサイトの脆弱性を悪用することでランサムウェアに感染させたり、メールの添付ファイルやメール本文中のリンクを開かせることで、ランサムウェアに感染させるようなことが考えられます。

4位に「内部不正」がランクインしていますが、シャドーITと言われるクラウドサービスを活用した、社内の機密情報を外部に流出させる事例もあります。5位の「テレワーク等のニューノーマルな働き方を狙った攻撃」については、テレワークの増加によって場所を問わずに業務をする機会が増えましたので、社内端末のWebアクセスを管理する必要性も出てきています。

このように上位にランクインしている項目は、ほぼインターネットを利用することによる脅威であることが共通点です。対策としては怪しいWebサイトやURLにはアクセスしないことになるのですが、誤ってうっかりクリックしてしまうことも容易に想定されますので、安全にインターネットを利用できる仕組みの導入が必要です。

サイバー攻撃の感染経路

ここでサイバー攻撃の感染経路について見てみましょう。フィッシングメールやメール添付ファイル経由で感染してしまうと、もう内部ネットワークを利用した拡散を止めることは困難になります。

感染端末をある程度コントロールできる権限を手にした攻撃者にとっては、標準ネットワークコマンドやネットワーク監視ツールを使って、内部のネットワークの景色をよく見渡せるようになってしまいます。

見えている景色の中から、脆弱性が存在するほかのコンピューターを探すことは非常に簡単なので、その脆弱性をリモートから攻撃してプログラムの実行権限を取得して、さらに横展開を図っていきます。最終的には目的の情報を発見したり、必要十分なデータの人質をとって完了になります。

このようにたった1台の端末の感染から、内部のネットワーク全体が攻撃を受け、会社の事業継続を脅かす経営リスクになりかねません。これは実例なのですが、某上場企業のグループ全体で標的型攻撃メールの訓練を行った結果、対象人数2万人ほどに対して全体の約10パーセント、約2,000人ほどは引っかかってしまったという結果も出ています。

このような訓練は何回実施しても、引っかかる人数を10パーセント以下にしていくことは一般的に難しいと言われています。このことからも、人間の判断に任せてセキュリティを担保することはもはや不可能と言える状況で、人に頼らずにシステムで保護するということが求められていると考えています。

セキュリティリスクへの対策

近年のセキュリティ傾向としましては、サイバー攻撃に関連する通信は1つのIPアドレスあたりで約180万件もあるそうです。警察庁の発表によると、2022年には国内外でランサムウェアによる攻撃が多発したとのことです。

右側に記載のグラフは、国内でのフィッシング情報の届け出件数についてですが、2022年は前年と比較して2万件も増加しています。

具体的な感染経路は、先ほどから申し上げていますとおり、怪しいメールに記載のURLリンクを開いてしまったり、添付ファイルを開いてしまうことで、ユーザー自らインターネット側のサーバーにリクエストしてマルウェアを端末に取り込んでしまいます。

もちろんさまざまなセキュリティベンダーから検知型のソリューションも出ていますが、みなさまが日々メールを開いた時にフィッシングメールが届いていて、それを「このメールは怪しいからクリックしたらいけないな」など、自分の頭で判断をして感染対策をしていることになります。

そこで、弊社で考えているWebアクセスに関する3つのリスクと対策になります。まずWebアクセスでのマルウェア感染については、Web分離。「InterSafe WebIsolation」で分離と無害化を行います。

そしてダウンロードファイルでのマルウェア感染は、ファイル無害化。「InterSafe FileSanitizer Powered by OPSWAT」(以下、InterSafe FileSanitizer）でファイルの無害化を行います。最後に私的利用による情報漏洩については、Webフィルタリング。「InterSafe WebFilter」で対策を行います。

これらの3製品をまとめて「Secure Gateway Suite」というパッケージソリューションとして提供しています。このあとから製品の詳細をご紹介します。

Web分離・無害化製品の「InterSafe WebIsolation」

まずはWeb分離・無害化製品の「InterSafe WebIsolation」のご紹介です。仕組みについてはインターネットにアクセスした時に、アクセスした結果を図の中央にあるブラウザコンテナ内で実行とレンダリングを行い、結果を画像に変換してローカルブラウザ、ユーザーに送る動きになります。

画像ストリーミングをご覧いただきたいのですが、画像が少しずつ変化しながら送られているのがご確認いただけるかと思います。いわゆるパラパラ漫画のようなかたちで、画像を連続してローカルに配信して、アニメーションのようにして動かしているとイメージしていただければと思います。

このような動きでユーザーに送られてくるデータを画像化することで、仮に悪意のあるサイトにアクセスした場合でも、ユーザー側にはまったく影響のない環境を実現することができます。

分離処理について、具体的なイメージをご覧いただきます。左側は某サイトのソースコードになります。通常のWebサイトのソースコードですので、ご覧のとおり多くのスクリプトや外部ソースが記載されています。

これに対して、分離処理を実施した結果が画面右側です。左側と同じサイトのソースなのですが、端末に送られてくるソースはInterSafe WebIsolationのスクリプトのみとなっています。もし元のソースにランサムウェアや危険なスクリプトが含まれていても、それらを除去した状態となり、安全なWeb閲覧が行われていることを示しています。

続いてファイル無害化ソリューション、「InterSafe FileSanitizer」をご紹介します。InterSafe FileSanitizerではダウンロードファイルのマルチスキャンや、コンテンツの無害化・削除を行います。

インターネット上のコンテンツをダウンロードする時に、危険なファイルをダウンロードしてしまわないように無害化処理を行って、安全にファイルを入手できます。マルチスキャンの機能で複数のアンチマルウェアエンジンを利用して、高い検知率で脅威を発見できます。

そしてもう1つの無害化機能で、例えばマクロの無効化や、画像に含まれる脅威を取り除くことが可能となります。この2つの機能を持ち合わせたInterSafe FileSanitizerを利用することで、ファイルも安心してダウンロードできるようになります。

「InterSafe WebFilter」でWebフィルタリング

そして最後に、Webフィルタリング製品の「InterSafe WebFilter」のご紹介です。Webフィルタリングについてはご存知の方も多いかと思いますが、URLのデータベースを参照して、設定されたルールに基づいて許可や規制、書き込み規制のようなWebアクセスの制御を行うものです。

URLデータベースに特長がある製品で、ジャンルごとに区分したカテゴリの数が148カテゴリと他社に比べて多く、きめ細やかな制御が可能で管理者の意図に沿った制御を容易に実現できます。

この豊富なデータベースで、アクセスを捕捉する割合である網羅率に関しても、99パーセント以上と国内最高水準を誇ります。11月27日からAIカテゴリが1つ追加となり、148から149に増える予定です。これによって、最近話題となっているChatGPTの利用についても簡単に制御ができるようになります。

それではSecure Gateway Suiteを導入するメリットとして、ポイントを3つに分けてご紹介します。

まずはクライアントから普段どおりにインターネットアクセスするだけなので、ユーザーとしては手間なくご利用ができる点。

続いてOPSWAT社の高機能な無害化エンジンとマルチスキャンを利用できる点。最後にVDI（Virtual Desktop Infrastructure）やSBC（Server Based Computing）環境と比較すると、コストがリーズナブルにご提供できる点です。

「Secure Gateway Suite」の圧倒的利便性

まず1つ目のメリットとしては、Secure Gateway Suiteの最大の特徴である利便性です。ここでは大事なデータを扱うネットワークと、インターネットを利用するネットワークを分けていて、VDIなどを活用して運用されているケースを想定してお話しします。

左側で示しているとおりインターネットアクセス時、通常どおりのPC操作で自動的に画面転送が可能です。例えばVDIの場合ですと、まず最初に一度仮想クライアントを起動して、OSへログインしてからようやくブラウザを起動してインターネットアクセスを行うというように、合計3ステップも必要になってきます。

ですが、Secure Gateway Suiteの場合ですと、クライアントから1ステップで普段どおりにインターネットアクセスするだけなので、ユーザーとしては手間なくご利用が可能です。

また、右側のとおりインターネットからのファイルのダウンロード時についても、無害化製品を使っている場合は対象ファイルを選択するだけのたったの1クリックで、自動的に無害化されたファイルをローカルに落とすことができます。

これに対してVDIの場合は、まずは仮想OS上でファイルダウンロードを実施してから、次にファイル転送サーバーへのアップロード、そしてようやくクローズド環境のOS上でファイル転送サーバーからダウンロードを実施します。

このように仮想環境へログインしないといけないので、ファイルをダウンロードするだけでたくさんのステップが必要となってしまいます。

このようにWeb閲覧時・ファイルダウンロード時のような、インターネット利用でよくある操作を、Secure Gateway Suiteでしたら利便性を損なわずにセキュアに実行することができます。

リーズナブルにハイクオリティの脅威判定機能が使える

続いて2つ目のメリットとしては、高機能な無害化エンジンとマルチスキャンが利用できる点です。InterSafe FileSanitizerの無害化エンジンは実績のあるOPSWAT社のエンジンを採用しており、ファイル形式が150種類以上と豊富ですので、いろいろな種類のファイルを無害化することができます。

もし特殊なファイルがあり未対応ファイルがあったような場合でも、マルチスキャンだけを利用して脅威を判定しますので、管理者による確認や対処は不要になります。

競合する他社製品もありますが、他社製品の場合は対象ファイルは約70種類ほどとOPSWATエンジンの約半分ほどとなります。「無害化できないファイルが多い」というお客さまのお声も聞いたりしますので、かなり多くのファイル形式に対応していることがおわかりいただけるかと思います。

そして、最後に3つ目のメリットとして、スライド右のVDI・SBC環境と比較してコストがリーズナブルにご提供できる点です。VDI環境と比較して、ハードウェアの費用はクローズド環境とインターネット環境で2つ準備する必要はありませんし、CALなどのライセンスも不要となります。

Webフィルタリングと組み合わせることで、許可されていないサイトへのアクセスや不要なサイトへのアクセスを抑止して、Web分離させる通信料を抑えて低価格なコストパフォーマンスを実現することもできます。

このようにダウンロードファイルの無害化をはじめ、WebフィルタリングやWeb分離と組み合わせることで、Webアクセスにおけるゼロトラストの第一歩になると考えていますので、もしご興味がありましたらお声がけいただけると幸いです。

クラウド型のWebフィルタリング「InterSafe GatewayConnection」

昨今のテレワークの増加によって、クラウドサービスの利用も増加してきており、端末から社内を経由せずに直接インターネットを利用するケースも多いかと思います。参考情報ですが、別のラインナップであるクラウド型のWebフィルタリング「InterSafe GatewayConnection」もご紹介します。

InterSafe GatewayConnectionについては、Windows、iOS、Android、Chrome OSのマルチOSに対応している、クラウド型のWebフィルタリングサービスです。どんな場所でどんなネットワークを利用していても、安全安心なインターネット環境を実現することができます。

フィルタリングのデータベースについては、先ほどご紹介したInterSafe WebFilterと同等のものを利用していますので、とても高品質である点と、さまざまな賞も受賞しており高いユーザー評価もいただいていますので、自信を持ってご提案できるサービスとなっています。こちらもあわせて覚えていただけると幸いです。

データセキュリティの必要性

さて続いて、ここからはデータセキュリティの必要性について見ていきたいと思います。再度、情報セキュリティ10大脅威をご覧いただきますが、データセキュリティという観点で見ていきたいと思います。赤い枠で囲った部分については、情報漏洩しやすいポイント、情報漏洩のリスクのある脅威と思っていただければと思います。

1位の「ランサムウェアによる被害」については、Webの脅威としてもお話ししましたが、手口がより巧妙になり被害が大きくなる傾向にあります。

2位に「サプライチェーンの弱点を悪用した攻撃」がランクインしていて、セキュリティ対策の強固な企業を直接攻撃せずに、関連組織を標的として、そこを踏み台として本命の標的である組織を攻撃することが、ここ2年テレワーク拡大に伴って増えてきています。

4位にランクインしている「内部不正」については、営業機密の情報漏洩ルートに関する調査結果から、中途退職者による情報漏洩が最も多いデータもありますので、こちらも対策が必要な部分となります。

これらの情報から多様化するリスク、まさにゼロトラストの状況の中で、どのようにデータセキュリティを実現していくのかが重要な視点であることがわかります。

こちらは昨年から今年にかけて発生した、ランサムウェア攻撃による情報漏洩事件の事例をまとめたものです。企業の情報資産を狙ったサイバー攻撃は国内外問わずに増加しております。

個人情報の漏洩は世界的な問題となっていて、世界中で厳しいセキュリティ関連法令やガイドラインが施行され始めています。このような状況から情報の流出対策だけではなくて、内部にあるデータ保護の対策も必要であることがわかります。

ファイル自動暗号化製品のメリット

それらに対してALSIが提供できるソリューションは、ファイル自動暗号化の「InterSafe FileProtection」になります。従来の暗号化製品の場合、ハードディスクやフォルダ単位の暗号化となるので、外部にファイルを持ち出すと暗号化が解除されてしまい、侵入やファイル流出が心配されるゼロトラスト環境では十分な対策にはなりません。

それに対してこちらの製品はファイル自体を暗号化する仕組みですので、マルウェアや内部不正でファイルが流出したとしても暗号化が施されたままとなり、ファイルの中身は保護することができます。

特長としましては、運用負荷が少なくユーザーの利便性を損なわない点です。2つの自動暗号化方式があり、1つ目は上の図で、ファイルを開いて編集して保存するという一連の流れの中で、ファイル保存時に自動的に暗号化する方法です。

もう1つは下の図で、特定のフォルダに移動したファイルを暗号化する方法で、特定の重要ファイルだけを暗号化したいという要件に最適です。

暗号化されたファイルは拡張子は変わらず、ファイルを開く時も通常どおりダブルクリックで開くことができ、シンプルな運用ですのでユーザーの利便性を損なうことはありません。ただしファイルのアイコンに鍵マークがつくので、暗号化されていることは従業員の方も認識ができます。

ランサムウェア対策としても有効

もう1つ、みなさまに好評いただいている特長としまして、大きな脅威であるランサムウェア対策としても有効な点があります。暗号化処理をすると同時に、外から見えない特殊な領域に自動でバックアップを作成します。

ランサムウェアによってバックアップも含むデータが暗号化されてしまうようなケースでも、こちらの製品であればバックアップに手をつけられることはなく、データを強固に保護することができます。

暗号化したまま、ファイルのコンテンツ検索やウイルスチェックも可能です。他社製品との違いとしましては、このような暗号化をするとよく拡張子が変わってしまったり、専用ビューアが必要だったり、コンテンツ検索できなかったりするのですが、InterSafe FileProtectionでの暗号化の場合はそのような心配はないのが特長です。

さらにオプションのご紹介ですが、個人情報検出機能の「InterSafe PIS」との連携が可能です。この連携をすると、ファイルサーバーやクライアント端末内にある個人情報や機密情報が含まれているファイルを検索して、自動で暗号化できます。このように自動化することで、手作業によるファイルの暗号化漏れを防止して、チェック時の工数も削減できます。

ゼロトラストという言葉で表現されているとおり、どんなに対策をしてもリスクがつきまとう今の時代ですので、万が一漏洩したとしても暗号化して開けないファイルにしておくことで情報漏洩を防ぐ。このような対策が大切になると思います。

今回ご紹介したファイル自動暗号化と個人情報検出オプションについては、どちらも「InterSafe ILP」というシリーズ製品の一機能となります。InterSafe ILPの中には共通機能と選択機能、拡張機能があり、利用したい機能を選択機能の中から自由に選んでいただけます。すべてご利用いただくことも可能ですし、複数個選択して組み合わせてご利用いただくこともできます。

今回ご紹介したのは右上のInterSafe FileProtectionで、単体で購入してファイル自動暗号化の機能をご利用いただくこともできます。拡張機能である右下の個人情報検出オプションのInterSafe PISと組み合わせて、個人情報や機密情報を自動検出して暗号化するという運用もできます。

ゼロトラスト対策の第一歩を踏み出そう

ほかにもさまざまな機能があり、例えば真ん中の左のデバイス制御の製品や、左下の申請承認のワークフローであったり、または真ん中の右側のセキュリティUSBメモリを作成する機能などもあります。こちらも昨年、関西で起きたUSBメモリ紛失事故以降、引き合いの増えている製品になります。

選択機能はすべて同一クライアントソフトで動作しますので、ライセンスキーの入力だけでご利用可能となります。ですので、まずはInterSafe FileProtectionとInterSafe PISを導入して、あとからほかの製品を順に導入することも可能です。このようにお客さまの必要な機能を選択して購入できる、一元管理できる製品となっています。

その時に、もちろんログも一元管理できるということをお伝えしたいと思います。機能をあとから追加しても、1つの管理コンソールで管理ができて、左側の図にあるとおり日付や対象ログを検索すると相関的にいろいろなログの情報にアクセスできて、抽出できます。このようなことがシリーズでご利用できるメリットかと思います。

まとめ

それでは最後に、まとめに入っていきます。このセッションではゼロトラストセキュリティ実現への第一歩として、身近なところから対策ができるWebとデータのセキュリティ対策をお話ししてきました。

冒頭のとおり、ゼロトラスト対策と言っても「いったい何から手をつけたらよいのか」「あれもこれも費用がかかりすぎるな」といったお悩みをお持ちの管理者さまも多いと思います。

企業さまごとにさまざまな業務があり、セキュリティ要件もそれぞれかと思いますので、まずは本日紹介した、最も身近で手をつけやすいWebとデータの対策から検討されてみてはいかがでしょうか。

みなさまに、本日の情報が1つでもヒントになれば大変うれしく思います。それでは以上で本セッションを終了いたします。ご清聴いただきまして、ありがとうございました。