閉域網を使っているのにサイバー攻撃の被害に…　「完全な閉域網」が存在しない時代のセキュリティ対策

SASEは新時代の救世主になるのか？

寺園雄記氏：「SASEは新時代の救世主になるのか？　崩れ去る『閉域網神話』」ということで、お時間を30分頂戴しています。よろしくお願いします。最近の若い方はご存じないと思うんですが、我々中高年からすると「閉域網神話」という神話が存在しています。

昔は、費用は高いんですけど、閉域網を使っているユーザーさんは「うちは閉域網を使っているんだよね」と得意げな感じだったんです。逆に、お金がなくてインターネットVPNでやっているお客さまは「うちはお金ないんだよね」と言っていました。今も一部ではありますけど、昔は閉域網を使っていれば大丈夫的なステータスがあった時代がありました。

「崩れ去る閉域網神話」というのは強気なタイトルですが、外から侵入されてしまって業務が止まってしまった事件や事故はたくさんあると思います。閉域網が国内に浸透していることもあるんですが、閉域網をベースに使っているお客さまの中で、被害がどうしても甚大化しているので、こうしたタイトルにしています。

「閉域網自体がインターネットと接続してないから安心」というところが、一つのポイントになるんですけども、とはいえ昨今の業務の中で、インターネットを使ってないお客さまはいません。

結局、その接点の部分から侵入されて中は全部やられてしまった状態で、月曜日の朝に出社してみると、システムが止まってしまっていて、会社が大炎上しちゃって「どうしましょう」となりますよね。

近年、当社の方でも年間十数件ぐらいは、この状態になったお客さまから問い合わせをいただいて、「何とかならないのか」「業務自体を何とか早く復旧したい」などのオーダーに対して、私どものSE、技術者が出動するケースが多くあります。

大病院のインシデントに見る最新事例

「実際のインシデント事例」ですが、大阪急性期・総合医療センターもみなさんご存知の通り、大事件になったかたちです。詳細はみなさんご存知なので割愛させていただくんですけど、まとめると病院さん自体のセキュリティは、しっかり担保されてたんですが、外部の接続業者から侵入されてしまいました。

金銭的にもスライドに記載の通りの被害が出ていますし、何よりライフラインである病院の機能が停止したことで大きな事件になったと取り上げられてしまいました。一つの象徴的な事例だと思います。

すでに公表されている内容なので問題ないと思うんですが、もう少し細かくお話しすると、閉域網が悪かったわけではありません。記載の通り、病院さん自体でのセキュリティのリスク分散をしっかりされていたと私たちも感じているんですけども。協力業者からの接続の部分から閉域網を通って侵入されてしまいました。

医療関係のネットワークインフラに従事されている方はご存知だと思うんですけれども、医療の器具や医療ネットワーク機器、アプリケーションなど、さまざまなベンダーさんが入り組んでいます。病院さんが動いている関係上、どうしても病院単体で独立したネットワークは作れません。

協力会社からの入線は、どうしても許可しないといけません。そこを統一していくのはかなり難しくて、リスクを回避できない状態で、今回こういった事件になってしまったと考えています。

外部との接点がある以上は「閉域網」ではない。閉域網は悪くないんですけど、結果的に閉域網も外部との接続部分から（ランサムウェアが）通ってしまうところが問題ですね。

閉域網はアーキテクチャとして限界を迎えている

ランサムウェアの被害状況もみなさんご存知だと思うんですが、増加傾向にありまして、企業規模や業種を取ってみても、例えば製造業が若干多くなっています。

製造業の会社のセキュリティレベルが低いわけではなくて、多方面から入ってくる中で、たまたま被害を受けている件数は、製造業、サービス業が多いというだけです。ひっきりなしに攻撃をされていて、侵入されています。特にどこかの業種が強いとかも、当社にも情報としてはないです。

このスライドでもある程度見ていただきたいところは、中小企業がわりと狙われています。たぶん大企業と比べて、セキュリティへの投資、対策が若干手薄になっているのでそこを突かれてしまう。大阪急性期センターの件も、そこから大病院に侵入してしまったと思います。

さらに、「“今”のサイバー攻撃手法を把握する」ということで、コロナ禍以前でいくと、個人の端末をロックして身代金要求するなど、わりと局所的なかたちが多い傾向がありました。

最近はこちらの図の通り、最終的な目標はネットワークを全部止めて、必要なデータ、重要データを抜いて、ネットワークごとロックして使えないようにしてしまうことです。攻撃の手法が身代金を要求するかたちに大きくなってきております。

それも、先ほどの閉域網をランサムウェアが通ってしまうところが問題なのかなと思います。スライド右側のように、VPN装置から侵入するところが……専用線と同じような信用を担保できる通信の中に常に侵入されてしまっているので、各企業が対策の確認をしているところだと思います。

さらに強気（な言い方）で、閉域網事業者に若干申し訳ないんですけど、アーキテクチャとしても少し限界を迎えているのかなと思っています。閉域網の考え方は「インターネットに出さないので安全」。インターネットの出口の部分も一つに集中していますので、そこのセキュリティを担保していれば安心という、境界線型防御のモデルだったと思います。

スライドの通り、クラウド化、クラウドシフトしている企業も増えています。テレワーカーの方も働き方も多様化している中で、境界線防御を軸とした閉域網のアーキテクチャ自体が、少し厳しく難しい状況になってきているのかなと感じています。

さらに各企業でも、この新しい業務の内容を全部クラウドシフトする話になると、クラウドの接続先が増えると思います。その部分に、現時点で使っている閉域網サービスが柔軟に対応できるか、拡張できるかがポイントになってきて難しいところなのかなと思います。

また、「多数のセキュリティ対策による運用負荷」ですが、ここに蓋をしようとすると、本社、データセンター、インターネットの出口に、さまざまなセキュリティ対策を加えて、対策を取っていく手法になると思います。

運用者さまからすると、お金を使った上に手当する範囲が増えて、結局そこの手当が遅れてしまうと、そこを突かれて（ランサムウェアが）入ってしまうかたちになってしまって、あまりいいことがないです。

「SASE」は企業にどう貢献するのか

「注目のソリューション『SASE』」ということで、何でもかんでも「SASE」と言っているので、実際これがどの程度みなさまのお役に立つのかを、簡単にご紹介できればと思います。

閉域網のデメリットの部分やどうしても補えない部分を紹介したんですけど、その部分をSASEでうまく解決できるところがたくさんあると解釈いただくとわかりやすいと思います。メリットをいくつか挙げさせていただくんですが、せっかくなので閉域網と比べた場合で、スライドを書かせていただいています。

1つ目が、統一されたところでも、結局は境界線防御で一個一個にルールを被せていって、セキュリティポリシーをかけていくところで1個でも漏れてしまうと、そこから入ってしまって全部やられてしまいます。

SASEですと、SASE基盤の中で統一したセキュリティポリシーが各拠点であったり、データセンター、クラウド、テレワーカーの方たちにまとめて施せるので、そこの部分で適用漏れがなくなるところは、かなりのメリットだと思います。

この部分を情シスさまが簡単かつ、しっかりセキュリティを担保できるという意味でプラスかなと考えています。

もう一つが「（社内）トラフィックも管理・監視」ですね。こちらの部分も、侵入されてしまった話というよりは、使っていただく中で細かく通信制限等ができます。例えば、Web会議などのセキュリティリスクのないものは、外に特にセキュリティポリシーを被せないまま通信許可したりできます。

重要資産がクラウドに上がっているところは、どうセキュリティをしっかり担保して通信させるのか。こういったところでの最適なトラフィックの割り当ても、閉域網と比べると、SASEでは容易に実現できると考えております。

セキュリティ強化にSASE導入は不可欠

そして「ネットワークアーキテクチャの拡張性と柔軟性」ですが、最近の各企業さまですと、ローカルにある勤怠サーバーをクラウド化するなど、クラウドシフトのIaaS、SaaSを使うところが増えてくると思います。

構成変更が多数発生する中で、どうしても閉域網を利用していると、ルーティングやアクセスポリシーの変更などは、細かいものが一個一個入ってきて「全体的なネットワークを見直さないと、簡単にはクラウドシフトできないよ」という話をよく聞きます。

セキュリティポリシーでもお話しした通り、SASEですと、ある程度ルールをまとめてSASE基盤側で制御できます。クラウドサービスを1個追加したり、拠点を1個追加したりする時に、ネットワーク構成の変更をかけず費用を抑えるかたちで、柔軟に対応できるのも一つのメリットだと思います。

4番目が「ネットワークとセキュリティの統合管理」なんですけど、私的にはここが一番でして、閉域網を使っていらっしゃると、セキュリティ対策の機械を入れて、ソフトウェアを入れて、それぞれを情報システム部が管理・運用をします。もしくはお抱えのベンダーが運用・管理・実装します。

このコストもかかりますし、手間、工数的にはものすごく手数が必要です。現状そうなっているお客さまが多いと思います。SASEを導入していただくと、機能も1個にまとめられて、運用を一番効率的に回せるのかなと思っています。

この統合管理ができるところが……情シスはネットワークインフラだけ面倒を見ているわけではないと思います。業務アプリケーションやクラウド基盤などのメンテナンスもある中で、ネットワークだけ構築するのは難しいです。ここが一つにまとまれる、ある程度凝縮できるのは最大のメリットかなと考えております。

今までメリットを紹介しましたが、閉域網からSASEに移るところが、代替としてうまく乗っかるのかなと考えています。閉域網が悪いわけではないんですけれども、今後はお客さまのネットワークインフラを再構築するのではなく、セキュリティを強化していく中だと、やはりSASEの導入は不可欠かなと考えます。

中堅・中小企業がSASE導入を成功させるには

その中で、わりと大企業であれば、有名なSASE製品やサービスを導入されると思います。中堅・中小にはいくつかSASE移行には難しい壁が存在していまして、お聞きする中から3つ挙げさせていただいているんですけれども。

一つ目が、この移行に掛かる工数ですね。情シスさまに大きな負担が掛かる部分と、業者さまに委託するにしても、かなりの費用が掛かってしまうので、中堅・中小さまには難しいところが出てきています。

サービスにもよるんですけれども、多岐に渡って凝縮したところにすべての機能が搭載されています。そこの取捨選択や、一個一個のパラメーターを決めるところも難しいです。

そして、実際に高額で導入したわりには、導入したあとにうまく使いこなせていません。本当にセキュリティレベル上がったのか、逆にユーザーの使い勝手が不便になったという話も当然考えられますので、ここも一つ難しいポイントかなと思います。

何より、ライセンス形態が複雑です。複雑なのはいいんですけど、とにかく料金が高いところは、中堅・中小には導入に引っかかっているポイントになっています。

閉域網をやめてSASEに移行したら、SASEのほうが使いこなせなくて、お金がたくさん掛かると。このあたりで挫折されたり、導入を一度検討を頓挫されるようなお客さまが、やはりわりと多いです。

そもそも「中堅・中小企業にSASEが必要」なのか。必要か必要じゃないかでいうと、必要になります。

その理由として、先ほどの病院の例のように、中堅・中小の企業が自社をしっかり守るのももちろんなんですが、どうしても取引業者さまの中に大企業がいます。そこでよくあるのは、業者さまのセキュリティがどの程度しっかり運用しているかを、大企業からアンケート調査されると思います。

そういったところでも、大企業からすると中堅・中小といった取引先がしっかりセキュリティを担保しているのかを知りたいです。下手したら自分のところにリスクが被ってくることなので、アンケート等でしっかりヒアリングされると思います。

中堅・中小企業でもしっかり実装していないと、仮に自社のセキュリティが甘くて侵入を許して、大企業に損失を被せてしまうような事由になってしまった場合は、最悪賠償請求になったりすることも考えられますので、やはり中堅・中小さんのSASEへの移行は必要なのかなと考えます。

網屋「Verona SASE」の必要性

ここからは当社のご紹介になるんですけど、「Verona SASE」という中堅・中小企業向けに特化したSASEサービスを私どもで提供しております。のちほど簡単にSASE自体の紹介をするんですが、中堅・中小企業の導入障壁になる部分を取り除いて導入できることを強みにしております。

ポイントがいくつかあるんですけども、1つ目は、とにかく導入が大変。ITの管理者さまに大きな負担が掛かる。

このVerona SASEサービス自体は、すでに4,000社を超えるお客さまがいます。大中小問わず、どういったパラメーターでしっかりお客さまのセキュリティを担保できるのか、通信を担保できるのかを凝縮したヒアリングシートがあります。

そちらを埋めていただくことで、そこまで大規模プロジェクトにならず、工数を掛けずに利用を開始できるノウハウを持っています。

規模にもよりますけど、工数としては最短2週間とかなり短いです。アベレージでいっても1ヶ月、2ヶ月半ぐらいで、ある程度の規模のお客さまでも実装ができる仕組みを提供しております。

また、運用負荷が“ゼロ”です。SASEで小難しいシステムを導入した結果、情シスの運用負荷がすごく増えるのが、Verona SASEだとなくなります。

実際に運用でファームを当てたり、設定変更したり、障害対応を行ったり……導入した情シスが、当然メンテナンスすべき運用の部分が、すべてフルマネージドでパッケージになっています。お客さまからすると、導入したあとの運用の部分で、負担を掛けずに利用できる仕組みになっています。

他社さんのSASEですと、インプリメントしてドーンと入れたら「あとはお客さまで運用してください。何かわからなければQ&Aサポートに問い合わせてください」というかたちが多いです。

Verona SASEですと、導入したあとの運用は、当社側がお預かりしています。設定で不具合があれば、いつでもサポートセンターに問い合わせていただければ、お客さまのネットワークを私どもが運用代行をするところが大きな違いになっております。

費用についても、あれもこれもそれもつけて、一個一個は安いんだけど、全部足しちゃうとものすごく高額になるのが、よくある他社さんのSASEのサービス製品になります。

こちらの場合ですと、すべて込み込みのかたちでサービス提供しております。シンプルなのでわかりやすいのと、価格帯も中堅・中小規模のレンジに合わせた価格でご提供できておりますので、リーズナブルなSASE移行ができるのかなと考えております。

「Verona SASE」が貢献できること

「Verona SASE でできること」ですね。メリットだけご紹介させていただいたんですけども、こちらのVerona SASEでできることを大きく4つお話しします。これ以外も当然あるんですが、導入するにあたって必要最低限は押さえておきたい機能の部分だけ、今日は簡単に紹介します。

1つがリモートワークですね。最近の事件、事故のニュースでは、よくあるVPNの脆弱性を突かれてネットワークの中に入られてしまった際の対策として使えるものになります。Verona SASEには、他の製品ですと個別に認証サーバーを立てたり、オプションで申し込むようなものが、Verona SASEには標準でついております。

クラウドセンターでしっかり認証が行われた端末のみ、お客さまのSASEネットワークにアクセスでき、これが標準の価格帯の中で実現できております。2要素認証ですね。

それに加えて、通常のVPNアクセスだと、例えば社員の自宅やワーケーションなどから社内のネットワークに接続しようとします。それを集めるVPNゲートウェイの機械は、インターネット側にANY接続で、フルで聞き耳を立てていて、接続を認証して入るという仕組みになっています。ANY接続で開けているということは、ぜんぜん関係ない人からの接続も許可してしまいます。

中に入れるかどうかは、パスワードや認証を潜ったりできる技術がある人からアクセスできてしまうところが問題かと思っております。Verona SASEだと先ほどの認証があった、認証を許可したお客さま対象の正規ユーザーのみに、ポートを開けて通信を確立する仕組みをとっています。

逆に言うと通信要求がない場合、このVerona SASEは、インターネット上から見えないかたちになっております。見えないものに対して不正なユーザーはアクセスできません。このダイナミックポートコントロールという機能を実装して、セキュリティリスクを極めて少なくしています。

また、IPアドレスの制限が可能で、マイクロセグメンテーションの話になるんですが、一回侵入を許してしまうと、全部が感染してやられてしまったみたいな話があると思います。なので、Verona SASE側で細かくアクセス制御、ポリシーを作ることができます。

いわゆる入ってしまったら全部やられてしまうというわけではなくて、仮にVerona SASEを使っている端末が、不用意なサイトから感染していたとしても、ACLがしっかり効いていれば、被害を極小化できる機能を実装しております。

細かなセキュリティ設定が可能になる

さらに、従来のセキュリティということで、マルウェアに感染してしまう恐れがあります。これはクラウドUTMと類似の機能になるんですが、Verona SASEを搭載していただければ、URLフィルタリングはもとより、アンチウイルスの機能も搭載しています。

あとはここには記載してないんですけれども、VPNをつないでいない時の端末のセキュリティを担保する、DNSセキュリティという機能を搭載しています。社内に入って悪いことになってしまう前に、社内につないでいない状態で感染してしまうリスクも、回避できるようなパッケージになっています。

本当はいけないと思うんですけど、VPN接続していないテレワークの端末で業務中や業務後にネットサーフィンしていて、何かしらの感染をしてマルウェアをもらってしまった場合もロックできるようになっています。

さらに、「回線のひっ迫の解消」ということで、どうしてもセキュリティレベルを落としたくないお客さまは、そこにセキュリティの集大成を作って、ゲートウェイを作って担保させるかたちになります。

この構成自体は間違っていないんですけども、Web会議やテレワーカーが増えた時、結局そこがボトルネックになって業務が滞ってしまうことはどの企業さんも体感されたと思います。

Verona SASEですと、インターネットのブレイクアウト機能もこちらも標準で搭載しておりまして、通信のひっ迫になりそうなWeb会議などは、安心してダイレクトに受けられるパスを作ってあります。必要な業務アプリケーション、セキュリティを担保しなければいけない通信は、Verona SASEを経由してアクセスすることで、ひっ迫の解消にも寄与できたりします。

安心できるセキュリティ体制を用意

案外見落とされている中で、一番攻撃の侵入をされているポイントは、ファームを最新にせず、セキュリティパッチを当てていないということです。AppleやWindowsの端末などであれば、端末側で自動でアップデートがかかるので、ユーザーさんでもわかりやすく、可視化されています。

ただネットワークですと、どうしてもポップアップで教えてくれたりするわけではありません。バージョンが古いものを使っていて、そこの脆弱性を突いて、侵入を見逃してしまって、ネットワークの中に入ってやられてしまうと思います。

このVerona SASEサービスパッケージは、運用の部分もフルマネージドで提供するものになるんですが、ファームの適用自体は私どものセンターで自動的に行います。情シスは「セキュリティは最新だっけ？」など（の確認作業）は一切ない中で、最新のセキュリティでVerona SASEを運用できるようになっております。

先ほど運用までがフルパッケージと紹介したんですが、このVerona SASE自体がブラックボックスになってはいけないので、お客さまサイドでは、クラウド上で管理画面をオープンしています。

こちらをご覧いただくと、Verona SASEがしっかり稼働しているのか、クライアントの通信は大丈夫かを、わかりやすく管理画面上で把握することが可能になっております。

最後に「安心の個別テナント」、セキュリティの部分です。けっこうあるのはクラウド基盤があって、そこは共有で「いろいろな会社さんが入り組んでいます」みたいなかたちだと、当然心配になると思います。

当社のVerona SASEですと、クラウド基盤上に個社ごと・お客さまごとにVerona SASEを構築させていただいて、しっかりセキュリティを担保できるかたちでご提供しております。

中堅・中小企業のSASE移行のリスクを軽減

さらに、運用や体制の部分ですが、こちらの部分もISMSの取得の運用体制はもとより、NISTの「ゼロトラスト・アーキテクチャ」に則ったかたちでのサービス基盤や運用体制をしっかり整えています。お客さまからすると、サービスを私どもに一任いただいても、安心できるセキュリティ体制を用意しております。

最後のまとめになるんですけれども、SASEと閉域網と比べた場合に、SASE移行はやはりおすすめですね。かつSASE導入に当たって、中堅・中小だとわりとリスクが多かったりしますが、Verona SASEではそちらの部分を解決できる機能、サービスをご用意しております。

Verona SASE自体は、SASEソリューションの1つになりますが、「Verona」自体は、サービスを十数年展開しており、4,000社以上のお客さまにご活用いただいています。

もし、本セッションをご覧になられて、「SASE移行はまだなんだよな」「うまく進めないんだよな」というお客さまがいらっしゃれば、ひと声掛けていただければ、何かお役に立てると思います。本日のセッションは以上になります。ご清聴ありがとうございました。