CLOSE

現代の脅威に立ち向かう「基本」 今こそ見直すネットワークセキュリティ(全1記事)

2024.11.26

Brand Topics

PR

大手出版グループを狙った大規模サイバー攻撃の脅威 現代のセキュリティ対策に必須の「SASE」でできること

提供:株式会社網屋

サイバーセキュリティの専門家が一堂に会する、株式会社網屋の「Security BLAZE 2024」。世界的なサイバーインシデントが多発する現代において、セキュリティについて考える講演が多数開催されました。その中で、フルマネージドSASE「Verona」を提供している株式会社網屋取締役・寺園雄記氏が「現代の脅威に立ち向かう『基本』今こそ見直すネットワークセキュリティ」に登壇。2024年6月に某出版大手グループを襲った大規模サイバー攻撃を例に挙げつつ、サイバーセキュリティにおけるネットワークアーキテクチャの重要性を語りました。

大規模サイバー攻撃に対抗するには

寺園雄記氏:「今こそ見直すネットワークセキュリティ」ということで、寺園から30分少々お時間をいただいて講演を始めさせていただきたいと思います。

釈迦に説法なんですが、中堅・中小の企業に対してサイバー攻撃が多数見られます。こちらにデータで表現されていますが、大企業を攻撃するよりは、セキュリティが甘そうな中堅・中小を狙って、そこから大企業にも侵入していく手口が多いです。



右のグラフにあるように、ランサム被害件数が大企業・団体その他と比べて、中小企業が圧倒的に多く、52パーセントを占めます。

費用対効果を得るのはなかなか難しいセキュリティですが、実態として中小企業が狙われているとわかる資料になっております。

サプライチェーンへ波及する被害の一つの例として、昨年と一昨年に、中堅・中小の例としては製造業の子会社から侵入されて、親会社のネットワークが全部止められるケースがありました。ニュースでもかなり取り沙汰されましたが、給食事業者からランサムウェアが入っていって病院のネットワークが止められてしまいました。



自分たちの会社だけでも被害になると大変なんですが、取引先にまで影響が出てしまうところが、なかなか癖が悪いところです。

大手出版社を狙った大規模サイバー攻撃なんですが、今年に入ってからのニュースで、大きく取り沙汰されました。

自社も取引先も工場・出荷がすべて止まっていましたので、ここに記載のあるとおり金銭的な被害だと復旧費用まで数十億円で、かなり大きな事件・事故も発生している状況です。



ちなみに、犯行声明からわかることははっきりと記載があったので、スライドに書き起こしています。簡単に中身を言えば「制御がしっかりできていなかったんで、そこから入ってコントロールを盗んだから全部できちゃったよ」と書かれています。



局所的にディフェンスレベルを上げていても、こういうプロから見ると、小さい穴からしっかり入って全部に侵入されてしまう危険性が高いことが、犯行声明の一部からもわかります。

かつて日本のセキュリティ神話は崩壊した

よくある日本の組織ですが、数年前まで「ファイアウォール・UTMでしっかり守っていればインターネットからの侵入は大丈夫」「パソコンにはアンチウイルスが入っているから大丈夫」という神話があったと思います。

ここが逆に「侵入されたら全部持っていかれる」みたいなかたちになっていまして、1個抜かれてしまうと……データセンターから支社・本社などすべてが、わりとゆるゆるにアクセスコントロールがなされています。1回入ってしまうと、そこからAdminを見つけて全部乗っ取られてしまいます。



先ほどの事件のような結果につながりやすいところも、日本組織の現状のネットワーク構成ではまだまだ多く、残念な点ではあると思います。

スライドに「ネットワークの基本」と書いてあるんですけど、つながっていなければ攻撃しようがありません。例えば、ブスっと有線LANが刺さっていなければ、外から攻撃しようがないことは、まさしくそのとおりです。



1つの指標として、米国のCISA(アメリカ合衆国サイバーセキュリティ・社会基盤安全保障庁)の提言には「ネットワークに許可リストをつけて、そこで適用して運用していけばいい」とあります。

簡単に言うと、基本的には(攻撃対象となるので)全部の通信がダメですけど、許可されたアプリケーションやユーザーなど、ホワイトリストで運用していくことで厳しく局所的に守れます。

あとはアクセス権の付与の部分も、とある会社やお客さん先に当社の製品を売りに行くんですけども、わりと「全部特権を持っていて、なんでもできますよ」みたいなことを言っています。こうすると、セキュリティが弱くなってしまうので「ユーザーの権限に応じてアクセスコントロールを適宜実施をするべき」とCISAでも提言しています。


鍵はホワイトリストとマイクロセグメンテーション

前のスライドで話してしまったんですが「ホワイトリストに登録する」。いわゆる、ユーザーさんがいろいろなところに行けないということです。会社として認められているアプリケーションやデバイス、ユーザー、Webのアクセスなどをすべてホワイトポリシー運用に変えるところですね。

侵入されない守り方というよりは、侵入された時のことを考えるという意味合いでいきますと、マイクロセグメンテーション。細かくセグメントを分けていて、なにかあった時の被害の極小化が必要なのかなと思われます。



ただ、わかってはいてもなかなかそれが実装できない、細かくするのが面倒くさい。「面倒くさい=運用に負荷がかかる」でもあると思います。そもそも日本の中堅・中小の会社で、ネットワーク専任の技術者が配備されている企業はまだまだ少ないので、そもそもそんな技術がありません。




会社の中だけ守ってればよかったひと昔前とは違いまして、自宅でテレワークや外出先や、あとは会社としてのクラウドの利用も増えています。そういった面からも、なかなかこの基本を遵守していくのは難しいという実情も把握しています。

ネットワークセキュリティの基本を適用する「SASE」ですが、この絵のとおり、みなさまもすでにWebなどのいろいろな情報でキャッチアップされてらっしゃると思います。



すべての通信においてセキュリティを担保できるような仕組み・サービスが世の中に出始めていて、SASEを経由することによってアクセスポリシーの統一化をしてポリシーを適用できます。

ホワイトリストの運用やマイクロセグメンテーションが簡単に実装できると謳われている。この新しい取組みがSASEという仕組みになります。

新旧で比べますと、旧来型の境界線のモデル、いわゆる専用線やUTM、ファイアウォールがあって、外から防御をしている流れだと、どうしても自宅や外出先の部分や、あとはクラウドの利用など、セキュリティが置き去りになっている部分が少し出てしまいます。また、冒頭お話ししたファイアウォールを1回通過されてしまうと全部攻撃されてしまいます。

そちらのリスクをSASEに置き換えることによって、場所を選ばない中でもすべて統一したセキュリティを適用した状態で、みなさまの企業運用、運営が回る実装方法で昨今、当初のサービスも含めて、いろいろな製品が世の中に出始めている状況です。

SASE導入の現実的なハードル

通信経路の最適化ですが、例えば専用線のお客さまからよく出てくるのが、インターネットを活用するケースが増えたので、いわゆる網から出ていくインターネットUTMの部分において「トラフィックが多くなって遅い」と言われます。特にWeb会議など、クラウドサービスを利用される時に限界を迎えているお客さんがいらっしゃいます。



こちらもSASEに置き換えることによって必要な通信、セキュリティを担保しなければいけない通信はSASEを経由するんですが、安全性が担保されているWeb会議システムやオフィスやMS365などはSASEを経由しません。

無駄なトラフィックをSASEに通さずに、それはダイレクトにインターネットに抜けてもらって、トラフィックが混雑しない仕組みをとれるところでも、最近、SASEが「最適化に向いている」というお話をいただく一つの要素になっております。

最大のポイントは、いろいろなVPNやファイアウォール、IPS/IDS、Webフィルターなど、今まで情シスさんが個々に一個一個サービスを選定して導入して、かつ運用していたものが、SASEの仕組み一つですべてが網羅できるところです。



「VPNはしっかり設定していたんだけど、Webフィルターに設定の抜け漏れがあって感染してしまった」など、これら全部の運用をしっかり一個一個回すことは、中堅・中小の情シスさまにはなかなか難しいと思います。

SASEであれば、統一した管理画面の中で運用管理ができます。そういった抜け漏れがしづらい面でも効率化が図れるので重宝されつつあるのがSASEです。



とはいえ、このSASEにも課題がありまして、機能が多く使いこなせません。製品自体は海外メーカーがやはり主流のサービス・製品になっているんですけども、あまりにも細かいです。

たくさんあるものを一つにまとめている関係上、なかなか情シスさまが触りやすいかというと、少し深い知識を要するので、結果的には使いこなせません。良いものを買ったんだけども、なかなか使いこなせていません。

そもそも最初の導入の部分で、特に先ほどの専用線からの乗せ換えや、導入に技術的な負担が多くて、SIerさん、NIerさんに多くのインテグレーション費用をかけて移行しなければいけません。

そもそも、先ほどの2点も含めてコストがそんなに安くないところが、中堅・中小のお客さまから見た時の課題になると思います。


網屋が提供する「Verona」の優位性

ここからは当社の紹介になるんですけども、フルマネージド型のSASEをサービスとして、「Verona」を持っております。

セキュリティのメリットや、通信のいわゆる混雑しないような機能など、SASEの良いところをきちんと網羅しつつフルマネージドで、情シスさまの運用負荷が限りなく少ないところがメリットになっております。1、2、3のところは、のちほどご紹介させていただきます。



このセッションをお聞きになっていただいているお客さま自身はたぶんSASEをなんらかのかたちで情報をもうすでに入手されていると思います。簡単に、世の中によく出回っているものとの比較ですが、Veronaの優位性をまとめたスライドになります。



だいたい多いのがSASEを提供している海外のC社やI社を選ばれるケースのお客さまです。たぶん最初に見にいくところがそこだと思うんですが、海外の製品はとにかくコストが高くて、難易度が高いです。その部分でお客さまが、高いお金をお支払いいただければ導入はできます。

しかし、そのあとの運用も結局自分たちでできないので、運用自体も委託してしなければいけません。とにかくお金がかかるけど、高機能なのがC社のSASEですね。閉域網は旧来型のネットワークになりますが、セキュリティ面の部分でいくとそこまでではないものの、相変わらずコストは高いですね。

真ん中のI社さんはある程度運用のオプションづけができる選択式になっているんですけど、しっかりSASEをやろうと思うと、やはりある程度高額になってしまいます。

インターネットVPNなどのVPNだけ実装しているお客さまはあまりコストがかからないんですが、結局脆弱性の対応をおろそかにして侵入されて、セキュリティ的にはかなり低いので、この位置に置かせていただきました。

ほかの製品・サービス群の良いところだけを引っ張ってきたのがスライド右上のVeronaになります。

エンジニアによる迅速なサポート

Veronaのポイントはいくつかあるんですけども、まずは冒頭お話ししたようなフルマネージドの運用です。ユーザーさんのアカウントの管理や、サイバー攻撃の大半を占めるであろう「通信機器のセキュリティパッチを当て損ねていて、そこから侵入された」みたいなことがないようなファームのアップデートを設定しています。



日々の設定変更や、当然トラブル時の障害切り分け、復旧までの作業がパックになって、サービスとして提供しています。

他社さんとの違いは「エンジニアによる迅速なサポート」です。他社で多いのは、お客さまと間に立つサポートセンターで中継ぎされて、後ろのエンジニアと間接的にやり取りをすることです。こうすると間に一個挟むので、どうしても障害発生から解決までの時間がかなり遅くなったり、お客さま側の意図をしっかり後ろのエンジニアに伝えられなかったりします。

Veronaサポートセンターはお客さまから直結してエンジニアが対応するサポート体制を取っておりますので、内容を把握した上で迅速に復旧作業に当たれるところも、Veronaのフルマネージドの強みになっております。

カンタン導入も強みです。SASEを導入する時はけっこうなイニシャル費用がかかります。それも、SASEを使う費用よりはSASEを設計するライセンスの費用で、お金をたくさん取られるケースがいろいろ散見されます。



Veronaではある程度パラメーターをシート化しておりまして、チェックシートでお客さまと「この機能いりますか、いりませんか。どう使いますか」ということを簡単に穴埋めすることによって、設計費用を極力減らして実装できるところを売りにしております。

当社・網屋が30年近くネットワークに従事している中で、お客さまが設定するポイントをしっかりとらえていますので、なるべくぎゅっと圧縮したかたちでの簡単なSASE導入を強みにしています。

無駄のないライセンス費用の設定

3つ目がコストの部分ですね。機械を買ってサービスを買って、サポートをつけて使うライセンス費用がかかって、一個一個はそうでもなくても積み上がると、図にある通りになります。



他社の参考例だと、規模に応じて初期費用で1,000万円からかかります。そんなに大きくない普通の企業でも5,000万円ぐらいになったり、毎月500万円ぐらいのキャッシュアウトになったりします。

Veronaであれば、そこをグッとサービス費用の中にインクルードしていますので、ある程度抑えた価格でSASEに移行できる部分が、3つ目のポイントになっています。

ここまで強みを紹介したんですが、Veronaの基本構成として、どうやって先ほどの強みを実現しているか。Veronaのサポートセンターがクラウド上にあります。このVerona Cloudでお客さまのすべてのセキュリティもしくは死活監視、セキュリティ監視を代行します。ここが肝になる部分です。



これに対して、真ん中にあるVerona SASEというセキュリティゲートウェイの部分を各個社ごとに当社がご用意して、そこを経由して通信していただきます。拠点事務所、店舗に関してはVerona EdgeというSASEへつなぎ込むためのゲートウェイルーターを置いていただきます。

もしくはリモート接続、テレワークの方や外出先の方は、このVerona Clientというソフトウェアをデバイスにインストールしていただくことで、このSASEの基盤の中に入ってこれるといった構成要素でサービスを展開しております。

しっかりとした認証機能

証明書による、SASEの機能の部分をいくつか紹介します。1つはZTNA(ゼロトラストネットワークアクセス)で、いわゆるしっかり認証してネットワークに入ってこれるところです。



今までのID・パスワードだけだとセキュリティが甘いので、認証サーバーを別途立てなければいけなくて、これが別コストとなります。

Veronaでは先ほどのサービスの費用の中にインクルードされた状態で、クラウド側での認証と証明書の認証が成立して初めて入れます。



仮に私が今日の帰り道にパソコンを落としたりスマートフォンを落とすと、このVeronaクラウド側の証明書をロックしてしまえば入れなくなります。こうして運用も楽になりつつ、セキュリティも強化できるZTNAの機能を搭載しています。

ダイナミックポートコントロールですが、外から社内に入ってきたり、クラウドにアクセスしたりする場合に、待ち受け側はずっと「誰からくるかな」と聞き耳を立てておかないといけません。

ポートを開けていることになるので、ここも脆弱性の一つに当たると私どもは考えています。Veronaでは基本的にはインターネット上からの通信はすべて閉じて、遮断してあります。

先ほどのVeronaクラウドのセンターで認証があった正規のユーザーのみ通信ポートを開けて通信できるようになります。そうすることで、不正なユーザーさんはそもそもVeronaの行き先がわからないし、見えません。

そういうところで攻撃しづらくなるということと、仮に攻撃対象として見つけてもポートが開いていないので攻撃しようがないという機能なども搭載しております。

マイクロセグメンテーションですが、一個抜かれてしまったら全部感染してしまうということではなくて、「このユーザーさんはここまでしかいけない」という細かいマイクロセグメンテーションも実装可能です。


通信とセキュリティ両方にこだわった運用体制

それ以外にもローカルブレイクアウトは、通信を圧迫させないために安全な通信を分岐させたり、あとは負荷が集中しないようにロードバランスさせたりできます。こういったSD-WAN(ソフトウェアでネットワークを管理・運用するシステム)的な、ネットワークを快適に使っていただくための機能も標準で装備しております。



それ以外に包括的なセキュリティですが、VeronaがSASEの部分でどういったものを実装できているかを、CASBからFWaaSのところまでスライドに書いています。

みなさまが実装したいような最低限のセキュリティの機能はもちろん、どれかを一個一個買っていくよりは、これがフルセットで1つのパッケージとしてリーズナブルなかたちで提供しています。セキュリティにこだわった運用体制ということで、フルマネージドでお客さまからすると運用の手離れもあるんですけども、みなさまの大事な通信を預かるサービスになります。



こちらに記載のあるようなクラウドの認証や、米国のNISTの運用のゼロトラスト・アーキテクチャに準拠しています。けっこうお客さまに「いいね」とおっしゃっていただくんですけども、国内の各種ガイドラインにも準拠しています。



例えば病院であれば、厚生労働省で出ているガイドラインなどにしっかり準拠するサービスであるというお墨付きがあった状態でご選定いただけるので、「そういうことならVeronaで大丈夫かな」ということで入っていただくお客さまも多数いらっしゃいます。

Verona Cloudのコンソールですが、運用は私どもがお預かりするんですけども、ブラックボックスになってはいけないので、お客さまに管理画面で提供しています。どういったステータスで今のお客さまのネットワークが動いているかが可視化でき、状況を把握できる画面も、もちろん提供しています。



「Veronaの選べる構成」ということで、普通の拠点間の接続で使っていただくのもありですし、テレワークのみで使っていただくかたちも提供しています。

SASEに向けて段階的に移行できる仕組み

今日紹介したSASEを実装して、すべての環境、ネットワークを包括的にVeronaでまかなうかたちで、用途別にご提供が可能になっております。

「最初からドカンと移行するのは怖いな」というお客さまがけっこういらっしゃいます。まずは拠点間VPNやリモートから、段階的にSASEに向けて移行されていくお客さまもいますので、その時々で徐々にコストアップできるかたちで、最初から拡張性の高いものを一発ドカンと投資しなくても大丈夫というところも、Veronaの一つの売りになっております。



今日紹介したVeronaなんですが、この中にもう1つ無線のサービスがあります。そちらと合わせて、LANとWANの両側面の運用を代行してセキュリティを担保するサービスを総称して「Network All Cloud」といいます。



すでに4,900社以上にご利用いただいていまして、こちらに書いてあるようなお客さまにも広く活用いただいているサービスになります。

最後に事例を2つご紹介して終わろうと思います。一つは中小企業の中で言うと小企業の規模のお客さまですかね。例えば本社に50名ほどいて、リモートで入ってくるユーザーさんが50名ほどいらっしゃる、都合100名ぐらいの環境でいきますと、お安くリモート環境と社内のセキュリティを両立するのにVeronaを導入していただく場合です。



当然100名規模、50名規模の会社はなかなか情シスさんの数も少ないので、ここのセキュリティの運用の部分をBPOしつつ、セキュリティレベルを高めてうまくネット活用していただくという事例が一つです。

もう一つが少し大きめの、400店の店舗を全国にかまえているお客さまですね。もともと専用線を使っていましたが、そちらでインターネット活用が増えるに当たって、インターネットの出口がどうしてもやはりボトルネックになっていたそうです。



そういうところのボトルネックの解消と、セキュリティを担保しつつネットワークの運用自体をBPOするところで、Veronaを採用していただきました。

小さいお客さまから、そこそこの規模のお客さままで、網羅的にご提供できるのがVerona SASEです。

こちらのトライアルも受け付けています。最初からいきなり使うよりは、一拠点やリモートユーザーだけのテストをしてみて「これなら実装できそうかな」というところのトライアルを、30日間無償で行わせていただいております。

今日紹介させていただいたVerona以外にも、ゼロトラストを実現する意味で、ログをうまく活用して監視できるALogのサービスや無線のサービス、端末に入れるEDR、情シスのクラウドやサーバーまで全部丸ごと運用するランサポなど、トータルでご提供できるものを取り揃えております。

お時間になりましたが、私のセッションは以上になります。ありがとうございました。

続きを読むには会員登録
(無料)が必要です。

会員登録していただくと、すべての記事が制限なく閲覧でき、
著者フォローや記事の保存機能など、便利な機能がご利用いただけます。

無料会員登録

会員の方はこちら

株式会社網屋

関連タグ:

この記事のスピーカー

同じログの記事

コミュニティ情報

Brand Topics

Brand Topics

  • "危険度"だけで判断してはいけない KEVを活用した脆弱性対応の新常識

人気の記事

新着イベント

ログミーBusinessに
記事掲載しませんか?

イベント・インタビュー・対談 etc.

“編集しない編集”で、
スピーカーの「意図をそのまま」お届け!