CLOSE

VPNではなくゼロトラストでランサムウェア攻撃を防ぐ! DX推進に必要なセキュリティインフラ ゼロトラスト(全1記事)

2024.12.04

Brand Topics

PR

攻撃者はVPNを狙っている ゼロトラストならランサムウェア攻撃を防げる理由と仕組み

提供:株式会社網屋

ランサムウェア攻撃の被害が大きな話題を呼び、社会問題化した2024年。ゼットスケーラーの井上智也氏は、攻撃者はVPNを狙っており、侵入されると弱いと警鐘を鳴らします。その理由とは――。記事では、サイバーセキュリティの専門家が一堂に会する、株式会社網屋の「Security BLAZE 2024」より、グローバルIPを公開しないことで安全なリモートアクセスが可能となる「ゼロトラストソリューション」を紹介。VPN、ファイアウォールが置き換えられるべき理由を、安全面とDX推進の観点から詳しく解説しました。

ゼットスケーラーとは

井上智也氏:ゼットスケーラーの井上と申します。私からゼロトラストソリューション、(企業の)デジタルトランスフォーメーション(化の推進)に必要なセキュリティインフラということで、ゼットスケーラー製品の紹介をさせてください。

まず弊社の会社概要ですけれども、創業は実は古くて、2007年です。創業者のJayがどのようにゼットスケーラーを創業したかというと、特徴的なのが、2007年の時点で今後の各企業のビジネスアプリケーションがすべてインターネットに移行していくであろうと。


つまり今のクラウド全盛の時代をすでに予感していたので、セキュリティソリューションに関しても、完全クラウドネイティブな、SaaS型のアプリケーションとして提供を開始しています。

日本では、いったん2009年に参入したんですけれども、まだまだクラウドという言葉が出てない時代でしたので、なかなかお客さまに受け入れられず、撤退してしまったんです。それから機が熟して、2019年から日本であらためてスタートして、今は日本法人で200名の体制で営業をしております。

ですので、我々は単なる「サイバーセキュリティのベンダー」ではありません。みなさまのデジタルトランスフォーメーションを加速化させるための必要なインフラであると理解をいただければと思っています。


マーケットでも非常に評価をいただいています。既存のお客さまからの高い評価や、世界各国で多くの企業のみなさまに採用いただいております。


日本市場においては、セキュリティソリューションの事例化を躊躇されるお客さまも多いんです。ただ、特定の業種・業界に売れているだとか、大企業のお客さまにご採用いただいているということではなくて、非常に幅広くご採用いただいている、ということを特にお伝えしたいです。

また弊社の営業部は、ミッドマーケットのお客さまにもかなり注力をしています。ぜひこれからご紹介するVPN、境界線型セキュリティからの脱却を目指しているお客さまは、ぜひご相談いただければと思います。

セキュリティDXでビジネスの競争力を高める

これからご紹介するZscalerは、先ほど申しましたとおり「セキュリティDXでビジネスの競争力を高めるイネーブラー」企業になります。「そもそもDXとは何なのか」についてはいろいろな定義がありますけれども、ここではデジタル技術を活用して、既存の概念や今まで常識だったビジネスモデルを変革すること、破壊的なイノベーションと捉えていただければと思います。

本日は、各企業さまが進めているDX、例えばクラウドの活用などを我々が後押しするために、セキュアというのは当然として、構成をシンプルにする、統合する、標準化する、それから今までやっていたことをトランスフォームするところで、ヒト・モノ・カネの観点で特徴をまとめています。ぜひご認識いただければと思います。


そして今なぜ、VPNを置き換えるという我々のネットワークソリューションがご注目をいただいているのかなんですが、昨今、残念ながらサイバー攻撃が頻発しています。直近では4年連続で、サイバー攻撃の(主な手法は)ランサムウェア攻撃であると報告されています。

2024年の前半3ヶ月間だけでこれだけのサイバー攻撃がニュースで報じられています。そして数ヶ月前に、大手出版社のほうで大きなニュースにもなりました。


実はニュースにならなくても、どこどこの企業がサイバー攻撃やランサムウェア攻撃を受けてしまう事件は、毎週のように起こっています。

いろいろな要因があるんですが、やはり一番多いのは、VPNの脆弱性を狙われたサイバー攻撃(ランサムウェア攻撃)です。(従来まで主流であったVPNを使用した境界線型セキュリティから、クラウド活用時代に適したゼロトラストセキュリティへ移行するお客さまが増えてきております)。


VPNが危うい理由

このVPNを長年、今もお使いのお客さまもたくさんいらっしゃると思います。しかし、今のクラウドを活用する時代においては、ヒト・モノ・カネの観点でだんだんVPNで(インターネットの外部から守るというセキュリティ)構成が危うくなってきたという背景がございます。


1つは、ヒトという観点です。今、クラウドがどんどん進化してきている中で、SalesforceやServiceNowといったSaaSの製品がビジネスでどんどん活用されています。

今まではどちらかというと、オンプレミス(システム)で(企業のデータセンターを中心として)ビジネスが行われてきました。しかし、今はどんどんイントラネットの外側、つまりクラウド側でビジネスのやり取りが増えてきています。

こういった(SaaSをビジネスで使用する)場面が増えている中で、どうしても帯域のボトルネックが起こってしまっています。Microsoft TeamsやZoomでも、音声の品質が悪い(ので画面をoffにしますといったことが起こっているケースがありますが、これは家のインターネットの回線の調子が悪いのではなく、VPNへログインしたあとのデータセンターにアクセスが集中しボトルネックが起こっていることが原因だったりします)。

また、モノという観点。今までのVPNで(セキュリティ対策をしている仕組みで)は、グローバルIPが公開されてしまっているので、ランサムウェアの攻撃対象となり、そこがセキュリティホールになってしまっています。

そして最後がお金(コストの観点)ですね。どんどんビジネスが拡大していく中で、システムを入れ替える、拡張する、再設計する時に、新しい課題が都度発生してきてしまっています。

Zscalerは、これらの課題を解決するための(ゼロトラスト)ソリューションであり、これから詳しくご説明していきます。

「境界線型セキュリティ」の問題点

今まではVPNで/ファイアウォール(でデータセンターを守る)という「境界線型セキュリティ」を実装するのが一般的でした。

このVPN/ファイアウォールを使ったネットワークセキュリティの構成が今、非常に狙われています。なぜかというと、攻撃者が攻撃面を発見できてしまうからです。


つまり、VPNが外部にパブリックIPを公開しているので、攻撃者からすると「これは○○の会社のVPNなんだな」とどうしても分かってしまうんです。

(攻撃者に見つかってしまうと、サイバー攻撃の標的になってしまいます。)当然ながらVPNでブロックするんですが、繰り返し攻撃を受けているとそのうち耐え切れなくなって(VPNが)突破されてしまいます。

突破されるとデータセンターの中に侵入されてしまいます。すると、「VPNやファイアウォールで各企業のデータセンターを守っていれば安心・安全なんだ」と思っていた反面、侵入されたあとの対策は疎かになっているケースが多いんです。

したがって、いったん侵入されてしまうと簡単に管理者IDが見つかり、貴重なデータが流出してしまう。そのような仕組みがサイバー攻撃/ランサムウェア攻撃の典型的な例になります。

原因は(Global IPアドレスが公開されている)VPNゲートウェイです。グローバルIPが公開されてしまっているので、狙われて、たどり着かれてしまい、攻撃されて突破される。これがVPNサーバーの課題です。

また、正しいアクセスだけでなく、悪意のある攻撃も受けてしまう。公開されているから狙われてしまう。一方的に攻撃を受けてしまうんです。

公開されているから狙われてしまう。公開されているグローバルIPを隠しましょうというのが、(Zscalerの)ゼロトラスト(アーキテクチャ)になります。


VPNをやめて、その代わりに(グローバルIPアドレスが不要な)Zscalerの「App Connector」を代わりに置くことになり(端末にインストールされたZscalerのモジュールと通信を行い)ます。

攻撃者は攻撃をしたくても見つけることができない。見つからないので攻撃できなくなります。端末にZscalerのエージェントを置き、このエージェントとApp Connectorが通信するのですが、一方通行ではなくて端末からのアクセス要求に対してApp Connector側からも応答を返します。

悪意のある攻撃があったとしても、それがまずZscalerのデータセンターでブロックされ、そもそも攻撃の目的地を見つけることができないのでたどり着けない。これがVPNとは異なる新しいリモートアクセスの仕組みになります。

DXを推し進めるためのセキュリティインフラ

こうすることによって、今までAWSやMicrosoft Azureといったクラウドを(Direct Connect)専用線でつなげて、網の目のようにWANを張り巡らせていた複雑な構成から、Zscalerを経由(してポリシーに)するという非常にシンプルなネットワーク構成に変えることができます。


攻撃対象やラテラルムーブメント(攻撃者がネットワークの複数部分に拡散する手法)を排除できるのと同時に、構成がシンプルになることでコストを削減できるようになります。

そしてもう1つが、DXを推し進める(手段にもなっている)、クラウドや新しいテクノロジーをどんどん活用していくことを支援するインフラになります。

(境界線型セキュリティの始まりは)1990年代後半にインターネットが出てきて、各企業がインターネットをビジネスで使うようになってきました。

その際に、インターネット側は非常に得体のしれない怖いもの(という認識)だったので、自社内の貴重なデータを守るために、データセンターなどイントラネットとインターネットの間にしっかり境界線を張って防御するというのが、ファイアウォール/VPN(で実装する境界線型セキュリティ)の始まりです。

その後、このインターネット側がどんどん発達してきました。この30年間でクラウドという名前になり、IaaS、AWSが出て(企業のビジネスがデータセンター内ではなく、クラウド側で実行されるようになりました)。みなさまも、SaaS、Salesforce、ServiceNowなどのいろいろなビジネスアプリケーションをご活用されているかと思います。

その中で、例えばAWSが出てきた時に、各企業がどう思ったかというと、データセンターの中にある貴重なデータをAWS上にリフトして活用するのが(セキュリティ上)不安がありました。

クラウド、AWSは活用したいけれども、オンプレの安全性からの変革に対して心理的なハードルがあった。そこで(各社どのようにAWS、IaaSを)運用したかというと、データセンターとAWSを専用線、ダイレクトコネクトでつなげて、「プライベートクラウド」という(オンプレの延長線のような)やり方でAWSを活用しています。

今もこの構成で活用しているお客さまが多いんじゃないかと思います。そうすると、昨今の働き方改革であったり、コロナ禍のリモートワークであったり、クラウドを(ビジネスシーンで)活用していくと、だんだんスケールしなくなってきたという(課題に直面しています)。


ユーザーの生産性を落とすボトルネック

データセンターを中心とした企業のネットワーク構成では、本社から各拠点、支社・支店、それから端末に対してWAN(やMPLS)が張り巡らされています。そこにさらに(IaaS、)AWSへの専用線も引いています。

そしてビジネスを拡大したり、ITやクラウド(の活用を促進していくと)、AWSのインスタンスも増えていくことになる。その場合に毎回専用線を引くとなると、この(資料を示しつつ)オレンジの線がどんどん増えていくことになります。


VPNとファイアウォールでセキュリティを守っている(ネットワーク)構成では、例えばリモートワークする場合に、家のインターネット回線を仕事で使ったり、直接TeamsやZoomを使ったりするのではなく、いったんVPNで各企業の社内ネットワークにログインをしてからインターネットやSaaSを使ってください、AWSに接続してくださいというのが一般的な各企業のセキュリティポリシーです。

そうすると、すべてのネットワークトラフィックがデータセンターを経由して、インターネットやAWSを使うことになります。すると明らかにここが(通信の)ボトルネックになってしまい、ユーザーの生産性やパフォーマンスを落とす一因になります。

クラウドを活用する、DXを推し進める(ためには、先ほどご紹介したVPNの脆弱性によるビジネスリスクに加え、この社員のワークスタイルに応じた生産性を改善できるゼロトラスト)ネットワークへの変革が必要になってきます。


「(弊社は)単にサイバーセキュリティの会社です」ではなくて、「データセンターをなくすのではなくて、どんどんクラウドを活用していきましょう」というのがZscalerのアプローチになります。

そうしていくと、今まで各企業のネットワークはデータセンターの中だけを指していましたが、クラウドとデータセンターをつなげるインターネット回線そのものも、企業のネットワークとして見る必要が出てきます。

ゼットスケーラーが提供する2つの製品

ですのでZscalerは、セキュリティのソリューションをSaaS型のアプリケーションとして提供しています。いくつか製品はあるんですが、大きなものは2つあります。

まずは、端末からのインターネットへの接続を安心・安全に行うためのソリューション「ZIA」です。もう1つが、VPNを置き換えるゼロトラストのソリューションで、各企業のビジネスアプリケーションに対して、Aさん、Bさん、Cさんが個別にネットワークを張るための「ZPA」です。この2つが我々のメインのソリューションになります。

こういったセキュアな環境を実現していくと、企業としてはこれからどんどん出てくる競争力のある新しいデジタルサービスをいち早く取り入れることができます。また、働く社員も安心・安全にそういったサービスを使うことができます。

ゼロトラストに移行する必要は本当にあるのか?

そして(プレゼンテーションの)後半は、みなさまのよくあるお悩みを、ひもといていきたいと思います。

ゼロトラストというのは最近よく聞くし、そのうちやらなければいけない。ただ「移行する必要は本当にあるんだろうか。現在の自社のセキュリティ対策で十分じゃないのか」というお悩みをよく聞きます。

セキュリティ対策をおろそかにしている企業はまずありません。しかしビジネスにおいては、自社だけではなくてさまざまな取引先や協力会社とのネットワーク通信がありますので、どこから脅威が侵入するか分かりません。

我々は各企業さまがとられているセキュリティ対策が万全かどうかを評価するアセスメントサービスを無償で行っておりますので、ぜひまずはリスク分析だけでも実施してみてはいかがかなと思います。


ツールのご説明はもちろん弊社から行いますが、(これらのサービスはお客さまの)負荷・工数をかけずに調査ができるものになります。


ただ結果レポートは英語で出てきますので、これをきちんと日本語に翻訳して(結果を)ご説明させていただければと思います。


ゼロトラストを実現するための製品

それから2点目です。「ゼロトラストを実現するにはどの製品を選定すればいいのか分からない」というお悩みです。あくまでも我々はネットワーク(レイヤ)に特化したソリューションになります。

ゼロトラストを実現するためには、(Zscalerだけでは実現できず)例えばID管理や端末の管理には別の製品が必要になります。そして我々としては(資料を示しつつ)このスライドにあるようなさまざまなテクノロジーベンダーと連携していますので、どの製品も自由に組み合わせてお使いいただけます。


なんですけども、そうしてしまうとこの疑問の答えになっていないですね。(したがって「ゼロトラストのBest of Breed」として)ID管理の「Okta」と、エンドポイントの「CrowdStrike」とともに、この3社でゼロトラストのスタンダードになろうというマーケット活動をしています。


昨今流行りのランサムウェア攻撃はこの3社(のソリューションを組み合わせること)で防ぐことができます。(資料を示しながら)鴻池運輸株式会社は、この3社を使って、AWS、クラウドの活用を、ゼロトラスト(アーキテクチャ)で実現しています。


鴻池運輸さんのポイントは、(AWSを)データセンターの延伸先、ダイレクトコネクトで(接続しているのではなく、AWSが)本来あるべきパブリッククラウド上に置いて活用しています。

ゼロトラストの環境をしっかりと実現しているからこそ、本来あるべきパブリッククラウド上にAWSを載せられる、(かつセキュアに運用できている)ということになります。

それからランサムウェア攻撃の身代金要求も頻発しています。攻撃者の要求は主に「暗号化したので元に戻してほしければお金を払え」というものと、もう1つ厄介なパターンは「データはもう盗んで外部環境に置いてある。公開されたくなかったら金を払え」というものになります。


1番に関しては「Rubrik」単体でのソリューションで解決できます。2番に関しては外部環境に置かれてしまう問題を、ネットワークを司っているZscaler(と連携すること)で防ぐことができます。

具体的にはこのような連携で、Rubrikのセキュリティクラウド製品と連携をして、対象(となる機密データ)をしっかり定義させ、重要なデータが外に持ち出されるのをあらかじめ防ぐ仕組みになります。


もう1つ重要なのが、ログ連携です。Zscalerでも多くのログを残しますが、そのログを分析するのはSIEM製品が最適です。株式会社網屋のALog製品と連携することで、インシデントの兆候を検出できる点(が一番のメリットになります)。不審なアクセスをしている端末を(ログからいち早く)検出することができます。


このようなログの相関分析が、サイバー攻撃から守るために必要ですので、ぜひこの(網屋AlogとZscalerの)連携もご活用いただければと思います。

ゼロトラストのゴールは?

そして3つ目は、「ゼロトラストをどこから始めてどこまでやればいいのかわからない」(というお悩み)です。ゼロトラストでは(各企業によって)さまざまなゴールがあります。お客さまによって目指すべきところや、どこからやるかがすべて違います。

我々はソリューションを単に紹介するだけではなくて、お客さまのAs-Isの構成からTo-Beの姿をまず整理して、移行プランをしっかりと一緒に作る。ある意味コンサルテーションのようなところもお手伝いしています。


これはあくまで一例ですけれども、さまざまなフェーズで「まずは(インターネットアクセスをセキュアにするところから)やりましょう」「データセンター中心のインフラからどこまで展開していきましょうか」などを、お客さまと膝を突き合わせてディスカッションしながら、最適な移行パスをご支援しております。


Zscaler導入のコスト効果

そして最後に、よくあるのが、VPNなどをいろいろ削減できるとはいえ、「Zscalerのライセンスがかかるのでコスト効果はないんじゃない?」というお悩みです。

ライセンスは(たしかに)かかります。ですが、ゼロトラストに移行する際のユーザー体験やパフォーマンス、生産性の向上、セキュリティの強化といった(観点のコスト効果もありますので、Zscalerでは総合的な)コストメリットの算出をお手伝いしています。


みなさまが意思決定する方々への上申の際の資料のお手伝いもしています。例えば我々がリプレイスできるものは、インターネットゲートウェイやインフラエンドポイントなどいろいろありますが、それに対してライセンスは(追加で)かかるものの、生産性なども含めて(具体的なコスト効果を)算出しています。



(資料の)右側はドルで書かれていますが、ユーザー体感やセキュリティの体制、TCO(企業にICTシステムを導入する際にかかる総保有コスト)といったところです。



これらを、お客さまのご協力やヒアリングもさせていただきながら、「サイバー攻撃を受けた場合にはこれだけの損失が起こってしまいます」なども含めてこまごまと算出しています。こういったコンサルテーションサービスもみなさまのお役に立てると思います。

最後は別の観点で(資料を)まとめました。ヒト・モノ・カネの観点でまず生産性を上げる。今までは、セキュリティをガチガチに固めると、どうしてもユーザーの使い勝手が悪くなっていました。


それはトレードオフで我慢しなければならないことだったんですが、Zscalerを導入すると、セキュアなだけではなくて、働く社員の方々のパフォーマンスも向上させることができます。

本日は、簡単ではございますが、Zscalerのご紹介をさせていただきました。ちょっとしたことでもかまいませんので、ぜひご相談いただいて、みなさまの環境をセキュアにするお手伝いができればと思います。本日はどうもありがとうございました。

続きを読むには会員登録
(無料)が必要です。

会員登録していただくと、すべての記事が制限なく閲覧でき、
著者フォローや記事の保存機能など、便利な機能がご利用いただけます。

無料会員登録

会員の方はこちら

関連タグ:

この記事のスピーカー

同じログの記事

コミュニティ情報

Brand Topics

Brand Topics

  • "危険度"だけで判断してはいけない KEVを活用した脆弱性対応の新常識

人気の記事

人気の記事

新着イベント

ログミーBusinessに
記事掲載しませんか?

イベント・インタビュー・対談 etc.

“編集しない編集”で、
スピーカーの「意図をそのまま」お届け!