線で守る境界防御から、ネットワーク全体を面で守ることがポイント
ITは、現代のビジネスとは切っても切り離せない。市場はITネットワークの広がりとともに拡大し、企業はビッグデータやIoTの活用によってニーズを的確に把握、スピーディに対応できるようになった。しかし一方で、セキュリティ面での不安要素も大きくなっている。ネットワークが広く、濃密になればなるほど、また使用されるデバイスが増えれば増えるほど、悪意のつけ込む隙も多くなるということだ。
本稿では、ますますデジタル化が進む社会の中で、企業が直面している課題、今後生じてくるであろう問題を取り上げつつ、その解決に向けた考え方、必要となる対策を示していく。
成長するネットワークに、セキュリティを追随させられるか?
インターネットが普及し始めてからの30年間で、ITインフラは大きく様変わりした。今や、ビジネスマンがスマートデバイスで社内システムにアクセスするのは当たり前、基幹システムそのものをパブリッククラウドに置く企業もある。さらにIoT時代の到来で、無数のコネクテッド・デバイスも、ネットワークに多様なデータを流し続けている。複雑化するネットワーク、膨れ上がるデータを効率的に管理・共有するために、ネットワーク機能を仮想化してソフトウェアで一元管理できるSDN(Software-Defined Network)も広がっている。
こうした進化の一方でますます注目されるのが、セキュリティの問題だ。
急激に変化するビジネス環境の中で、企業はスピーディに新規プロジェクトや拠点を起ち上げたり、見直しを図ったりする必要に迫られている。それに伴うITインフラ整備には仮想化技術やプライベート/パブリッククラウド、SDNが活用されているが、セキュリティは後付けになってしまいがちだ。
原因として特に大きいのは、コストだろう。ネットワークに接続される装置・機器が増えるほど、セキュリティのためのコストもかさんでいく。また、複雑化するセキュリティの管理・運用を行う人材不足も深刻だ。ますます巧妙になるサイバー攻撃に対抗するためには、高度なセキュリティ知識を持つ人材が欠かせない。実際、経済産業省産業構造審議会の調査の中でも、セキュリティを含むIT人材がユーザー企業において他国に比べ不足している現状が指摘されている(※)。
社会のデジタル化やビジネスの成長に伴うネットワークの拡大に、いかにセキュリティを追随させていけばよいのだろうか? そして一体どれだけセキュリティに投資しなければならないのだろうか?
※経済産業省 産業構造審議会 商務流通情報分科会 情報経済小委員会「中間とりまとめ~CPSによるデータ駆動型社会の到来を見据えた変革~」 中小企業庁委託(株)帝国データバンク「中小企業の成長と投資行動に関するアンケート調査」(2015年4月)
「脅威は内部に侵入する」という前提での対策が重要
こうした不安や疑問に対し、通信事業者やサービスプロバイダー、エンタープライズ企業にネットワークソリューションをグローバルで提供しているジュニパーネットワークスで技術統括本部 本部長を務める長田 篤氏は、従来のセキュリティへの概念を改めるべきだという。
「これまでセキュリティは、ネットワーク上に存在する『線』として捉えるのが一般的でした。社内と社外をファイアウォールで線引きし、内部に脅威が入り込まないようにするという境界防御という考え方です。しかし社内、社外を問わず、物理・仮想、オンプレミス、クラウドという様々なネットワークが接続されてインフラを構成するネットワーク環境では、『線』ではなく『面』でセキュリティを考えていくことが重要となります」
いかに多層防御で境界ネットワークを保護したとしても、最近の高度なサイバー攻撃はこうしたシステムをすり抜けてくることもあり、また社内で接続されるUSB メモリやタブレット端末からマルウェアが入り込むケースも多い。いったんマルウェアが侵入すると、攻撃者はその感染PC を足場にして社内に感染を広げ重要なサーバーを侵害する。検知や対応が遅れれば、外部の悪意あるサーバー(C&Cサーバー)に接続されて情報を抜き取られたり、システムを破壊されてデータを消されたりといった被害につながってしまう。
「脅威が侵入しても被害を出さないという前提で対策を検討しなければならない」と、長田氏は言う。つまりゲートウェイやエンドポイントという線や点でセキュリティを捉えるのではなく、ネットワーク全体を包括したセキュリティシステムで監視し、侵入を検知したら迅速に対応できることが必要である。こうすれば仮にマルウェアの侵入を許したとしても被害を最小限にできる。
クラウド時代のネットワークを守るセキュリティとは?
現在の企業ネットワークはLANだけでなく、WAN、キャンパス、ブランチ、モバイルと多様なネットワークによって構成され、インフラ基盤もオンプレミスだけでなくプライベート、パブリックが混在するマルチクラウドにより運用されている。こうした複雑なネットワークにおいて、長田氏のいう「ネットワークを面で捉えたセキュリティ」を実現するためには、どのようなソリューション必要だろうか。
まず、最新の脅威情報に基づいて脅威を検知できる高度なセンサーと検知システムが必要だ。クラウドやオンプレミスで運用されるサンドボックスと呼ばれる仮想実行環境があれば、既知の脅威だけでなく未知の脅威にも対応できるが、ネットワークにはすでにファイアウォールなどの既存のセキュリティシステムが稼働しているだろうから、それらをセンサーに使えれば、新しい投資が抑えられるだけでなくネットワーク構成の変更にも柔軟に対応できるだろう。
ネットワークで脅威が検知された場合、それらにどう対処できるかが重要になる。あるセキュリティシステムが脅威を検知した場合に、そのシステムに閉じた形で対処しているようでは運用負荷が高いし、また迅速な対応は望めない。可能な限り、ネットワーク/セキュリティ機器が連携し、脅威の検知と同時にポリシーをダイナミックに変更して自動的に通信の遮断や脅威が見つかった端末の隔離ができることが望まれる。脅威に対して手動で対応しネットワーク機器の設定を直すとなれば相当の時間がかかり、その間にも被害は拡がりかねない。
さらに、マルウェアの侵入を完全に防ぐことが困難である現状に照らせば、エンドポイントセキュリティシステムと連携して、エンドポイントにおける脅威の検知を契機にしてネットワーク機器へポリシーのエンフォースメント(適用)をできるようにすべきである。
ジュニパーネットワークスでは、こうしたネットワークセキュリティの実現を「Software-Defined Secure Network(SDSN)」というビジョンのもとで推進している。SDSNでは、同社のファイアウォールであるSRXシリーズがセンサーとなり、クラウドベースのサンドボックスであるSky ATPで脅威の解析・検知を行う。またオンプレミスのサンドボックスであるJuniper ATPであれば、サードバーティーのセキュリティシステム全体を見渡した脅威の可視化が実現でき、運用の効率化が図られる。
SDSNでは、脅威に応じてダイナミックなセキュリティポリシーの適用はSecurity Directorというセキュリティ管理製品のポリシーエンフォーサーで実施する。新たな脅威が検知されるとそれに応じたネットワークの挙動を変更できるよう、新しいポリシーをフィアウォールやサードパーティを含むスイッチに自動的に適用される。これにより、脅威がネットワーク上に拡散されるのを防ぐ。これまで手動で行っていた運用の一部が自動化されることで、専任のセキュリティ担当者がいない企業でも負荷の少ないセキュリティ運用が実現される。
エンドポイントにおける検知と対応では、リアルタイムEDR(Endpoint Detection and Response)ソリューションを提供するカーボン・ブラックの製品と連携することで、SDSNを強化している。カーボン・ブラックと連携することで、社内に侵入したサイバー脅威をエンドポイントレベルで検知、隔離し、ネットワークと連携させることで、悪意のあるサーバーへの通信遮断や社内への感染拡大防止を自動化するエンドツーエンドのセキュリティソリューションが実現できる。
[PR]提供:ジュニパーネットワークス