New Technologies

2022.11.09(Wed)

高度化するサイバー攻撃対策に。「SASE」を実践してセキュリティ向上を実現する方法

#セキュリティ

OPEN HUB
ISSUE

New Technologies

答えはここに。
今使いたい
最新テクノロジー

コロナ禍における働き方の変化に伴い、セキュリティの脅威が急速に顕在化しています。情報処理推進機構（IPA）が調査して発表した「情報セキュリティ10大脅威2022」によれば、「テレワーク等のニューノーマルな働き方を狙った攻撃」が第4位になるほどです。また「令和3年通信利用動向調査の結果」では、クラウドコンピューティングサービスを導入している企業は7割を超え、SaaS（*1）の利用が加速し続けていることがうかがえます。

テクノロジーの進化に合わせて、サイバー攻撃とその対策が高度化の一途をたどるなか、課題解決のためのセキュリティ対策の1つとして「SASE（Secure Access Service Edge）」という概念に注目が集まっています。SASEの活用法をはじめ、セキュリティ課題を解決するソリューションや今後の対策など、最先端のサイバーセキュリティについて、ゼットスケーラーの髙岡隆佳氏と、クラウドストライクのSako Lancine氏、NTT Comの城征司に話を聞きました。

*1 SaaS：「Software as a Service」の略称で、クラウドサーバーにあるソフトウェアをインターネット経由でユーザーが利用できるサービスの総称を意味します。

コロナ禍で露わになったセキュリティ対策の課題

―近年、セキュリティの脅威が高まり続けています。背景には何があるのでしょうか。

Sako Lancine氏（以下、Sako氏）：主に3つあると考えています。まず、コロナ禍におけるテレワークが1つ。緊急事態宣言の発令によって、自宅から仕事をしなければならず、セキュリティの問題が顕在化しました。

2つめはテレワークによるSaaS移行。そして、3つめがサイバー攻撃の高度化になります。現代の攻撃はより巧妙さを増し、コロナ禍ではランサムウェア（*2）の脅威がさらに増しました。この3つの背景から、時代に即したセキュリティ対策が求められていると言えます。
*2 ランサムウェア：身代金を意味する「Ransom」と「Software」を組み合わせた造語。暗号化などによりファイルを利用不可能な状態にした上で、そのファイルを元に戻すことと引き換えに金銭（身代金）を要求するマルウェアを指します。
https://www.ntt.com/business/lp/ransomware.html

髙岡隆佳氏（以下、髙岡氏）：セキュリティ対策とともに、生産性向上が求められているのも大きな課題です。今は既存のレガシーシステムが足かせになっているために、クラウドが使用できなかったり、自宅から業務ができなかったりなどの問題があり、「セキュリティ」と「生産性」の2つをどう両立するかが経営の課題になっています。

今まではセキュリティに課題があると、パッチワーク的に新しいソリューションを入れるというケースが多かったと思います。ただ、それらの歪みが今になって一気に押し寄せてきています。モバイルやネットワークが危機にさらされるなかで、どうすれば現代の働き方に合わせながら、セキュリティも生産性も担保していけるのか。その観点から、「ゼロトラスト（*3）」の重要性が増していると言えます。
*3 ゼロトラスト：「信頼（Trust）を何に対しても与えない（Zero）」という前提に立ったセキュリティ対策の考え方です。
https://www.ntt.com/business/lp/zero-trust.html

城征司（以下、城）：Sakoさんが挙げた3つの背景のなかで、1つめのコロナ禍におけるテレワークは大きな契機になったと思います。従来は従業員が基本的に出社していましたが、当時のセキュリティは社内のファイアウォールを中心とした、いわゆる境界防御によって担保されるという認識が一般的でした。しかし、コロナ禍になって社外で働かざるを得なくなったことで、リモートワークにも適したセキュリティ対策が必要となりました。

その過程でゼロトラストの認知が高まり、実は社内の境界防御自体も不十分であることがわかったことで、社内外を問わずICT環境全体のセキュリティを見直す動きが生まれました。

結果的に、コロナ禍により社内セキュリティをさらに強化し、リモートワークでも同様の安全性と生産性を実現しようという機運が高まったことで、これまで顕在化していなかった課題に気づけたのは大きかったと思います。

―具体的なセキュリティの課題を挙げるとすれば、どのようなことがあるでしょうか。

髙岡氏：挙げればキリがないですが、ゼロトラストを例に挙げるなら、これまでのセキュリティ対策の考え方とは大きく異なるため、自社のビジョンや社員の働き方なども含めた経営計画に基づいて、ソリューションの導入を進めなければなりません。そのため、経営者がゼロトラストの意味を理解していなかったり、必要な要件を明確に持っていなかったりすれば、対策は進まないでしょう。

移行がうまくいかない企業では、経営者がゼロトラストというバズワードに踊らされているだけなのか、そういった整理が進まないまま、部分的な移行が進んでしまっているケースが非常に多く見受けられています。

Sako氏：より合理的なセキュリティ対策を講じるには、経営者視点以外に、ユーザー視点とシステム担当者視点も考慮する必要があるでしょう。

ユーザー視点では、Wi-Fi接続でテレワークをする際、そのWi-Fiが安全かどうかといったリスクがあります。一方、担当者視点では、セキュリティを保つためにアンチウイルスや脆弱性管理などさまざまなシステムを導入する必要があります。それらが個別のシステムであれば、管理コストや労力を考えると生産性が下がる可能性が出てきます。

城：お二人の話は、まさにその通りだと思います。

そのような状況を避けるためには、髙岡さんがおっしゃったように、経営者がどのようなビジネス環境を構成していきたいかというビジョンがなければいけません。私たちも、まず経営課題としてどのようなセキュリティ対策が求められているか、顧客に確認するところからはじめるようにしています。

億単位の被害も発生。高度化するサイバー攻撃の現状

―解決方法にはどのようなものがありますか。

髙岡氏：例えば自社に対するランサムウェアの脅威が高まった場合、まず攻撃を検知するEDRなどのソリューションを導入するのが解決策の1つだと思います。

ただ、それで終わりにはなりません。その後も本来目指しているセキュリティ環境から逆算して、まずエンドポイントか、フィルタリングかなど強化すべきポイントのプライオリティを決めていく必要があります。そして、最終的なゴールはオンプレでもクラウドでも、場所を問わずに安全に働ける環境をつくるところになるのではないでしょうか。

Sako氏：昨今は日本でもランサムウェアの脅威は確実に高まっています。具体的にはシステムの認証部分やエンドポイントが、その脆弱さからランサムウェアからの攻撃を受けやすいため、強化を優先すべきポイントになりそうです。現在の日本でランサムウェアの攻撃を受けた際は、平均で約2億円の金銭の要求が行われています。恐ろしい話ですが、実際にあった事例のため、対岸の火事とも言えないはずです。

城：おっしゃる通りですね。認証部分がセキュリティの肝になるはずで、最近は多要素認証の導入が進みつつあります。

IDとパスワードの組み合わせであれば、何らかの方法でその2つが漏れた場合、誰でもログイン可能となります。一方、多要素認証ではIDやパスワードに加えて、スマホの専用アプリやSMSなどに通知が届き、画面の認証ボタンを押したり、記されているワンタイムパスワードを入力することでログイン可能です。

ただ、多要素認証でも攻撃と防御のいたちごっこは繰り返されています。本人だけに届くような通知ですら、ありとあらゆる方法を駆使して、情報が抜き取られてしまう事例も出てきています。

髙岡氏：現代はデバイスやソフトから入り込んだり、インターネット上でのフィッシング、あるいはUSBでウイルスが持ち込まれたりなど、さまざまな攻撃方法にさらされています。企業側としては、最終的に攻撃側の入り込む隙をいかに縮小できるかに、フォーカスすべきでしょうね。

注目を浴びるSASEソリューションの活用法

―セキュリティ対策の一つとして、NTT Comが展開している「SASEソリューション」があります。SASEの概念およびサービス内容についての解説をお願いします。

城：SASEとは、2019年に提唱された考え方で、従来はバラバラだったネットワークおよびセキュリティの対策を統合し、一つのクラウド型ソリューションで提供するという発想です。

とはいえ、これを実現するのは容易ではありません。SASEを実現するにはソリューション導入するだけでは不十分で、導入後の運用も重要です。実際、それらをユーザー企業だけで対応できるケースは多くありません。

―SASEを実現するために、顧客にとってベストオブブリード（*4）となる組み合わせを見つけて、円滑に運用を行うにはどうすればいいでしょうか。
*4 ベストオブブリード：各機能ごとに最も適切なサービスを組み合わせてICT環境を導入すること。

城：コンサルティングから構築、運用まで、ワンストップで対応可能なソリューションをご検討いただくのが解決策の1つです。

例えば、弊社が提供する「SASEソリューション」は、ネットワークとセキュリティ、運用を一体的に捉え、ネットワークとセキュリティの課題を総合的に解決できるように構成されています。過去2年間で約150社に導入いただいた実績から、お客さまのニーズに応じた最適な解決策を提供できます。

現在は数多くの導入事例を通じて多くのお客さまに共通してみられる課題が明らかになってきたことから、弊社から「鉄板パック」という形態のソリューションも提供しています。さらに、ゼットスケーラーとクラウドストライク、弊社のサービスを組み合わせ、クラウド、ゲートウェイ、エンドポイントを網羅しつつ、運用までカバーできるパックもご用意しています。

髙岡氏：実際にクラウドストライクといくつかの案件で協業した結果、ユーザーが弊社とクラウドストライクの連携を求める最大の要因は、すべてのデバイスで高レベルのセキュリティを展開できる点だとわかりました。弊社とクラウドストライクのソリューションを導入いただくことで、セキュリティの脅威を気にすることなく運用も最小化できますし、クラウドストライクのサービスとはAPI連携で相互補完できるため、ユーザーからすると一つのソリューションのような感覚で導入いただけるでしょう。

Sako氏：ソリューションを選ぶときのポイントは、最も性能の良い製品を選ぶことです。ゲートポイントやアクセスポイントの分野ではゼットスケーラーが優れていますし、エンドポイントでは私たちクラウドストライクが第三者から高い評価を得ています。またネットワーク管理については、NTT Comが有数の実績を誇ります。

「SASEソリューション」では、これらのソリューションを簡単にマネージでき、運用の手間を最小限にできます。各ソリューションをうまく組み合わせて連携させる画期的な方法であり、セキュリティに関するすべての悩みを解決できるのではないでしょうか。

―「SASEソリューション」の導入により効果を上げた具体例はありますか。

髙岡氏：例えば、会社を経由しないと業務用アプリケーションを使えないといった縛りがなくなり、生産性が向上したという評価をいただいたことがあります。社外からアクセスされるとセキュリティリスクが高まるのではないかという懸念があったものの、「SASEソリューション」を導入してセキュリティ対策を行ったことで、場所を問わずに業務用アプリケーションが使えて、さらにコスト削減も実現できたという声もいただいています。

Sako氏：導入検討から実際の運用までのスケジュールを大幅に短縮できるのもメリットですね。システム担当者が経営層からテレワークの環境構築を求められたときに、本来であれば検証などに膨大な時間を要しますが、「SASEソリューション」であれば明日にでもテレワーク環境に対応したセキュリティ対策が講じられるでしょう。

髙岡氏：大規模なソリューションの導入スピードも、昔に比べると格段に上がっていると思います。極端な話、今はユーザーがワンクリックでセキュリティ対策に必要なソリューションをデバイスにインストールできますので。

またランサムウェアなどの攻撃側からすれば、わざわざ守られているところに攻撃はしないものです。従来の対策ではどこかに穴ができていましたが、ソリューションの導入スピードが上がれば、穴を塞ぐスピードも速まり、セキュリティレベルの向上にも寄与できるはずです。

城：スピードという観点では、セキュリティ対策のソリューション導入を、ユーザーが1ポータルを通じてできるのも大きいですね。ポータル上の操作だけで、グローバルに分散した多拠点にもセキュリティ対策を一気に導入できるため、導入のスピードは桁違いに速くなっています。

セキュリティ強化のためにやるべきファーストアクションとは

―セキュリティに対する必要性は理解しつつも、具体的なアクションに移せていない企業は少なくないと思います。改めて、セキュリティに対して取り組みを強化しなければならないポイントやリスクについて教えてください。

髙岡氏：ソリューションの導入などは基本的に経営層が判断する事案になると思います。しかし、経営層が判断できなかったり、予算を許可しないケースが少なくありません。ただ、セキュリティと生産性の両立は業種問わず求められていることであり、私たちができることとしては、中立の立場で全体のリスクを把握し、経営層の考えるゴールと現場の状況を整理し、各社ごとにベストソリューションを提供することだと考えています。

Sako氏：日本はまだセキュリティへの意識は高いとは言えず、対策も後手に回りがちな印象です。実際にランサムウェアの被害が増えているなかでは、目の前にあるリスクを認識することが第一歩になると思います。

まだ問題が顕在化していないのであれば、ネットワークやエンドポイント、認証のリスクを確認するところから始めるべきです。そこから、セキュリティにおける自社のスタンスを定め、プライオリティをつけて対策に手を付けていくのが良いでしょう。