本格的なIoT時代を迎え、接続デバイスが急増するなど企業ネットワークは複雑化の一途をたどっている。サイバーセキュリティ対策は、従来の手法では解決が難しい重要な経営課題となった。こうした課題に対して、企業はどのような対策を施せばよいのか。最新の解決策「フォーティネット セキュリティ ファブリック」を紹介する。
企業が保有する顧客の個人情報や重要な技術情報などを狙う標的型攻撃が頻発している。身代金を要求するランサムウェアなど、企業に対するサイバー攻撃は急速に増加しており、手口も日々巧妙化している。今やサイバー攻撃は、企業にとって無視することはできない脅威だ。サイバーセキュリティ対策は、重要な経営課題の1つとなった。
経済産業省と情報処理推進機構(IPA)が2015年12月に発表した企業経営者向けの「サイバーセキュリティ経営ガイドライン」でも経営課題を重視。対策が適正に実施されているかどうかを確認する「サイバーセキュリティ経営チェックシート」では、「守るべき資産を特定している」かどうか、「特定した守るべき資産に対するサイバー攻撃の脅威を識別し、経営戦略を踏まえたリスクとして把握している」かどうかをチェックする項目を置いた。経営者は組織全体のセキュリティ脅威を正しく把握しなければならない。
組織全体のセキュリティ脅威を、どのようにすれば正しく把握できるのだろうか。かつて企業のネットワークに接続されていたのは、数少ないPCやサーバだけだった。しかし、スマートフォンや仮想化サーバが普及し、IoTが本格化するに従って、接続されるデバイスが急増。企業ネットワークは複雑化し続けている。
企業内ネットワークの現状を見ると、UTMや次世代ファイアウォール(NGFW)、スイッチ、ログ管理、エンドポイント管理などのシステムが目的ごと、バラバラに導入されており、ネットワーク全体のリスクを正しく把握できない状況が生じている。既存のセキュリティ対策は既に限界に来ているといえる。
問題はもう1つある。標的型攻撃やランサムウェアなどによるサイバー攻撃の増加により、内部ネットワークのリスクが深刻な状況に変わってきた。特に、世界的に感染が広がって社会問題化したランサムウェアの「WannaCry」は、社内で1台のPCに感染すると、同じネットワーク内で脆弱(ぜいじゃく)性が残った全ての端末に感染が広がり被害が大きくなる。こうした脅威に対抗するためには、ネットワークの出入り口の防御だけでなく、内部ネットワークのセキュリティ強化が必要だ。
深刻化するネットワークセキュリティの課題に企業はどのように対処すればよいのか。自社のネットワーク全体のリスクを正しく把握し、きめ細やかな対策を施すことである。しかし、現状では、企業ネットワーク内に設置されたセキュリティ対策のシステムはそれぞれ個別に機能している。連携させて包括的に管理できていないことが多い。
こうした課題の根本的な解決に向けて、企業ネットワーク内に設置した多数のセキュリティ機器を連携させることにより、エンドポイントからクラウドに至るまで、企業ネットワーク全体の一元的な管理を実現するソリューションが登場している。Fortinetが提唱する「フォーティネット セキュリティ ファブリック」(以下、セキュリティ ファブリック)である。
ファブリックとは布地や織物、転じて構造や骨組みを表す用語だ。セキュリティ ファブリックは、ネットワーク機器の一元管理を実現するセキュリティOS「FortiOS」を核に、エンドポイントから、アクセスポイント、ネットワーク、アプリケーション、クラウドに至るまで、あらゆる攻撃対象の包括的な保護を実現する。“点”ではなく“面”でのセキュリティ対策を実現するソリューションといえる(図1)。
企業のネットワークセキュリティの課題を解決するセキュリティ ファブリックはすでに導入・構築が可能だ。Fortinet製品を販売するソフトバンク コマース&サービスは、セキュリティ ファブリックを実現するシステム構成例を提案している。
エンタープライズ向けのセキュリティ ファブリックでは図2に示した構成を採る。インターネットと社内ネットワークの境界に、出入り口を防御するNGFWとして「FortiGate」を配置し、社内ネットワークをセグメント化。社内ネットワーク内にはログ管理とレポーティングの機能を提供する「FortiAnalyzer」と、標的型攻撃を検知し、FortiGateと連携して防御する「FortiSandbox」を配置する。
部門ごとの境界には内部セグメンテーションファイアウォールとしてFortiGateを配備し、部門ネットワークをセグメント化。部門ネットワーク内にはL2スイッチ「FortiSwitch」と、エンドポイント管理を実現する「FortiClient」をインストールしたクライアントデバイスを配置する構成になっている。
上記構成案はFortinet製品のみを用いた場合だ。「FortiSIEM」を用いれば、マルチベンダーに対応したファブリックを実現可能だ。
中規模向けのシステム構成例もある。社内セグメントを1つに限定して、その中に、FortiAnalyzer、FortiSwitch、FortiClientを配置し、標的型攻撃対策にFortiSandboxではなくクラウドベースの「FortiSandbox Cloud」を採用。セキュリティ ファブリックのコンセプトを低コストで実現できるようにしている。
実際に、セキュリティ ファブリックによってどのようなメリットを享受できるのか。3つある。「可視化」「一元管理」「セキュリティ強化」だ。
第一のメリットは、社内ネットワーク全体を可視化できること。詳細なログ分析が可能な「FortiView」とFortiAnalyzerを連携させることにより、上位のFortiGateからネットワーク全体のステータスやトラフィック状況を可視化する(図3)。
FortiViewの画面上にはネットワーク全体の論理構成図が表示され、接続デバイスを一目で把握できる。画面上のデバイスアイコンをクリックすると、各デバイスの詳細情報が現れる。FortiClientがインストールされたクライアントデバイスの脆弱スキャン結果も閲覧でき、ドリルダウン機能によって詳細情報まで簡単にジャンプできる。
Security Fabric Audit機能を使えば、FortiGateでセキュリティ ファブリック上の脆弱性などのセキュリティ問題を特定できる。どのようなリスクがあるのかをグラフィカルに提示し、特定できたリスク情報に基づいて対処できる(図4)。さらに、Security Fabric Score機能を使えば、Audit機能で分析したリスク状況を分かりやすくスコア化して表示。脅威レベル別にリスク比率も分かるため、視覚的にネットワークの脅威を把握できる。
第二のメリットは、企業ネットワークに接続されたデバイスの連携により、機器を「一元管理」できることだ。セキュリティ ファブリックでクライアントからゲートウェイまでを連携させることで、FortiGateからスイッチやエンドポイントのステータスを一元管理できる。さらに、FortiGateの画面からFortiSwitchのステータスを確認することも可能で、FortiSwitchポートに接続しているデバイスまで確認できる。
第三のメリットは、部門レベルでネットワーク内部のセキュリティ強化が可能なことだ。社内セグメント内部の部門レベルのネットワークに注目した。内部セグメンテーションファイアウォールとしてFortiGateを設置し、部門セグメントに設定することにより、境界線防御を強化できる。もちろん上位のFortiGateから下位の複数のFortiGateを管理可能だ。
クライアントにFortiClientをインストールすることによって、部門セグメントのクライアントデバイスの脆弱性も包括的に把握できる。FortiClient側で実施した脆弱スキャン結果を基にリスク順に並べ替えが可能であり、関連するログデータも参照できる。
企業ネットワークセキュリティの歴史を振り返ってみよう。かつては、企業ネットワークに接続されている機器は少なく固定されていた。外部からの攻撃も限定的であり、インターネットと社内ネットワークの境界にファイアウォールを設置しておけば、外部からの脅威には十分に対抗できた。
しかし、社内ネットワークに接続されるデバイスが増加し、マルウェアやDDoSなどの高度なサイバー攻撃が本格化するに従って、ファイアウォールだけでは脅威に十分に対抗できなくなった。そうした状況の中で、サーバ、ネットワーク、ユーザーの各レイヤーセキュリティを統合的に強化する多層防御といった新たなアプローチが登場し、ウイルス対策など多くの機能を搭載したNGFWの導入が進んでいった。
ところが、本格的なIoT時代を迎え、クラウドとの連携も当たり前になってきた現在、サイバー攻撃もより高度で悪質になっており、NGFWをもってしても、企業ネットワーク全体を防御するために十分とはいえなくなってきている。
サイバーセキュリティ対策は、企業ネットワークに接続されたあらゆるデバイスと連携し、包括的に実現する時代を迎えたのだ。セキュリティ ファブリックはまさにそれを実現するソリューションといえる。
Fortinetは、マルチベンダー環境を構築できるよう、APIを開発、公開している。セキュリティ ファブリックとの連携を可能とするためだ。他社の製品も含めて真の意味で包括的な企業ネットワークセキュリティが現実のものとなろうとしている。
Copyright © ITmedia, Inc. All Rights Reserved.
提供:ソフトバンク コマース&サービス株式会社
アイティメディア営業企画/制作:@IT 編集部/掲載内容有効期限:2017年9月30日