許可を得ていない持ち込み端末やIoT(Internet of Things)機器は、企業ネットワーク全体をリスクにさらす。最良の解はIEEE 802.1Xに対応した強固な認証システムを構築することだが、予算などの制約で「分かっていても導入できない」ケースは多い。そのような場合にソリトンシステムズが提案するもう1つの選択肢とは。
ここ数年で企業のサイバーセキュリティに対する意識が向上し、私物のスマートフォンやタブレット端末の持ち込み、さらにはシャドーITのリスクが認識されるようになってきた。リテラシー向上に伴って安易に私物の端末を企業ネットワークに接続するケースは減るのかと思いきや、ソリトンシステムズの新井友香氏(ITセキュリティ事業部 プロダクト部)によると実情はむしろ逆だという。
一般家庭や公共エリアで簡単にインターネット利用ができるようになり、「いつでもどこでもネットワークにつながるのが当たり前」という意識が浸透した結果、「自宅や外出先で無線LANに接続するのと同じ感覚で、管理者の許可を得ていないスマートフォンやタブレット端末を企業ネットワークに気軽に、無造作に接続してしまうケースが意外と増えている。私物の無線アクセスポイントを社内の有線LANに接続してしまうケースまである」(新井氏)。
中には、アルバイトが持ち込んだ端末でDHCPサーバの払い出すIPアドレスが枯渇してしまったり、通信料金が比較的高い海外拠点で私的利用の節約目的につないだ従業員の端末によって拠点の帯域がいっぱいになってしまったり、といった笑えない話もあるほどだ。
こうした機器にはセキュリティ上の重大なリスクもある。管理が行き届いていない端末が企業ネットワークにつながると、不正アクセスやマルウェア感染のきっかけになるのだ。しかるべく管理し、不必要なものはネットワークから遮断しなければならない。
そこで求められる基本的な対策の一つが、以下の三要素からなる「認証」「許可」だ。
この対策が甘いと第三者による侵入を許し、重要な情報を盗み見られたり、外部に持ち出されたりする恐れもある。
普段、何の気なしに利用しているユーザーIDとパスワードは基本的な認証の一つだ。日常的に利用するさまざまなシステムにおいて、正当なユーザー(機器)のみにアクセス権限を与えることの重要性が認識されるようになった。ネットワークも例外ではなく、接続を許可するユーザー(機器)を限定する、より強固な認証を実現する仕組みが求められてきた。
国産の認証製品として多くの実績を持つソリトンシステムズの「NetAttest EPS」もこのような強固な認証を実現できる。IEEE 802.1X規格に基づく厳格な認証を、アクセスポイントやスイッチといったネットワークインフラと連携して確実なものとする。クライアント証明書などを用いて確実な本人と端末の確認を進め、不正な端末はそもそもネットワークに接続すらさせない仕組みだ。
これで不正アクセスを確実に防止できるはず――だが、問題点が残る。ネットワークインフラ側も802.1Xに準拠している必要があるため、必然的に導入コストが高くなってしまうのだ。予算を確保できない企業も少なくないだろう。
世の中、なかなか理想通りにいかないことは多い。予算の制約があったり、メンテナンスを担うだけのスキルを備えた人材がいなかったりという現実の壁に阻まれ、NetAttest EPSのような本格的な認証システムを導入できないケースもある。全国各地に多くの拠点を抱えながら、それぞれにネットワーク管理者を置く余裕のない企業などは、その一例だろう。つい最近ネットワークインフラを更新したばかりという環境では、減価償却が終わらないうちに802.1X対応の機器に入れ替えるわけにはいかない。
新井氏は、「強固な認証システムの導入が困難だからといって、何もしないわけにはいかない。『0か1か』ではなく、最低限の歯止めをかけ、どのようなアクセスがあるかを、ある程度可視化できる仕組みを整えることが求められる」と指摘する。このような仕組みを提供するのが、NetAttestシリーズの別製品「NetAttest LAP」だ。
NetAttest LAPは、「何らかの対策は打ちたいが、予算を考えるとどうにも手が出せない」といったケースにうってつけの製品だ。ネットワーク機器の交換が必要なく、既存のネットワークにLAPを接続するだけで利用開始できるため、導入のコストや手間を軽減できる。
クライアント証明書を作成し、個々のユーザーに配布し、設定手順を説明して……といった802.1Xでは必要な導入前のさまざまな準備も不要で、「あまり知識を持たない、初心者のネットワーク管理者にも優しい仕組みだ」と新井氏は述べる。
NetAttest LAPは、ARP(Address Resolution Protocol)やDHCPといったネットワークトラフィックを常に監視して、端末が通信を始めたタイミングで特定する。その後、あらかじめ登録された「ホワイトリスト」や認証サーバの情報と照らし合わせ、正規端末であればそのまま通信を許可する。万一不審な端末であることが分かれば、「ARPジャミング」を行って不正端末の通信を妨害し、そのネットワークセグメント内の別の端末や、社内システム、インターネットなどの通信先に一切アクセスできなくする仕組みだ。
「NetAttest LAPはちょうど検問所のように機能する。通過する車の様子を見て、問題がなければそのまま通すし、登録されていないものは停止させ、そこから先に入れないようにできる。結果として、不審な端末がネットワークにいなくなる」(ソリトンシステムズ ITセキュリティ事業部 プロダクト部 宮崎洋二氏)
未登録の端末の通信を妨げるだけでなく、検知した端末の情報をログとして残し、一覧表示もできる。MACアドレス情報だけでなく、ホスト名やOS、デバイスの種類までリスト表示で可視化できるため、「どのような端末が、どのような時間帯に接続されたのか」が一目で分かることもポイントだ。
あらかじめ認めた端末を記録するホワイトリストをどのように作成、管理するかによって、より適した導入方法を選ぶこともできる。小規模なネットワーク環境で、複数のネットワークにまたがるホワイトリストの一元管理などが必要ない場合は、「NetAttest LAP One」をネットワークセグメントごとに導入すればよい。
複数の拠点間でホワイトリストの一元管理をしたい場合は、複数のNetAttest LAPを専用管理ツールの「NetAttest LAP Manager」と組み合わせて利用すればよい。ファームウェア更新などのメンテナンス作業も集約できるため、国内外に多数の拠点が散在し、その全てに専任のネットワーク管理者を置けない場合でも、一定の管理レベルを保ちつつ、運用コストを削減できる。
高いセキュリティレベルが求められる本社ネットワークへのアクセスはNetAttest EPSでしっかり制御しつつ、拠点側はNetAttest LAPで最低限のアクセス監視を行うといった具合に、「顧客それぞれの状況に合わせて導入できる」と新井氏は説明した。無線LANはNetAttest EPS、有線LANはNetAttest LAPでというように、ネットワーク環境に応じた使い分けがされる場合も多いという。
ソリトンシステムズはこのNetAttest LAPに、サードパーティーが提供するソリューションを組み合わせることで、より使いやすい仕組みを実現する計画だ。KDDIの提供するクラウドベースの資産管理サービス「KDDI Cloud Inventory」との連携がその第一弾だ。
NetAttest LAPで検知した最新の接続端末情報とKDDI Cloud Inventoryの最新の正規端末情報を相互に取り込み合うことで、不正な端末を排除しつつ、常に最新の端末リストに基づいて管理が行える。こうした連携ソリューションを使うことで、顧客側が個別に作り込みを行う手間をかけずに、環境に合わせた最適な端末管理、セキュリティ管理を実現できる。
近年、あらゆるモノがインターネットにつながるようになった結果、私物のPCやスマートフォンといった「隠れITデバイス」に加え、隠れたIoT(Internet of Things)機器のリスクも浮上している。
IoTと言っても特別なものとは限らない。管理者が知らぬうちにネットワークに接続されたデジタル複合機やネットワークカメラがマルウェアに感染したり、外部からの不正アクセスの足掛かりになったりした事件も報じられている。
だが対策はなかなか進んでいない。というのも、PCに比べてスペックが低く、802.1X認証のための証明書をインストールしようにも、できない作りになっていることも多いからだ。だがNetAttest LAPならば、端末側に手を加える必要はなく、IT機器に加えてIoT機器の接続状況も可視化し、必要に応じて遮断できる。これからのリスクに備える上での有効な投資になるのではないだろうか。
セキュリティが重要なこと、それを実現するためには厳密な認証システムを導入することが最善の策だとは、誰もが承知するところだ。だが、相応のネットワーク機器と認証システムへの投資が必要な上、証明書の発行やメンテナンスなども含めると数百万円規模のコストがかかる。
理想通りにいかない現実の中で、うまくバランスを取りながら次善の策を見いだしていくのがIT部門に求められる役割だ。堅固だが高価なソリューションには手が届かないものの、無防備では何かあったときの説明責任を果たせないと悩む企業にとって、一桁少ない予算で導入できるNetAttest LAPは心強い選択肢になるだろう。
Copyright © ITmedia, Inc. All Rights Reserved.
提供:株式会社ソリトンシステムズ
アイティメディア営業企画/制作:@IT 編集部/掲載内容有効期限:2018年11月9日