限られたリソースで、大企業と同等レベルのセキュリティを実現予算も余裕もないのに、一体どうすれば?

サイバー攻撃による情報漏えい事件などが相次ぐ中、企業には高度なセキュリティ対策が求められている。だが、予算もスキルも限定的な中堅・中小企業の場合、セキュリティ対策に十分なリソースを投入するのは難しいのが現実だ。しかし、大企業の取引先となる中堅・中小企業をまず狙い、サプライチェーンに沿って攻撃対象を拡大するサプライチェーン攻撃も増えつつある今、中堅・中小企業にも大企業並みの対策が求められている。では一体どうすれば? 現実解を探る。

» 2020年02月05日 10時00分 公開
[PR/@IT]
PR

「予算も余裕もない」中堅・中小企業のセキュリティ対策

 サイバー攻撃は年々、高度化・巧妙化し、規模や業種を問わずあらゆる企業が狙われている。特に近年は、大企業を最初から狙うのではなく、取引のある中堅・中小企業をまず狙い、そこを踏み台にして大企業を攻撃する「サプライチェーン攻撃」も増えつつある。もはや自社だけではなく、取引先への影響も考慮したセキュリティ対策が求められているのだ。この点で、中堅・中小企業も大企業と同等のセキュリティを確保することが不可欠になってきたといえるだろう。

 だが、中堅・中小企業はリソースに限りがあるのが一般的だ。そうした中で、いかに高度なセキュリティ対策を実現するのか――UTM(Unified Threat Management:統合脅威管理)のパイオニアの1社として、国内で長年にわたって中堅・中小企業向けのセキュリティ対策を支援してきた「ソニックウォール・ジャパン」の代表取締役社長 本富顕弘氏は、こうした現状に対して次のように話す。

ソニックウォール・ジャパン 代表取締役社長 本富顕弘氏

 「中堅・中小企業の現状を見ると、担当者が総務などと兼任でシステム運用管理とセキュリティ対策を担っている、いわゆる『ひとり情シス』が多い印象です。予算もスキルも人も限定的な中で、日常業務をこなしながら、大企業と同等のセキュリティ対策を実現することは困難を極めます。特に近年は、リモートアクセス、クラウド管理やシャドーITへの対応など、情シスの担当領域が広がっている上、サイバー脅威が高度化・巧妙化する中で、必要なセキュリティソリューションも急増しています。どのソリューションをどう採用すればいいのかさえ分からないというケースもよく聞かれます」

 一般に、運用管理業務は、ユーザー数が100人を超えると複雑性が一気に上がるといわれる。運用管理者が1人でも、100人までなら運用管理ツール1つで管理対象となるデバイスやサーバなどをカバーでき、全体像も把握しやすい。セキュリティ対策もUTMを1台導入することで、ゲートウェイを起点にしてエンドポイントやネットワークの多くを1人でカバーできる。

 しかし、従業員が100人以上となると事情が変わってくる。前述のように「ひとり情シス」が多い中で、各種SaaSをはじめクラウドサービスの導入が進み、管理対象の数が増える傾向にある。加えて、マルウェアをストレージではなくメモリ上で展開したり、Windowsの標準スクリプトを使ったりして検知を免れようとするファイルレス攻撃や、Intel CPUの脆弱(ぜいじゃく)性を悪用して攻撃を仕掛けるような新しいタイプの攻撃も見つかっている。多くの中堅・中小企業にとって、これら全ての脅威に対応するのは現実的ではないだろう。

 「大企業ならば、リソースを駆使して日々新たに登場する脅威に対抗できるかもしれません。しかし、中堅・中小企業の多くはそうではなく、どの製品をどう適用すればいいのかさえ判断が難しい状況にあります。仮に何らかの製品を導入しても全体をカバーできず、ピンポイント対策のつぎはぎになりがちです。結果、対策に抜け漏れが起きたり、費用に対して限られた効果しか得られなかったりする例が目立っているのです」(本富氏)

各種機能を一元管理できる「セキュリティプラットフォーム」

 こうした中堅・中小企業の課題に対し、ソニックウォールが提案しているのが「セキュリティプラットフォーム」の導入だ。セキュリティプラットフォームとは、サイバー脅威に対抗する各種機能を1つのプラットフォームで提供することで、一元管理できるようにする仕組みを指す。

 「アンチウイルスやファイアウォールといったセキュリティ対策の基本機能はもちろん、標的型攻撃対策やランサムウェア対策といったエンドポイントセキュリティ、クラウドセキュリティなどを、自社の状況に応じて、段階的、多層的に導入できます。クラウド上のUIを活用して、それぞれの機能を1つの管理画面で統合管理し運用することが可能です。これにより、予算やスキルが限定的な中でも、必要な機能を広くカバーし、効率的にセキュリティ対策を進められるようになるのです」(本富氏)

 ソニックウォールがこうしたセキュリティプラットフォームを提供できるのは、UTMという製品アーキテクチャによるところが大きい。同社はファイアウォールやアンチウイルスなどの機能を“個々の単独製品”としてではなく、UTMの機能群として提供し、段階的に機能を拡張してきた。同社製品の強みについて、SE部セキュリティエンジニアの小田真也氏はこう話す。

ソニックウォール・ジャパン SE部 セキュリティエンジニア 小田真也氏

 「現在、市場にはあらゆる脅威に対してのポイントソリューションがあふれています。そうしたソリューションを個別に導入し、自社に適した形にインテグレーションするには多大なコストと工数がかかります。しかし、弊社のセキュリティプラットフォームであれば、各種セキュリティ機能をモジュールとして提供しているため、必要なものから導入できる上、各種機能をシンプルに一元管理できます。つまりコストと工数を抑えてセキュリティ対策を合理的に拡張しながら、迫りくる脅威を最小限に食い止められるのです」(小田氏)

 加えてソニックウォールは、同社独自のさまざまな検知技術を活用することで高度な検知精度、検知速度を実現している。具体的には、高速で制限のない検知を実現する『RFDPI』、CPUの脆弱性を突いた最新の脅威を検知する『RTDMI』、機械学習機能を備えたクラウドサンドボックス『Capture ATP』などだ。これらにより、前述したファイルレス攻撃や、脆弱性を利用した攻撃といった最新の脅威や、未知の脅威などにも対抗できるという。

 まずRFDPIとは「Reassembly-Free Deep Packet Inspection」の略で、従来一つ一つのパケットを再構築してから実施するスキャン(Deep Packet Inspection、DPI)を、パケットの再構築なしでスキャンする特許技術だ。ネットワークスピードを犠牲にせず、スキャンするファイルサイズに制限がないというメリットがある。

 RTDMIは「Real-Time Deep Memory Inspection」の略で、ソニックウォール独自のサンドボックスを用いた検知技術を指す。サンドボックスにはハイパーバイザーレベル、エミュレーション、仮想化の各技術を用いた手法があるが、RTDMIはこれに続く第4のサンドボックスエンジンで、前述したCPUの脆弱性やメモリを狙った攻撃を検知できるという。

 Capture ATPは、クラウド基盤上でリアルタイムでの脅威検知と防御を自動化するプラットフォームだ。同社が持つ機械学習の技術を生かして、RTDMIを含めたサンドボックスを動作させ、メモリレベルの検知を行うことで、ファイルレスマルウェアなどの新しい脅威からの防御を自動化できる。

EDRやクラウドセキュリティも提供

 ソニックウォールは、こうしたセキュリティ機能を誰でも簡単に扱えるよう、管理サービス「Capture Security Center」(CSC)を提供している。CSCを利用すると、ソニックウォールが提供する各種機器やセキュリティサービスを、クラウド上のWeb UIから一元的に管理できる。

 例えば、複数のUTM機器をリモートから管理するための「CSC Management & Report」を利用すると、他拠点に設置してあるソニックウォールのUTMをクラウド上のポータルページから一括管理できる。アクセスルールの設定など、基本的にUTMでできることは全てクラウド上から管理できるわけだ。

 分析サービス「CSC Analytics」を利用すると、CSC Managementで収集したデータをより詳細にグラフィカルに表示できる。例えば、ネットワークトポロジーの可視化、管理機器のトラフィック状況の可視化、Webアクセス状況の可視化、遮断したトラフィックの可視化などが可能だ。セキュリティ対策の現状だけではなく、業務の状況も可視化できることは、さらなる効率化を狙う、いわゆる「攻めのIT」にも貢献するはずだ。

 さらにUTM機器は、電源をつなげばすぐに使えるようになるゼロタッチデプロイに対応しているため、ネットワークエンジニアやセキュリティエンジニアがいなくても拠点に配備しやすい点も特長だ。ただ、ソニックウォールが提案しているのは、容易さ、シンプルさだけではなく、限られたリソースの中でも“大企業と同等レベルのセキュリティ”へと強化することだ。

 「サイバー攻撃は日々高度化・巧妙化し、常に新しい脅威が出現します。ソニックウォールが力を入れているのは、そうした脅威にプラットフォームを活用することで素早く検知、対応できるようにすることです。特に、中堅・中小企業向けにお薦めしたいのは、従来のファイアウォールからUTMへと移行しながら、次世代アンチウイルス(NGAV)機能とクラウドセキュリティ機能を活用することです」(小田氏)

 ソニックウォールが次世代アンチウイルス機能として提供するのが「Capture Client」だ。マシンラーニングを活用して従来のパターンマッチでは防げなかった脅威を防御するとともに、EDR(Endpoint Detection and Response)ベンダーのSentinelOneよりOEM供給を受け、次世代エンドポイントソリューションを実現する。

 ランサムウェアで暗号化されたデータをロールバックする独自機能により、業務継続を守れる点も一つの特長だ。さらに前述のCapture ATPと組み合わせることで、エンドポイントからクラウドまでエンドツーエンドで保護することができる。

 クラウドセキュリティについては、手軽なCASB(Cloud Access Security Broker)機能として「Cloud App Security」(CAS)を提供している。シャドーIT(許可していないIT利用)の制限や、サンクションIT(許可したIT利用)の管理を実現することで、クラウドを安全に利用できるようになる。

パートナーとともに日本全体のセキュリティを底上げする

 前述のように、ソニックウォールのセキュリティプラットフォームの特長は、こうした各種機能を柔軟に追加しつつ、分散環境でも一元管理できることにある。複数の拠点に設置されたUTM機器を管理ツールのCSCを通じてクラウド上から統合管理できることはもちろん、Capture Clientを利用したPC機器のセキュリティ管理、CASによるSaaSサービスの管理、シャドーIT/サンクションITの管理なども一元的に行える。

 さらにソニックウォールは、セキュリティを組み込んだ無線LANアクセスポイント「SonicWave」シリーズも展開しており、これもCSCで一元管理できる。

 「ノートPCやタブレット、スマートフォンの利用が広がる中で、無線LANセキュリティも大きなトピックの一つになっています。従来は、UTM機器と無線LANアクセスポイントをセットで導入する必要がありましたが、現在はCSCを提供しているため、アクセスポイント単体で導入し、管理は他の機能と同様にクラウド上で行えます。無線LAN環境でメッシュネットワークを構築したり、インターネットにつながるゲートウェイを冗長化したりするといった中堅・中小規模で求められる機能も充実しています」(小田氏)

 冒頭で述べたように、多くの中堅・中小企業が「ひとり情シス」という状況にあり、高度化・巧妙化するセキュリティ脅威に対抗するのは年々難しくなっている。そうした中、エンドポイントによる次世代アンチウイルスから、クラウドを活用した高精度な検知、検知や対応の自動化、クラウドによる分散環境の一元管理までを提供するソニックウォールのセキュリティプラットフォームは、多くの中堅企業の情シス担当者、ひいては企業全体の力強い味方になることだろう。

 「グローバル展開する製造業や、多店舗展開する流通小売業、無線LAN環境を拡充したいホテルチェーン、地方自治体、学校など、これまでソニックウォールは多くの企業、団体から支持を頂き、国内約600社のパートナーさまが日々お客さまをサポートしています。今後、高度化・巧妙化するサイバー攻撃に対して効率的・合理的に対応できる製品を提供することで、日本全体のセキュリティの底上げに貢献していきたいと考えています」(本富氏)

Copyright © ITmedia, Inc. All Rights Reserved.


提供:ソニックウォール・ジャパン株式会社
アイティメディア営業企画/制作:@IT 編集部/掲載内容有効期限:2020年3月4日

RSSについて

アイティメディアIDについて

メールマガジン登録

@ITのメールマガジンは、 もちろん、すべて無料です。ぜひメールマガジンをご購読ください。