ネットワークを安全な内部と危険な外部に分けて対策する境界セキュリティ防御は、テレワークやクラウド利用が広がる現在、効力を失いつつある。ユーザーや機器が社内外の超分散環境に点在する状況に適した企業向けのITセキュリティとはどのようなものなのだろうか。エンドポイントセキュリティが必要なのではないか。
従来、企業のITセキュリティといえば「境界セキュリティ対策」が一般的であった。ネットワークを安全な内部(ローカルネットワーク)と危険な外部(インターネット)に分け、これらをつなぐ境界線に強力な防御システムを設けるという考え方だ。近年はファイアウォールやIPS(Intrusion Prevention System)、アンチウイルス、Webフィルタリングなどを重ねた多層防御が主流となっており、ゲートウェイで集中的に内部を保護する手法が長く採用されてきた。
この手法は、標的型攻撃の登場によって欠点が目立つようになった。サイバー攻撃が高度化し、境界セキュリティを突破して内部に侵入されるケースが増えてきた。内部は無防備なため、ひとたび脆弱(ぜいじゃく)なところから侵入されると、容易に攻撃や感染を広げられてしまう。
そこで注目されたのが「内部対策」である。次世代型ファイアウォールや次世代型アンチウイルス、EDR(Endpoint Detection and Response)や統合ログ監視など、「企業内部であっても安全なわけではない」という考え方、対策が浸透してきた。
「現在の企業システムでは、クラウドが活用され、スマートデバイスが普及し、テレワークも主流になりつつあります。社外のデバイスから社内にアクセスしたり、パブリッククラウドを利用したりすることも一般的になっています。全てのアプリケーションをクラウド化しようとする組織も増えています。全てのITがクラウドへ移行し、リモートから利用する姿が当たり前になれば、もはや境界セキュリティ対策は存在し得ないと言っていいでしょう」と、ソニックウォール・ジャパン 社長の本富顕弘氏は指摘する。
SonicWallは、UTM(統合脅威管理)や次世代型ファイアウォール、リモートアクセスVPNなどの技術、製品で世界的に知られ、テレワークのニーズが急増する中で出荷台数を伸ばしている。ゲートウェイセキュリティを代表するSonicWallが、自らその不足を指摘して、新しいセキュリティ対策を提唱している。それが「Boundless Cybersecurity」である。
テレワークとクラウドサービスが主流になれば、組織内部を通過してアクセスする必要はなく、全てがインターネットで完結することが望ましい。従ってネットワークやセキュリティも、インターネット上でサービスとして提供される方がよい。そうした考え方は「SASE(Secure Access Service Edge)」として知られている。またデバイスも場所も「全てを信頼しない」という前提でアクセスを徹底的に制御する「ゼロトラストネットワーク」の考え方も重要だ。
SonicWallのBoundless Cybersecurityは、こうした考え方をベースに同社が長年にわたって培ってきたセキュリティの技術やナレッジ、ノウハウ、知見を統合して提供するものだ。具体的には、クラウドアプリケーションを監視、保護する「Cloud App Security」、クラウドサンドボックス「Capture ATP」、次世代ファイアウォール「FWaaS」などを含むセキュリティ対策を提供するクラウドサービス、次世代アンチウイルス/EDRなど端末にインストールするソフトウェア「Capture Client」、仮想アプライアンスとしてクラウド上にも展開できるSSL-VPN装置「Secure Mobile Access」、これらを統合するクラウド型管理ツール「Capture Security Center」で構成される。
「多様なエンドポイントとクラウドに散在する“超分散環境”を、超分散型のセキュリティ対策で包括的に保護するのがSonicWallのBoundless Cybersecurityなのです」(本富氏)
テレワークのニーズが高まっている昨今では、対策が不足しているデバイスを狙うケースが多いため、エンドポイントセキュリティが非常に重要だ。
加えて攻撃テクニックも高度化している。従来はOfficeファイルのマクロを悪用したものも多かったが、最近ではショートカットファイル(.lnk)やリッチテキストファイル(.rtf)にスクリプトを埋め込むタイプも増えている。実行ファイル(.exe)形式のものよりも、Windowsの「PowerShell」などを悪用する“ファイルレス”マルウェアが主流になっている。さらにこの数年ではCPUの脆弱性を突いた攻撃も登場するなど、セキュリティのフォーカスはディスク/ファイルからメモリ/CPUへと移行している。
Capture Clientは、防御のための次世代アンチウイルス技術と対処のためのEDR技術を組み合わせたソフトウェアで、上述したBoundless Cybersecurityプラットフォーム/次世代ファイアウォールと高度に連携し、エンドポイントの可視化とセキュリティ管理、暗号化トラフィックの検知、脅威からの保護を包括的に提供するものだ。
Capture Clientの次世代アンチウイルスは、現代で主流となっているAI/機械学習をベースとしたもので、旧式のパターンマッチングでは検知できない脅威も防ぐことが可能である。機械学習技術を応用した振る舞い検知機能も搭載しており、高度な動きを見せるマルウェアも的確に把握できる。AI/機械学習はベースとなるデータが重要であり、SonicWallは長い歴史の中で蓄積してきた脅威インテリジェンスを生かして、高い精度を実現しているという。
EDR機能には先進的なEDRベンダーSentinelOneの技術が組み込まれており、セキュリティ侵害への対処機能が充実している。中でも「ロールバック機能」は特長で、ランサムウェアなどで不正に暗号化されたファイルを簡単に復旧したり、USBメモリなどの外部デバイスの接続を柔軟に制御したりすることもできるという。
「近年のサイバー攻撃は暗号化されているケースが増えています。SonicWallの次世代ファイアウォール/UTMは暗号化された攻撃トラフィックも検査可能ですが、クライアントのWebブラウザにDPI-SSL(Deep Packet Inspection SSL)証明書をインストールしなければ警告が表示されて、業務生産性に悪影響を及ぼす可能性があります。かといって証明書を手作業で展開すると負荷が高く、煩雑になってしまいます。Capture ClientはDPI-SSL証明書の配布をサポートする機能を備えているため、利便性を損ねず容易に実装することができます」と、ソニックウォール・ジャパン SE部 セキュリティエンジニアの正岡剛氏は説明する。
UTM/次世代型ファイアウォールと連携して、Capture Clientがインストールされていない/稼働していないクライアントはアクセスが制限される「ファイアウォール強制」機能も盛り込まれている。仮にエンドポイントのセキュリティ対策ツールを封じるマルウェアに侵入されたとしても、それ以上の攻撃を防ぐことができるというわけだ。
SonicWallのエンドポイントセキュリティは、それ単体としても高度な機能が搭載されているが、Boundless Cybersecurityプラットフォームとの連携が要である。特に注目したいのは、クラウドサンドボックスのCapture ATPとの連携による未知の攻撃への対処だ。
端末にマルウェアが侵入すると、Capture Clientの静的AIエンジンが「被疑」として検知し、Capture ATPとの情報連携が開始される。まずハッシュ値を参照して既知の脅威かどうかを検索し、該当するものがなければCapture ATPへデータをアップロードする。
Capture ATPの脅威インテリジェンスは、世界中に広まっているSonicWallのゲートウェイセキュリティ、Wi-Fiセキュリティ、エンドポイントセキュリティなどから集められた膨大なデータによって構成されており、たとえ未知の脅威であっても的確に攻撃活動を判別できるという。この判定がCapture Clientへ伝達され、該当のマルウェアが駆除されるといった具合だ。
Capture ATPの検査エンジンには、現実のクライアント環境を高度にエミュレートする技術が盛り込まれており、最新の「RTDMI(Real Time Deep Memory Inspection)」技術もその一つだ。これはサンドボックス上でメモリをエミュレーションするもので、上述したメモリをターゲットとしたマルウェアの検知、分析が可能になるという。
「Capture Clientはクラウド型管理ツールのCapture Security Centerから統合的に管理して、デバイスや脅威の全容を可視化できます。インシデントの際も、対処を含めて詳細に分析し、ボタン1つでリモートから被害を修復できるように構成されています。アプリケーションのブロックリスト/許可リスト化も容易で、脆弱性情報を管理したり、必要に応じて当社の脅威インテリジェンスを参照したりできるようになっています」(正岡氏)
SonicWallはCapture Clientを単体で導入する「Basic」プランを用意しているものの、導入を検討する企業には、クラウドプラットフォームや脅威インテリジェンスを最大限に活用できる「Advanced」プランを薦めている。同社は、理想的なBoundless Cybersecurityの実現を目指して、さまざまな技術、製品の開発を継続し、Capture Clientとの連携も強化していく予定だ。
「現代の“超分散環境”を保護するためには、セキュリティも“超分散型”であることが重要です。エンドポイントだけであらゆる脅威から組織を守れるわけではなく、ゲートウェイセキュリティやクラウドセキュリティと高度に効率良く連携させることが重要です。SonicWallのBoundless Cybersecurityは、無限に広がる企業ITを包括的に守るためのセキュリティソリューションなのです」(本富氏)
Copyright © ITmedia, Inc. All Rights Reserved.
提供:ソニックウォール・ジャパン株式会社
アイティメディア営業企画/制作:@IT 編集部/掲載内容有効期限:2020年10月16日