Fortinetは、VPNなどセキュリティ機器の脆弱性を狙う攻撃を減らす方法をどう考えているのか：セキュリティ・アディッショナルタイム（49）

セキュリティ人材不足、IT人材不足はたびたび指摘され、VPNなどセキュリティアプライアンスの脆弱性を狙った攻撃が近年頻発している。今の課題について「2022年クラウドセキュリティレポート」を基にFortinetに聞いた。

[高橋睦美，＠IT]

　あらためて言うまでもなく、今、多くの企業がクラウドを活用しての企業変革、デジタルトランスフォーメーション（DX）に取り組んでいる。「企業はそれぞれ異なる目的を達成するために、それぞれ異なる形でパブリッククラウドやSaaSを活用し、ビジネスの在り方や運用を変革しようとしています」と、Fortinetでプロダクトマネジメント担当 シニアバイスプレジデントを務めるロバート・メイ氏は語った。

　FortinetがCybersecurity Insiderに委託し、世界の企業担当者やサイバーセキュリティ専門家を対象に実施した調査結果「2022年クラウドセキュリティレポート」によると、回答企業の39％はワークロードの半分以上をクラウド環境に移行済みだ。そして残る58％も、今後1年〜1年半の間に同様に半数以上のワークロードを移行する計画だという。また、単一のクラウド利用にとどまるケースは27％と少数派で、マルチクラウド（33％）やハイブリッドクラウド（39％）など複数のサービスを統合するケースがほとんどだ。

　もはや語り尽くされていることだが、クラウドでは、これまでのオンプレミスのITインフラに比べて初期投資が少なくて済み、CAPEX（Capital Expenditure：設備投資）モデルからOPEX（Operating Expense：運営費）モデルに移行できる。さらに、新たなサービスやアプリケーションを迅速に導入し、容易に拡張できるといったメリットがある。

　2022年クラウドセキュリティレポートを見ても、クラウド導入の効果として「柔軟なキャパシティーとスケーラビリティ」（53％）、「アジリティの向上」（50％）、そして「可用性と事業継続性の強化」（45％）といった項目が挙がっている。ビジネス観点でも、市場投入までの期間を短縮できたり、顧客ニーズに対するレスポンスを向上させることができたりといった効果が得られる。

　一方、そんな「クラウドジャーニー」の歩みを進めるに当たって、しばしば課題とされてきたのがセキュリティだ。企業にクラウド導入に当たっての障壁を尋ねたところ、トップは「人材リソースや専門知識の不足」で40％だったが、続けて「法律や規制へのコンプライアンス」（33％）、「データセキュリティ、データ損失／漏えいのリスク」（31％）という回答が続いた。

　セキュリティ専門家からは、クラウド環境の「可視性の欠如」を課題として挙げる声が49％に上った他、「コントロールが不十分」とする意見も42％と目立った。クラウドのメリットと表裏一体の関係といえそうなのが、パブリッククラウド環境における課題感だ。セキュリティ専門家のうち62％が「クラウドプラットフォームの設定ミス」こそ最大のリスクだと指摘しており、優先課題と捉えるべきだと回答している。

（提供：Fortinet）

　そして、複数のサービスにまたがる環境が広がる故の課題として、「全てのクラウド環境を網羅した総合的な製品を導入、管理するためのスキルの確保」を挙げる声も61％に達している。

クラウドを前提とした環境の保護に向けて何ができるか

　こうした中、Fortinetではクラウド時代を前提とした製品を追加することで、セキュリティをクラウド移行の足かせではなく、加速させる要素にするとメイ氏は語った。

Fortinet プロダクトマネジメント担当 シニアバイスプレジデント ロバート・メイ氏

　Fortinetは長年にわたって、独自OS「FortiOS」と、独自開発のASIC（特定用途向け集積回路）による高いパフォーマンスを誇る物理／仮想アプライアンス製品を提供してきた。ファイアウォールやIDS/IPS（侵入検知システム／侵入防御システム）など統合的なセキュリティアプライアンス製品「FortiGate」を企業の本社やデータセンター、拠点に置くことで、「境界」を守護する形だ。

　だが、徐々にIT環境が拡張するにつれ、運用負荷の増大が問題となってきた。そこで同社は、各製品が連携し、点ではなく面で守っていくアプローチとして、「セキュリティファブリック」を提唱した。

　「さまざまなデバイス、パブリッククラウドも含めた異なるロケーションを接続し、テレメトリー情報を収集して可視化します。これまでの煩雑な運用から脱却し、各ロケーションやパブリッククラウドで何が起きているかを、単一のビューで把握できることが利点です」（メイ氏）

　ここにSD-WAN（Software Defined-Wide Area Network）を追加することで、さまざまな設定作業を自動化し、IT担当者が各拠点に足を運ばなくても簡便に運用できる環境を整えてきた。

　メイ氏によると、Fortinetはさらに、クラウドを前提にしたセキュリティ機能を追加している。

　具体的にはまず、セキュリティ制御を効かせつつ、リモートワーカーがダイレクトにさまざまなクラウドサービスにアクセスできるようにするSASE（Secure Access Service Edge）がある。既存のSD-WANを組み合わせることで、アクセスの遅延を減らし、高いパフォーマンスを維持しながら、これまで物理的に定義されていた『境界』を、クラウドに拡張するという。

　もう1つは、SASEとも連動したZTNA（Zero Trust Network Access）だ。「厳密かつ継続的なチェックによって、どのようなデバイスが接続されようとしているかだけでなく、端末が最新の状態にあるかどうか、何か変更があればそれがポリシーを満たしているかどうかを確認し、必要に応じて切断します」（メイ氏）

　さらに、Microsoft 365やSalesforce.comといったサードパーティーが提供するSaaSに対するアクセスを制御すCASB（Cloud Access Security Broker）も、クラウド時代のセキュリティを支える重要な要素の一つだ。

　多くのセキュリティベンダーがこの領域に乗り出しているが、Fortinetもこうした製品を包括的に提供するという。「既にSD-WANの領域で多くの実績を持ち、それをベースにSASEやZTNA、CASBをネイティブに統合することで、高いパフォーマンスと厳密なセキュリティコントロールを提供できることが特徴です」（メイ氏）

　例えば、ある北米の金融系企業では同社の製品を活用しつつ、以前はデータセンターで稼働していたアプリケーションを、パブリッククラウドに移行させつつある。トレーディングフロアや本支店間では、UTM（Unified Threat Management：統合脅威管理）や次世代ファイアウォールをベースに高速なパフォーマンスとセキュリティ、信頼性を両立させつつ、拠点の一部は「マイクロブランチ」化し、クラウドベースのATP（Advanced Threat Protection）やZTNAを提供することで、リモートアクセスユーザーのセキュリティを確保するといった具合に、セキュリティを保証しながら段階的に移行を進めている。

VPNなどセキュリティアプライアンスの脆弱性を狙った攻撃を減らす上でも有効

　さらに、クラウド向け製品の強化に加え、提供形態についても「クラウドならでは」の形態を追加することを検討しているという。

　長年にわたって企業のIT環境、セキュリティ環境は、必要な機器やアプライアンスを企業が導入し、環境に合わせて設定して運用することが前提だった。ただ、それには多大な運用負荷がかかる。そこで、こうした運用やメンテナンス、設定変更を顧客に代わって提供するマネージドセキュリティサービスが生まれ、日本でも広く活用されている。

　一方クラウド、特にIaaS環境はどうなっているかというと、事業者と利用企業がそれぞれの責務を果たす「責任共有モデル」を前提としている。ただ、クラウドサービスが提供する各機能をどう組み合わせて設定するかは、企業が作業してきた。

　メイ氏はこの状態をいわゆる「DIY」に例える。「ユーザー自身がライセンスを購入し、初期設定を行い、必要に応じてアップグレードしていかなければなりません」。そこで同社は将来的に、マネージドセキュリティサービスと同様に、Fortinetやそのパートナーがセットアップや設定、メンテナンスを行い、ユーザー自身がこうした作業を行う必要がない状態にしたいと構想している。

　それも、特定のクラウドに閉じるのではなく、複数のクラウドサービスにまたがったユニファイドなサービスを目指しており、これに伴いってセキュリティ機能もまたOPEX型で利用できるようになるとした。

　セキュリティ人材不足、IT人材不足はたびたび指摘されている。その中で必要な製品をそろえ、それぞれを運用して最新の状況に追い付くのは非常に大変な作業だ。同社は、「誰が設定やメンテナンスを行うか」の役割分担を変えていくことで、限られたリソースでもベストプラクティスに沿ったセキュリティ対策となると期待している。

　これは、近年頻発している、VPNなどセキュリティアプライアンスの脆弱（ぜいじゃく）性を狙った攻撃を減らす上でも有効だという。一度導入したものは、業務への影響を考慮してすぐにアップデートするのが難しかったり、その作業を誰がやるかが曖昧だったりして更新が遅れがちだ。その隙を突かれたサイバー攻撃が頻発しているが、こうしたモデルを活用すればリスクを減らす一助になるかもしれない。

　Fortinetでは今後、このように提供モデルそのものの幅を広げ、従来提供したアプライアンスによる保護に加え、SASEをはじめとするセキュリティ機能やその管理、ログのモニタリングやインシデント対応といったSOC（Security Operation Center）機能に至るまでをサービスとして提供する計画だ。この結果、ロケーションに縛られることなく、クラウドを利用してビジネスを変革しようとしている企業を支援し、人手不足の問題も解消するという。