「UTMはもう古い」と断言できるこれだけの理由。中小企業にとって「今」必要なセキュリティ対策とは:ご存じ、セキュリティリサーチャーたちが本音で語る
一時期、主に中小企業の間で、セキュリティ対策の「切り札」ともてはやされた「UTM(統合脅威管理)」。セキュリティ対策にコストをかけられない中小企業にとっては、1台のアプライアンスを導入するだけで多層防御を実現できるという“うたい文句”が響き、急速に導入が進んだ。しかし、その本来の役割を十分に果たしているのだろうか? 現在の中小企業を取り巻くビジネス環境に適した、効果的なセキュリティ対策とはどのようなものなのか? ご存じ、セキュリティリサーチャーのpiyokango氏、SBテクノロジーの辻伸弘氏、シスコシステムズの吉田勝彦氏が語り合った。
piyokango 氏(@piyokango)
インシデントや脆弱性をはじめとしたさまざまなセキュリティ事象のファクトをひたすらに追い求めるセキュリティインコ。Twitterやブログ「piyolog」の他、講演、執筆を通じたセキュリティ情報の発信を10年以上続け、情報通信研究機構公式協力研究インコとして研究にも参画。最近はポッドキャストやClubhouseなど音声発信のコンテンツに注目し、多くの人にリーチすべく活動の幅を広げることにも注力中。
SBテクノロジー 辻 伸弘 氏
コンピュータの専門学校に通いながら、サイバーセキュリティを手探りで学び、侵入テストの仕事に就きたくて上京。現在は、侵入テストだけでなく、事件・事故を調査するセキュリティリサーチの仕事にも携わっている。侵入テストで培った攻撃者視点や分析力と、リサーチで得た情報・知識を基に、執筆や講演などのエバンジェリストとしても幅広く活動する。
中小企業にセキュリティ対策の「切り札」はあったのか?
――一時期、中小企業におけるセキュリティ対策の切り札として「UTM(Unified Threat Management:統合脅威管理)」が注目を集めましたが、実際はどうだったのでしょうか?
piyokango氏 「Emotet」(電子メールを感染経路とするマルウェア)をはじめとする最近のマルウェアの流行を見ても、いまだにうまく対応できておらず、被害はあちこちで起きています。正確な統計情報は持ち合わせていませんが、私が見ている中で被害報告を出している企業は、比較的、企業規模が小さいところが目立っていたと思います。UTMは多機能ですが、中小企業では、なかなかうまく使えていないのではないでしょうか。いろいろな人がUTMを薦めていたなという印象があるんですが、結局、「使っている人が増えたか」と聞かれると、そこは疑問に感じます。
辻伸弘氏(以下、辻氏) 僕はUTMには「動かない」というイメージが強くあります。「ユーザーの要望に頑張って対応し、ファイアウォールもIDS(侵入検知システム)/IPS(侵入防御システム)もアンチウイルスも……とあれもこれも追加したところ、機能は充実したが、全ての機能を動作させると低価格な製品、シリーズだとボトルネックになってしまって、結局それで動かしているのはファイアウォールだけになっている」という残念なケースが僕の周りでもけっこうありました。製品にはラインアップがあるので、上の方のモデルなら動くのかもしれませんが、中小企業にマッチしたスペックの製品だと、全機能を動かすのはちょっと厳しいという印象です。
吉田勝彦氏(以下、吉田氏) Googleによれば、HTTPSの普及などにより現在国内の約96%のトラフィックが暗号化されており、トラフィックの内容を見てウイルスを検知することは難しくなっています。ですので、もうその時点で、UTMの機能の一部は意味をなさなくなっているともいえるかと思います。
――UTMがあったから攻撃を防げた、なんていう話もあまり聞かないですか?
辻氏 あまり聞かないですね。でもそれはセキュリティ製品全般にいえると思います。そもそも入れていたから防げたのか、攻撃が来なかったからなのか、それが分からなくないですか?
piyokango氏 分かりづらいと思います。「不審な通信を幾つ遮断したのか」「本当にそれが遮断されるべきものだったのかどうか」などを調べるには、専門的なスキルと調査に割く時間が必要です。UTMなどセキュリティ製品を導入するのはいいのですが、それがきちんと機能しているかどうかを評価するのは意外と難しいと思います。大企業であればセキュリティ専門の部署で体制を作り取り組まれているかもしれないですが、中小企業では難しいですよね。
辻氏 以前、いろいろな製品の話を聞いて質問するというイベントがあって、「レポーティング機能ってありますか?」という質問をよくしていましたが、中にはあまりレポーティング機能が充実していないと言いますか、もう一声! みたいなものもありましたね。経営者が出ている会議に、「これだけ効果があった」と分かりやすく示せるものがあればいいのにと思っています。中小企業には、「どれだけ手離れがいいか」が重要になってくると思っていて、製品を入れたら評価をレポートで出せるのが理想的です。
――「1台入れれば済む」「中小企業の救世主」として導入が進んだUTMは、実は機能は充実しているものの、重過ぎてパフォーマンスを発揮できないといった理由で、一部の機能しか使われていなかったり、機能が多過ぎて担当者が使いこなすのが難しかったりする上に、導入効果も測れず、その評価も分からないので、結局、中小企業にはただ入れただけの高価な箱になっていたということですね。
クラウド移行やテレワークの普及で変わったこと、変わらなかったこと
――ビジネス環境の変化というのも、企業のセキュリティを考える上で、とても重要な点ではないかと思います。業務アプリに関しても、SaaSによるクラウドサービス利用が増加し、さらには、コロナ禍の影響でテレワークが急増することによって、守るべき範囲が一挙に広がりました。中小企業のセキュリティ対策はますます大変な状況ではないでしょうか。
piyokango氏 どうしても「コロナ禍でテレワークに特化したセキュリティ対策が重要だ」という話になりがちですが、では具体的に何をやるかというと、パッチ管理など、従来の基本的な対策をしっかり取り組むことにまずは尽きます。その上で、より強化すべき点や不足している箇所については、アウトソースも含め新たに投資するのが望ましいのではないでしょうか。
辻氏 テレワークでVPN需要が急増したので、いったん、以前利用していた古い機器を持ち出して使い始めたところ、修正されていなかった脆弱(ぜいじゃく)性を利用されて不正アクセスを受けてしまった事例がありました。こうしたケースはけっこう多いと思うんです。なぜなら、機器を買うのも大変じゃないですか。そんなとき、すぐにスムーズに導入できる、機器を買わなくても利用できるといったように選択肢があるといいんじゃないかなと思います。
オンプレミスで自分たちの機器を抱え、減価償却だ何だと考えていたこれまでに比べて、クラウドはインフラをかなり安くする手段の一つという見方もあります。どこにいても使えるし、脆弱性管理などの手間も軽減される部分もあり、手離れも良い。そういう意味でもクラウドに移行するのは組織によっては選択肢としてよいのではないでしょうか。
――働く場所がオフィスだけではなくなり、業務アプリやサービスがどんどんクラウドに移行している中で、それを相変わらずオンプレミスベースで守るのはやはり限界があるということですね。ところでUTMといえば、「多層防御をUTMアプライアンス1台で実現できる」という“うたい文句”のものもあったと思います。多層防御についてはどうお考えでしょうか?
吉田氏 定義ファイルベースのウイルス対策ソフトウェアでエンドポイントを守るだけでは限界があるという考え方から、ネットワークの境界で複数の対策を講じて、統一されたセキュリティポリシー下で保護する多層防御が救世主的な位置付けになったのだと思います。
piyokango氏 私は、多層防御というのは「何とも重たいな」と思っています。リソースが限られる中小企業では難しいのではないでしょうか。「大企業式多層防御」のような考え方を中小にフィットさせようとしても運用が回りませんよね。
辻氏 そもそも人が多層じゃないですもんね。僕は、多層防御という考え方自体は間違っているとは思いませんが、重きを置くポイントといいますか、バランスの悪さを感じています。最近の攻撃の中にはエンドポイントからスタートするケースも多く見られます。しかし今の多層防御は、ネットワークの境界の防御からという一方通行の考え方に寄り過ぎていると思います。テレワークで利用が増えた、自宅などで使うPCは境界防御の外にあるのに、そこから侵入されないようにコンピュータの管理が行き届いているといえるのか、その広がりを止めることができるのかというと、疑問です。入ってこないようにする防御の部分に重きを置き過ぎて、入ってきた後の対策をおろそかにした「バランスの悪い多層防御」が出来上がっており、それ故にクライアント対策が手薄になっていると思います。
――多層防御は必要なものですが、入口、内部、出口のそれぞれでさまざまなセキュリティ対策をするのはコストがかかりますし、それを管理する人のスキルという観点でも中小企業にとっては課題がありました。そこで「多層防御を1台で実現できるUTM」は、魅力的に映ったということですが、そもそも中小に見合った多層防御の在り方や、急速に変化する「今」に見合ったセキュリティの在り方を検討する段階にあるということですね。
境界線を延伸して、DNSレイヤーで企業のセキュリティを守る「Cisco Umbrella」のアプローチ
――クラウド化促進や、オフィスだけではなく社外でも仕事をするというテレワークの急増の時代になって、セキュリティの在り方が変わってきていると思います。こうした状況を踏まえて、Cisco Systemsでは中小企業のためのセキュリティ対策をどう支援するのでしょうか?
吉田氏 これまでのように、境界での多層防御をエンドポイントにインストールしているセキュリティソフトと組み合わせて対策する、というコンセプト自体は間違っているとは思いません。ただ、対策箇所をこれまでのように回線の出入口に置くのではなく、インターネット接続のすぐ手前のところに延伸しなければ守れないという発想が必要と考えました。その考え方に基づき、インターネット接続に必ず利用されるDNS(Domain Name System)を使って、透過的にフィルタリングする製品があります。それが「Cisco Umbrella」です。
もちろん、対策全体としてDNSでフィルタリングすれば十分といいきるつもりはないのですが、ご存じの通り、DNSは名前を解決するプロトコルで、Webサイトにアクセスする際に常に使用することになります。このため、Windows PCに限らず、あらゆるデバイスを保護の対象にできます。それが社内ネットワークにあろうと、自宅やネットカフェにあろうとです。また、名前解決の時点で悪意のあるサイトをフィルタリングするので、80番ポート(HTTP)や443番ポート(HTTPS)に限らず、全てのプロトコルを保護できる点も特長です。
Cisco Umbrellaは名前解決する際、もし不審なサイトにアクセスしようとしていることが分かればフィルタリングするという単純な仕組みです。それ故に、さまざまなインターネット通信やSaaSの利用を阻害しません。ITの利便性を最大限に享受しながら、セキュリティを透過的に、ユーザーに意識させることなく適用できる点を特にご評価いただいています。
辻氏 こういう仕組みは楽でいいと思います。テレワークの話題のときにも話しましたが、別の製品を買い足したり、より高スペックのものに入れ替えたりするのは中小企業には難しいですが、クラウドサービスならそれをせずに済みます。DNSを使っているのでスムーズに導入できそうですし、クライアントの状況に関係なく、包括的に保護できるのはいいです。あと、これ割と重要だと思うのですが、名前が分かりやすくて良いですよね。「Umbrella」(傘)を差せば、その下で守ってくれるという。
piyokango氏 私も「手っ取り早い対策」として有効だと思います。特定のデバイスに限らずいろいろな製品に応用できるので、費用対効果がかなり高そうですね。ただ、DNSの仕組みをきちんと理解できている人が案外少ないので、「なぜこのサイトが遮断されるんだろう」となったりしたとき、どう確認すればよいかが気になりますね。中小企業の場合はなおさらだと思います。
吉田氏 Cisco Umbrellaには、クラウドベースの管理コンソールやダッシュボードが用意されており、そこで現状を確認できます。経営会議にそのまま提出できるような評価や導入効果を示せるレポートを、ダッシュボードから作成できます。
また、フィルタリングする際に、セキュリティインテリジェンス&リサーチチーム「Cisco Talos」の脅威インテリジェンスから提供されるIoC(Indicators of Compromise:侵入の痕跡)情報を基にしています。
辻氏 ただ、地政学的な背景や攻撃手法の流れといった脅威インテリジェンス全体を使いこなすのは難しいですよね。
piyokango氏 提供側も受け取った側も、まだ多くの人が手探りで脅威インテリジェンスのより良い活用法を試行錯誤している真っ最中という感じがします。
吉田氏 お二人がおっしゃる通り、脅威インテリジェンスを使いこなすのは中小企業じゃなくても難しいですが、Cisco Umbrellaを導入すると、Cisco Talosの専門知識を意識することなく、誰でも活用できます。Cisco Talosには、フルタイムで働くセキュリティ研究者やエンジニアが400人以上在籍し、100社以上のパートナーがおり、1日当たり、6000億の電子メール、160億のWebリクエストを監視して、日々200億の脅威をブロックするのに貢献しているのです。その上、 Cisco Umbrellaはクラウドサービスなので、Cisco Talosの膨大な情報が常に自動でアップデートされます。導入、利用、運用の全てが容易で、手離れも良いのです。
辻氏 Cisco Talosのレポートは僕の興味を引くものも多くて、登録してちょくちょく読ませていただいております。新聞などでサイバー攻撃の報道があると、エライ人がセキュリティ担当者のところにやってきて「こんな事故があったそうだが、うちは大丈夫か」と聞いてくるじゃないですか。そんな「うちは大丈夫か問題」にも、IoCを使えば対応できると思います。
自分たちでは手の回らないところに、手離れが良く、今だからこそ本当に使える製品の活用を
――では、最後に中小企業の方々に向けて、これだけは押さえておいてほしいというポイントをお願いします。
辻氏 UTMのような製品を「導入して終わり」という考え方だけはやめてほしいですね。セキュリティ対策は、無料でできる、例えば堅牢(けんろう)にするための設定や標準の機能を悪用されないようにする取捨選択など、まずそれをやって自分たちの基礎体力を上げる。その上で足りない部分を補うために、サプリメント的に製品を導入することが大切です。やろうとしても自分たちの手には余ったり、コストが高過ぎたりする場合に、メンテナンス性が良く、手離れが良いものを選ぶといったように自分たちに現実的にマッチするものは何かという観点でも選定してほしいと思います。
piyokango氏 私がお伝えしたいのは、セキュリティの事件、事故に遭遇した企業が、事故後にどんなアプローチを取ったのかまで含めて見てほしいということです。これなら、専門的なスキルがなくてもできるはずです。今後どういった対策を取るべきかの参考になるかもしれませんし、逆に反面教師として生かせるかもしれません。「うちは大丈夫か問題」じゃないですが、その後の対応、対策にもぜひ注目してほしいと思います。
吉田氏 Cisco Systemsではさまざまな製品・サービスを通じて、中小企業に寄り添う形でセキュリティ対策を提供します。それも「ITの利活用を支援して、利便性を下げないセキュリティ」を提供することが特長です。しばしば利便性とセキュリティは“てんびん”にかける判断になりますが、そうではありません。IT利活用を阻害するのではなく、安心して促進できるセキュリティをCisco Systemsは提供していきます。
Copyright © ITmedia, Inc. All Rights Reserved.
関連リンク
提供:シスコシステムズ合同会社
アイティメディア営業企画/制作:@IT 編集部/掲載内容有効期限:2021年6月10日