ニュース

パロアルト、ゼロトラストネットワークセキュリティの必要性をアピール

〜内部からの漏えいなど、従来型セキュリティでは守り切れない時代に

パロアルトネットワークス合同会社 技術本部長 乙部幸一朗 氏

 パロアルトネットワークス合同会社は、「ゼロトラスト・ネットワーク・セキュリティ」の必要性をアピールするプレスラウンドテーブルを開催した。

 ゼロトラスト・ネットワーク・セキュリティは、調査会社Forrester Research社が提唱した概念で、企業ネットワークを外部から守るだけでなく、内部、外部ともに守る必要があるという考えで構築されている。

 パロアルトでは同社の次世代ファイアウォールを活用し、社内ネットワークも含めて可視化し、CSIRTや情報システム部門で監視する体制が必要だと説明。「その際、当社の次世代ファイアウォールにあるアプリケーション識別機能がメリットとなり、どんなアプリケーションでどのくらい通信が行われているのかを把握することができる」と同社の技術本部長の乙部幸一朗氏は指摘する。実際に最近起こっている情報セキュリティがらみの事件では、従来型セキュリティでは守り切れなかった事例が出ており、「次世代型セキュリティプラットフォームへの切り替えが必要な時期に来た」と訴える。

 会見の冒頭、乙部本部長は、「現在の企業のセキュリティ対策は、人気漫画『進撃の巨人』の世界観と同じような状況にあるのではないか」と話した。

 「進撃の巨人」では人間を襲う巨人の攻撃から逃れるため、人間は高い塀に囲まれた環境で暮らさざるを得なくなっている。しかし、巨人は外部からではなく内部からも現れるため、高い塀による防御だけでは巨人の攻撃を防ぐことができない。

 「これまでのセキュリティ対策も、外部からの攻撃を守るためにファイアウォールを活用してきたが、外部だけではなく内部も見ていかなければならない時代になったという点で、進撃の世界と共通点があるように感じた。」

ゼロトロラストネットワークとは
情報セキュリティの方針転換の時期

 実際に外部からではなく、内部から情報が流出した事例として、韓国で1億件以上のクレジットカード情報が盗まれた事件を紹介。「これはマルウェアではなく、カード会社がアウトソーシングしていたセキュリティ会社の社員がデータを持ち出したことで起こった事件。情報流出は外部からの攻撃によってだけではなく、内部からも起こっている。米国で起こったTARGETの情報流出も、取引先の空調会社への攻撃を発端として、POS端末にマルウェアを仕込んで行われた。これも従来型の防御だけでは守り切れなかった。」

 こうした内部からの情報流出に備えるために、Forrester Research社のジョン・キンダーヴァーグ氏が開発した「ゼロトラストネットワーク」というモデルの導入が必要だとパロアルトでは強調する。ゼロトラストネットワークは性悪説的な考え方のもと、ユーザー、パケット、インターフェイス、ネットワーク全てに、常に疑いを持って接するセキュリティ対策だ。

次世代ファイアーウォールによるセグメンテーション

 構築するためのポイントとして、(1)全てのリソースは社内・社外ネットワークの区別をせずに、安全な方法でアクセスさせる、(2)アクセスコントロールは、「必要な情報だけを知ること」ということをベースに厳密に適用する、(3)検証して、信頼しないことを前提とする、(4)すべてのトラフィック、パケットを検査するとともにログを取る、(5)ネットワークは「最も機密性の高い情報は何か」「そこに対してどう保護できるか」を起点に、内側から外側に向けたアプローチをとるという5点を挙げている。

 「これまではファイアウォールに守られた塀の中は安心という認識だったが、既に塀の中に脅威が入り込んでいる、もしくは今後入り込んでくるという前提へ、方針転換をする時期に差し掛かっているのではないか。ネットワーク全体を可視化し、何が流れているのかをチェックすることで、穴を見つけることができる。当社の次世代ファイアウォールは、アプリケーション検知機能を持っているので、どのアプリケーションからどれくらいのネットワーク利用があるのかを可視化できる。その内容を監視し、トラブルを未然に防ぐことができる。」

 また、これを実現するために、出来るだけシンプルで多層防御が可能なセキュリティ設定を実施することが、コストを最小限に抑えるためにも必要なことだとしている。

 ゼロトラストネットワークを実践したセキュリティ対策を取っている企業もすでに登場しており、パロアルトの顧客である大手外資系保険会社では、従来は東京本社と支社の大阪で合計8台のファイアウォールを導入していた。これを、コストの見直し、内部を見ないセキュリティ対策から、可視化による内部管理も含めたセキュリティへの移行を目的にパロアルトの次世代ファイアウォールへの切り替えを行った。

 その結果、ファイアーウォールは4台に統合し、全端末間ではないが、必要な部分のネットワークログを取り、情報を可視化した。従来よりも運用コストを下げながら、より多くの監視体制を構築することに成功した。

導入事例 大手外資系保険会社の導入前の状況
導入事例 大手外資系保険会社の導入後の状況

 また、パロアルトネットワークスでは今年3月にイスラエルのCYVERA社を買収。現在の次世代ファイアーウォール、セキュリティクラウドに加え、次世代エンドポイント製品まで含めたセキュリティプラットフォーム提供を計画している。

 「次世代ファイアーウォールだけでは守ることができない、End to Endを守る体制を持つことができるようになる。さらに、ネットワーク部分、エンドポイントから集めた情報を使って、脅威の分析、フィードバックをいち早く行うクラウドサービスが実現するようになる。」

パロアルトネットワークスが提唱する次世代セキュリティプラットフォーム

(三浦 優子)