2019年1月18日 06:00
弊社刊「クラウド&データセンター完全ガイド 2019年冬号」から記事を抜粋してお届けします。「クラウド&データセンター完全ガイド」は、国内唯一のクラウド/データセンター専門誌です。クラウドサービスやデータセンターの選定・利用に携わる読者に向けて、有用な情報をタイムリーに発信しています。
発売:2018年12月22日
定価:本体2000円+税
本社・支社間とデータセンター、それらを外部に接続するインターネット回線、それぞれのネットワークの境界を守るのが、これまでの典型的なセキュリティの形だった。しかし、企業が各種のクラウドサービスを利用するようになり、“ 働き方改革” でモバイルやテレワークの利用も増えるなど、企業のネットワークの形は大きく変化している。こうした変化に対応する、新たなネットワーク/クラウドセキュリティを見ていこう。 text:渡邉利和
ネットワークのレベルで外部からの侵入を防御するという手法は、社内LANがインターネットに接続されるようになって以来の伝統的な手法だ。最初期に実用化されたのはファイアウォールで、元々は火災の際の延焼防止のために設置された“防火壁”という名前を転用したことからも分かるとおり、「外部の危険を内部に持ち込まない」「遮断する」という発想に基づくものだ。
一時期は、社外に持ち出したPCの盗難や紛失に起因する個人情報漏洩問題が大きな関心を集めたことから、企業では「PCの社外持ち出し禁止」といった消極的な防御策を導入し、生産性を犠牲にしてもセキュリティを維持するという方向に向かってしまっていた。しかし、昨今は働き方改革推進などの流れから、改めてモバイルワーク/テレワークの実現に関心が集まりつつあり、それに伴ってPCなどの社外持ち出しなども解禁されつつあるようだ。こうした状況を踏まえて、ネットワークレベルでの防御についても改めて検討する必要があるだろう。
これまでのセキュリティ対策としては、モバイルワーク/テレワークも全て社内LAN内部に引き込むという手段で、実装方法としてはVPNなどを利用していったん社内LANに入り、そこから必要に応じてインターネットを利用する、というスタイルが多かった。社内に既設のアクセスポイントなどがあればすぐに利用可能であり、ある意味簡便ではあるが、効率性や生産性向上といった観点からは疑問も残る。業務アプリケーションやデータがオンプレミスにあるのであればともかく、今時はクラウドをどう活用するかが企業に取っても大きな課題となっている状況だからだ。
クラウドを活用するのであれば、社外にいるユーザーが一度社内LANを経由してクラウドにアクセスするのは無駄が大きい。社内LANとインターネットを接続しているWAN回線に無駄なトラフィックが流れることになるし、遠回りすることでモバイルアクセスユーザーによってはパフォーマンス/レスポンスが低下することになる。直接クラウドサービスにアクセスする方が経路としては直行で無駄がないことになるが、モバイルユーザーが直接クラウドにアクセスしている、という状況はネットワークレベルの保護がなく、クライアントの端末にインストールされたエンドポイントセキュリティ製品が頼みの綱ということになる。
そこを補うためにセキュリティもクラウドサービスで提供する、という手もある。簡単なイメージで言えば、クラウド上に用意されたセキュリティゲートウェイを経由して通信を行なう、という形だ。この場合、クライアント端末とセキュリティゲートウェイの間の通信回線の安全性がリスク要因になるが、通信事業者の適切なサービスを選んで通信経路の保護が可能な回線で接続するか、あるいはセキュリティゲートウェイとの通信をhttpsで行なうなどの手段で対応することになるだろう。前述の通り、現状ほとんどの攻撃はウェブサーバーを介して行なわれるか、あるいはメールの添付ファイルとして送付されてくる。これを前提として考えるなら、モバイルユーザーの保護のためにクラウド上にセキュアなプロキシサーバーを準備するだけでもセキュリティレベルの向上に繋がるという考え方もできるだろう。
SD-WANを活用した統合セキュリティ
現在では、そもそも社内LANというものの位置付けが従来とは大きく様変わりしつつある。かつてはオフィスの一角にマシンルームが設置され、オフィス内の各席からマシンルームまで有線イーサネットで接続されている、といった教科書に出てくるような「社内LAN」がそこかしこに見られたものだが、現在は有線接続されているのは無線LANアクセスポイントのみで、クライアントPCはすべてWi-Fiによる無線接続、という形も珍しくなくなっている。こうした環境では、IT部門が運用管理するのはWAN接続のためのアクセスルータと無線LANアクセスポイントのみ、ということになっていたりする。さらにこれを各社が提供するSD-WANサービスで運用していたりすれば、社内の無線LANアクセスポイントの設定などもクラウドからリモートで行なう、といったスタイルになる。
当然、セキュリティ機能の導入や運用もクラウドから、という形になるし、セキュリティ機能についてもサービス提供事業者が用意するメニューから選ぶ、あるいはマネージドセキュリティサービスの形ですべて任せてしまう形もあり得るだろう。
IIJの「IIJ Omnibusサービス」(図1)は、「企業ネットワークに必要な機能を仮想化し、クラウド上で提供するSDN/NFVサービス」と説明される包括的なネットワークサービスであり、セキュリティ機能はその一部として提供される形だ。さらにIIJ GIOやMicrosoft Azure/Office 365、Amazon AWSといった主要クラウドサービスと閉域網でセキュアに接続する「クラウドエクスチェンジ」といった機能があるため、「クラウドサービスをセキュアに活用したい」というニーズにも対応可能だ。
また、IIJはMVNOとして携帯電話網を運用する通信事業者でもあるため、モバイルワーク/テレワーク向けの回線をカバーすることも可能だ。「IIJフレックスモビリティサービス」では、パフォーマンスを最適化し、冗長化符号を追加することである程度のパケットロスの際も「切れない」VPNを実現するなど、モバイルワーカー向けのサポートも充実させている。ファイアウォールやウェブフィルタリング、後述するCASBといったセキュリティ機能もモジュールとして提供しており、ユーザーのニーズに合わせてさまざまな組み合わせでの運用が可能だという。
このような包括的なSD-WANサービスに関しては、既存の社内LAN環境を維持したまま一部機能を追加するという使い方よりも、新たなクラウドスタイルのネットワークサービス活用に全面的にシフトするような形の方がメリットを引き出しやすいはずだ。その意味では、「クラウド時代のセキュリティを再考する」という文脈よりも、「クラウド時代の新しいネットワークサービス(セキュリティも当然含む)を検討する」という文脈で見るべきサービスだろう。
企業の社内LANがほぼ無線化されている状況に対応し、新たなセキュリティフレームワークとして提供されているのがHPE Arubaの「Aruba 360 Secure Fabric」(図2)となる。ネットワークソリューションとセキュリティソリューションを組み合わせて多層防御を実現することを狙ったもので、同社のネットワークセキュリティソリューション「Aruba Secureコア」と次世代NAC(Network Access Control) ソリューション「Aruba ClearPass」を中核とし、パートナープログラム「360 Security Exchange Partner」参加のセキュリティ企業のソリューションを組み合わせて提供する。ネットワーク機器自体はマルチベンダー対応も可能だ。
現在の無線LANアクセスポイントは多機能化が進んでいる上、接続する無線LANクライアントの位置情報やトラフィックの統計情報など、さまざまな情報を取得している。こうした情報をセキュリティ分析に活用することで、普段と異なる振る舞いをいち早く検知するなど、より高度なセキュリティ対応が可能になる。そのためにも、無線LANに閉じた対応でセキュリティを考えるのではなく、幅広いパートナー企業との連携で寄り高度なセキュリティを実現しようという取り組みは正しい方向性だと言えるだろう。エンタープライズ向けの無線LAN市場では大きな存在感を示すArubaならではの取り組みと言えるかも知れない。
クラウド利用をコントロールするCASB
CASB(Cloud Access Security Broker:キャスビー)は、2012年に米国のICTアドバイザリ企業であるGartner(ガートナー)が提唱したセキュリティのコンセプトだ。さまざまなクラウドサービスが並列的に活用される環境下で、企業が一貫したセキュリティポリシーを運用できるようにすることを目的に、ユーザーとクラウドサービスの間に単一のコントロールポイントとなるCASBを置き、認証やシングルサインオン、アクセス制御、データ暗号化、ログ取得、マルウェア対策など、クラウドへのアクセスに際して必要なセキュリティポリシーを適用する役割を担うものとされる。ごく単純化してしまえば、クラウドサービスにアクセスするためのセキュリティゲートウェイのようなものだとイメージしてもよいのかもしれない。
CASBの必要性が唱えられた背景には、クラウドサービスがまずコンシューマー向けサービスとして急速に発展し、これを企業内ユーザーがそれぞれ独自に業務に活用し始めた、いわゆる“シャドウIT”問題がある。クラウドサービスはそれぞれ独自のセキュリティポリシーで運用されており、かつ利用する企業内ユーザーのセキュリティ意識もまちまち、という状況では企業として一貫したセキュリティポリシーに基づいて業務を遂行することはできない。そこを塞ぐためのコンポーネントとしてCASBが構想されたと考えることもできるだろう。
CASBの実装としては、オンプレミスのソフトウェア製品として、オフィスからクラウドへ出て行くゲートウェイの位置で運用する例も考えられるし、クラウド側でサービスとして運用する形もあり得る。
マカフィーは、米Skyhigh Networksを買収してCASB製品をラインナップに加え、日本国内でも展開している。同製品はまず「McAfee Skyhigh Security Cloud」として提供された後、同社の新たなブランドとなるMVISIONを冠した「McAfee MVISION Cloud」(図3)と名称変更されている。
CASBの基本的な機能とされる「可視化」(シャドーITの認識やクラウド宛トラフィックの把握)、「脅威防御」(情報漏洩阻止など)、「コンプライアンス」(法規制や社内セキュリティポリシーへの準拠)、「データセキュリティ」(アクセス制御など)の4機能を網羅するソフトウェア製品で、オンプレミスでの運用も、クラウド環境上への展開もどちらもカバーするなど、柔軟な構成に対応する。また、クラウド上に機密データを暗号化して保存しておき、ユーザーがアクセスした際には自動的に復号してアクセスすることで検索などにも対応可能とするなど、クラウドのセキュリティを維持しつつ使い勝手は低下させないような工夫も見られる。
日本ではソフトバンク・テクノロジー(SBT)が、McAfee MVISION Cloudのマネージドセキュリティサービス「MSS for CASB」を、2019年3月に提供する予定を発表している。SBTでは、Office 365などのクラウドソリューションの導入実績や各種マネージドセキュリティサービスのノウハウをMVISION Cloudに加え、マネージドセキュリティサービスとして提供する。
攻撃の予兆をログから検出するSIEM
セキュリティ分野で注目が高まっているもう一つのトレンドが、SIEM(Security Information and Event Management)だ。SIEMは、さまざまな機器から収集されたログなどの情報を解析し、通常と異なる挙動や外部からの攻撃の予兆/痕跡を見つけ出そうとする手法だと考えてよいだろう。
前述したEDRと似た考え方とも言えるのだが、EDRが“Endpoint”と明記していたのに対し、SIEMはエンドポイント限定ではなく、ファイアウォールやルーター、無線LANアクセスポイントなど、ネットワークインフラ全体を対象とするより包括的な視点になる点が違いだと言える。最近では、膨大なログ情報などを解析するためにAI /機械学習の技術を活用できるようになってきていることから、急速に精度や使い勝手が向上しており、注目が高まっている。
スプランクの「Splunk Enterprise Security」は、データ解析に主眼をおいた「分析主導型SIEM」だと説明される。同社はもともと「マシンデータからアンサーを導き出す企業」であり、ログデータなどを収集して蓄積/分析するためのデータプラットフォームを中核製品とする。その上で、データプラットフォーム上で稼働するさまざまな分析アプリケーションも提供するというビジネスだ。
Splunk Enterprise Securityも同様の構成で、データプラットフォームとセキュリティに特化した分析アプリケーションの組み合わせだと考えれば良いだろう。同社は市場調査ではSIEM分野におけるリーダー的存在と評価されているとも言われ、特に日本ではセキュリティ目的で導入される例が多いという。マクニカネットワークスでは、シマンテックのプロキシ製品「Symantec Proxy SG」を対象として、Splunk Enterprise Securityによるセキュリティ対策に有用なレポート作成やログ分析を支援するソリューション「プロキシログ分析 はじめてセット」(図4)を提供している。
Splunk Enterprise Securityは、データプラットフォーム自体はセキュリティに特化したものではなく、ログデータなどのマシンが自動的に出力する形式のデータを効率よく扱うよう工夫されたもので、機器の運用状況の監視や異常検出など、ITインフラ全般の運用監視や、さらに製造現場やIoT分野などへの応用も行なわれている汎用性の高いものだ。将来的な発展の余地が大きいという意味では面白い製品だと評価してよさそうだ。
このほか、モバイルワーク/テレワークに対応したソリューションとして、NTTコミュニケーションズの「モバイルワークスペースソリューション」などが包括的なサービスを提供している。新たに追加された「働き方改革対応ソリューション」では、セキュリティソリューション「Enterprise Mobility+Security」やSSL-VPN、シンクライアントとファットクライアントのそれぞれの長所を組み合わせた「セキュアドPC環境」など、さまざまなコンポーネントを組み合わせてモバイルワーク/テレワークをセキュアに実現する環境構築を手がける。
シマンテックでは、クラウド型のセキュリティサービスとして「Symantec Web Security Service(WSS)」(図5)や「Symantec Email Security Service(ESS)」を提供している。これらは、ウェブアクセスやメールの送受信をエンドポイントとインターネットの間で直接実行してしまうのではなく、一度セキュリティベンダーのクラウドサービスで中継することで各種のセキュリティチェックやレピュテーションデータを踏まえたアクセスコントロール機能などを提供するものだ。
クラウドサービスの形で提供されるため、社内/社外を問わず同じように利用できる点もモバイルワーク/テレワークに向いた点だと言える。
メンローセキュリティの「Menlo Security Isolation Service」(図6)は、いわゆる“ウェブ分離”をクラウドサービスとして提供する取り組みだ。ウェブアクセスを中継するプロキシサーバーとして動作し、ウェブコンテンツに含まれている動的コンテンツなどを解析/変換して無害化した上でユーザーに転送することで、ウェブサイトにアクセスしたことでマルウェアに感染するような被害を阻止する。日本でもマクニカネットワークスやラックがソリューションを販売している。
ウェブコンテンツのレンダリングをサーバー側で実行し、最終的に生成された表示情報を画像として配信する形のシステムもあるが、Menlo Security Isolation Serviceでは完全に画像化してしまうのではなく、特許取得済の独自技術であるACR(Adaptive Clientless Rendering)によって無害化されたDOMツリーを生成することで、クライアント側での使い勝手を極力犠牲にすることなく(たとえば、テキスト情報のコピー&ペーストなども問題なく実行できるなど)セキュリティを維持できるという。
ネットワークレベルのセキュリティは、現在では広範な概念を包括するようになってきており、視点の置き方によってまったく異なる様相が見えるような状況になってきている。「ネットワークセキュリティ」と言えば通常は「ネットワークを保護する」という意味になりそうなものだが、現在ではネットワークという中に社内LANはもちろん、モバイルユーザーが利用する公衆回線網やクラウドサービスなども含まれてくる。また、視点を変えて「ネットワークで守る」「クラウドで守る」セキュリティもあり、従来からあるマネージドセキュリティサービスに加え、セキュリティをクラウドサービスとして提供するベンダーが増加している。扱う対象が広範にわたり、対応は簡単ではないが、広い視野で最新情報を収集していくことが大切だろう。