働き方の大変革時代を乗り越える、企業インフラの新たな形（Part 3）

新型コロナウイルスが変えた状況

　これまで見てきたとおり、新型コロナウイルスの世界的な大流行を受けて、全世界的に「リアルからオンラインへ」というシフトが急速に進んだ。とはいえ、日本国内でも多くの企業はここまでの急激な状況変化に対する備えが出来ていた企業はごくわずかで、多くの企業が「泥縄的な」対応を余儀なくされた形だ。そして、そのしわ寄せは主にセキュリティ対策の部分に集中しているようだ。

　たとえば、「急遽在宅勤務ができるような環境整備を行う必要がある」という状況で、「VPN機器の増強が間に合わない」という現実があった場合に「まずは繋がることが最優先。セキュリティレベルが多少下がるのは仕方ない」という判断でVPNを経由しない接続も許容せざるを得なかった、といった話も聞かれた。さすがにセキュリティ的に完全に「ノーガード」状態を許容する例は少ないだろうと思われるが、リソースの重要度や業務の緊急性などのバランスから、平常時であれば許容しないであろうセキュリティレベルの低下を受け入れざるを得なかった例もあったと聞く。

　企業ITシステムのセキュリティに関しては、この数年で「境界防御だけでは守り切れない」という認識が拡がっていた。境界防御とは、インターネットを「危険な外界」、社内ネットワークを「安全な業務環境」と位置付け、インターネット側から悪意あるコードなどが内部に侵入しないよう、その境界線の部分で厳重に防御を固める、というのが基本的な考え方だ。一方で、現在特に脅威レベルの高い標的型攻撃は、無差別なバラ撒きメールではなく、受信者の業務や通常やりとりしているメールの内容などを詳細に把握した上で、受信者がつい開封してしまうような添付ファイルを工夫して送り付けるといった、巧妙な攻撃を行うように進化している。いわば「人間の心理の隙を突く攻撃」であるため、完全な防御は難しい。

　そこで、境界防御は固めつつも、「境界を突破されることはない」という油断はせず、境界を越えて侵入される可能性があることを念頭に置いた対策を講じるべき、と言われるようになっている。こうしたトレンドを示す典型的なキーワードが「ゼロトラストネットワーク」である。

　ゼロトラストネットワークの考え方をシンプルに紹介するなら、従来の「社内ネットワークは基本的に安全」という考え方を放棄し、社内からであってもあらゆるアクセスは全て疑わしいものと見なして、適切な確認プロセスを経た上でないとアクセスを認めない、という考え方だと言える。物理的なセキュリティに例えるなら、従来の境界防御の考え方は、たとえばオフィスビルの1Fの入り口のところでセキュリティチェックを行って不審者の侵入を防ぐものの、何らかの方法でセキュリティゲートの内側に入られてしまうとあとは自由に動き回れてしまう状況に相当する。一方、ゼロトラストの考え方は、入り口のセキュリティゲートは従来同様に運用しつつ、ビル内の各ドア全てにIDカード認証や生体認証などのロックが掛かっており、入り口を突破しても機密情報がある場所には容易に近づけないようになっている状態と言えるだろう。セキュリティに対する意識が高い企業のオフィスではあらゆるドアにセキュリティチェックがかかっているといった状況は珍しくはないので、ゼロトラストの考え方も比較的理解しやすいのではないだろうか。

　現時点では、ゼロトラストネットワークはコンセプトのレベルに留まっている部分もあり、LAN内のあらゆるトラフィックを適切にチェックでき、運用や導入が容易でユーザーの使い勝手を阻害しないといったソリューションは、期待は高いがまだ開発途上にあるという状況だ。従って、現状ではコンセプトとしてのゼロトラストを踏まえつつ、実装可能な仕組みを使って部分的に実現している、という段階だ。

　このように、企業ネットワークに関しては基本的に境界防御は行われており、さらにその限界を見据えた対応も始まっているという状況だったわけだが、これまではあまり想定されていなかった巨大な“セキュリティホール”が突如出現してしまっているのが、現在の新型コロナウイルスの流行下にある多くの企業の現状だ。というのも、事実上の出勤禁止、オフィスの使用停止状態に陥ったことで、社員の大半が在宅勤務に移行したためだ。この状況を先ほどの境界防御の観点から見れば、「保護すべき重要リソースである社員および社員の使用するエンドポイント（PCやタブレット端末、スマートフォンなど）が、防御された社内ネットワークから境界を越えてインターネット側に出て行ってしまった」ということになる。個人宅のサイバーセキュリティ体制は、個々人の考え方に応じてまちまちだと思われるが、基本的には企業の境界防御と同等の保護が行われている例はほぼないと考えていいだろう。ゼロトラストはおろか、従来型の境界防御態勢としてもレベルダウンした状態で業務継続を考えなくては行けない状況というわけだ。

図1：ゼロトラストネットワークに必要となる認証を提供する、アカマイ・テクノロジーズの「Enterprise ApplicationAccess」（出典：アカマイ・テクノロジーズ）

　また、利用されるアプリケーションに関しても、大きく変わったというユーザーも多いのではないだろうか。リモートワーク／在宅勤務のために急遽ビデオ会議システムを使い始めたというユーザー／企業は少なくないはずだ。新型コロナウイルスの流行を受けてグローバルにユーザー数を急増させたZoomを始め、Cisco WebexやGoogle Hangout、Microsoft Teamsなどのビデオ会議システムの利用が拡大したことで、Webカメラが品薄を起こしたという話はともかく、従来はあまり気にしていなかったアプリケーションの脆弱性や意外な個人情報漏洩まで、いろいろなトラブルが出たようだ。

　特に、Zoomでは急速に注目が高まったせいもあってか、ソフトウェア自体の脆弱性に加え、ユーザー側の運用や設定が適切でないことに起因するトラブルや、Zoom社側で不適切な第三者への情報提供を行っていたことが発覚するといった問題も明らかになった。こうした問題はZoom側でも適宜対応を行っており、修正も進んでいるはずだが、IT部門やセキュリティ担当者は引き続き最新情報に注意を払っておく必要があるだろう。

　さらに、運用上の問題の一種として、ビデオ会議システムを利用して部下を常時監視したがる上司がいるとか、プライベートに属する自宅内の様子が映像として公開されてしまうことに起因するトラブルなども報道されている。こうした問題が起こるかどうかは社内の人間関係にも依存する話であり、必ずもITの問題とも言えない面もあるが、今後ビデオ会議システムを活用したリモートワーク／在宅勤務を継続的に行っていくことを想定するなら、こうした問題に対しても適切な対処を考えておく必要があるのは言うまでもない。場合によっては人事や総務、法務といった社内の関係各部署と連携して対応する必要もあるだろうし、最終的には経営トップの判断を要することもあるかも知れない。

クラウド／SaaSによる対応策

　リモートワーク／在宅勤務環境でセキュリティを確保するための方策には、環境に応じてさまざまな手段が考えられる。ここでは、大まかな状況を整理しておきたい。

　社員の自宅を業務用スペースとして利用する場合、必須となるのはインターネット接続、現状ではいわゆるブロードバンド接続と言われるレベルの回線がほぼ必須となるだろう。法人向けの接続サービスと違い、個人向けのインターネット接続サービスに関してはあまりきめ細かなセキュリティサービスが提供されていないことが多い上、接続に使用されるブロードバンドルーターなどの機器もユーザーが自分で管理する必要があることが大半だ。

　最近では「IoTセキュリティ」といった言葉でひとくくりに扱われている例が多いが、ブロードバンドルーターを対象としたサイバー攻撃の手法がいくつか発見されており、メーカーやモデルによってはマルウェア感染のリスクがある製品も存在している。また、メーカーごとに出荷時に設定している管理用パスワードは攻撃者側に把握されているため、出荷時設定のままで運用するのは避けなくてはいけない。最近の機種であれば最初の設置時点でパスワードの変更をユーザーに求めるようになっているが、古い機種をそのまま使っているような場合には出荷時設定から変更せずに使っている場合もあるかも知れない。こうした基本的な注意点について、IT部門のスタッフがチェックするというわけにも行かない状況が大半だと思われるので、ユーザー自身が確認し、適切な設定が行えるような支援の提供について考える必要があるだろう。

　ついで、業務に利用する端末（主にPC）については、ユーザーの個人所有のものか会社支給のものかという違いがある。オフィスで使用していた業務用端末がノート型PCで、それをそのまま社員が持ち帰ることができた、という場合は、VPN経由で社内ネットワークに接続すれば、社内で利用していたセキュリティシステムがほぼそのまま使えるはずなので、セキュリティ的にもオフィスの環境とほぼ同等と考えられる。一方、個人所有のPCを利用する場合、そのセキュリティ確保は難しい問題となる。業務利用開始に当たってセキュリティチェックを行うのも相応の手間や負担が発生するし、ソフトウェア的な環境が一致しないため、IT部門といえども状態把握は簡単にはできないだろう。

　VDIやDaaSといったシステムが運用できるような準備が整っていれば、端末側の環境にはあまり依存しなくなるので対応は容易になるが、こうした環境を準備するのは簡単ではないので、あらかじめそうした環境整備が終わっていて運用フェーズに入っていたという状況でもない限り、急遽準備してすぐに使い始めるというのは難易度が高い。とはいえ、難易度の差をあえて極端に表現するなら、オンプレミスでVDI環境を急遽構築するのは「ほぼ不可能なレベル」と言えるが、DaaSの運用を開始するのは「大変だができないことはない」と言うくらいの差はあるだろう。やはり、ハードウェアの調達が不要な部分が大きな差になってくると見てよいだろう。

セキュリティもクラウドサービスで

　クラウドの利用が本格化するのに伴い、クラウドを安全に利用するためのセキュリティソリューションが求められるようになり、さらにはセキュリティサービスをクラウドで提供するという流れも一般的になってきた。こうした動きは基本的に新型コロナウイルスの流行以前から起こっていたものだが、結果として新型コロナウイルスの流行に備えた準備としても有効なものとなった感がある。

　最初にクラウド関連のセキュリティソリューションとして実用化されたのがCASB（Cloud Access Security Brokers）だ。基本的なコンセプトは「ユーザーと複数のクラウドプロバイダーの間に単一のコントロールポイントを設け、ここでクラウド利用の可視化や制御を行うことで、全体として一貫性のあるポリシーを運用できるようにする」というものだ。基本的には社内ネットワークから複数のSaaSやパブリッククラウドを利用する際に一貫したセキュリティポリシーを維持することを容易にすることを意図したサービスだが、SaaSの利用が急拡大するような局面では効果を発揮することになる。

　また、CASBのコンセプトをさらに発展させたものと位置付けて良さそうな最新のソリューションとしてSASE（Secure Access Service Edge）というコンセプトが米Gartner社から2019年10月に提唱されている。もともとはクラウドでセキュリティを提供して“SEaaS：Security-as-a-Service”を標榜するZscaler社のサービスを意識して構想されたコンセプトとも言われており、同社が“SASE”ソリューション提供の先頭ランナーと見なして良さそうだが、SASEのコンセプトで語られた機能要素全てが実装されているサービスはまだないとも言われており、ユーザーニーズを踏まえて使いたい機能が実装されているかどうかを見極めながら選択する必要があるだろう。

　現在ではPalo Alto Networksも急速にクラウドセキュリティの分野の機能強化に取り組んでおり、SASEもラインナップに加えて展開している。同社のソリューションは複数の製品の組み合わせで構成され、同社の次世代ファイアウォールとの親和性も高いことから、オンプレミスでハードウェアを運用しているユーザーが追加でクラウドサービスを導入する際には有力な候補となるだろう。新型コロナウイルスの流行によるリモートアクセスユーザー数の急増のタイミングの直前に、SASEソリューションが利用可能になってきたというタイミングは幸運とも言えるかもしれない。

　現在のエンドポイントはネットワークに接続されて利用されるのが標準的な状態となっていることもあり、「セキュリティサービスがネットワーク側で実行されている」という状況に違和感を感じるユーザーも減ってきているのではないだろうか。もちろん、エンドポイント保護のレベルを引き上げるためにはエンドポイントデバイス上で実行される従来型のセキュリティ製品も併用すべきなのは間違いないが、今回のようにヒト・モノの物理的な移動に制約が生じる局面では、クラウドサービスのメリットがひときわ輝くことになる。今後クラウドの活用がさらに拡大する方向なのは間違いないので、「クラウド利用をカバーできる」「クラウドサービスとして提供される」両方の意味での「クラウド型セキュリティサービス」の導入を検討すべき時期に至ったと言って良いのではないだろうか。

図2：ZscalerのSASEサービス「Zscaler Cloud Security Platform」（出典：Zscaler）

EDRとエンドポイント保護の融合

　先述した“ゼロトラスト”にも関連するが、現在では「マルウェアなどの悪意あるコード／攻撃から完全に防御することは不可能ではないか」という認識に傾きつつあるといってよいだろう。つまり、何らかの感染は起こりうるもの、との前提に立って対策を講じる必要があるわけだ。その具体的な手段となるのが“EDR（Endpoint Detection and Response）”だ。

　EDRの基本的な考え方は、エンドポイントの内部に残る各種のログデータやソフトウェアの実行痕跡を解析して、マルウェアなどの活動を発見するというものだ。物理的なビルのセキュリティに例えるなら、従来のエンドポイントプロテクションによる侵入阻止の取り組みが「ビルの入り口に設けられたセキュリティゲート」だすれば、EDRは「各フロアの廊下や室内に配置された監視カメラ群」のようなイメージになるだろうか。製品の仕様にもよるが、必ずしもマルウェアが「今まさに悪意ある処理を実行しようとしている」というタイミングを適切に検出して阻止できると謳う製品もあるものの、通常は一定時間後にその痕跡に気付く、というところを狙っている。「被害発生そのものを阻止する」ということよりは「被害を可能な限り小さく留める」ことを目指したソリューションだということもできるだろう。

　EDRの重要性は、システム内部に潜伏して長期に渡って活動を継続するマルウェアが存在することからも明らかだろう。初期の頃に流行した、「技術力誇示を兼ねた悪質な悪戯」としてのマルウェアであれば感染させた時点で勝ちということで、感染した瞬間に画面表示を変更して勝ち誇るようなものが多かった。しかし、今時のマルウェアは被害者にわざわざ感染したことを教えてくれるようなことはせず、密かに活動を継続するものが大半となっている。攻撃者のためのコンピューティングリソースとして、仮想通貨のマイニングだったり、第三者への攻撃を実行するための「Botネット参加端末」化されたりということもあるし、企業／組織に対する標的型攻撃などでは継続的に情報漏洩が続くといった事態になることも考えられる。感染した時点では検出をくぐり抜けられてしまうかもしれないが、こうした長期的な活動を一切の痕跡を残すことなく実施するのはほぼ不可能なので、きちんとチェックしていれば見つけられる可能性が上がるし、発見して対処できればそれ以降の被害を抑制することができることになる。これが、EDR導入の基本的なメリットだ。

　何の活動も行わずにただ潜伏しているだけのコードは発見できないかもしれないが、通常のマルウェアは盗み出した情報を攻撃者に送信したり、外部のC&C（Command & Control）サーバーからの指示を受けたりといった通信を行うため、活動中のマルウェアがあればEDRで発見できる可能性は高いだろう。活動していないマルウェアに関しては、その時点ではまだ被害も発生していないことになるので、これを発見するのはまた別の手段を工夫して行うことになるだろう。

　さて、EDRというソリューションは以前から存在していたが、これまでは広く普及しているとは言い難い状況だった。それは、EDRの基本がログ解析であり、ツールを使ってログや痕跡情報を収集するだけではなく、それを分析できて初めて意味を持つためだ。初期のEDR製品は「分析担当者のための“プロの道具”」という性格のものが多く、「導入しても使いこなせないと意味がない」と評されるような製品だった。

　しかし、最近登場している製品では、AI技術（機械学習や深層学習など）を活用して、ある程度の判断の自動化を行っているため、マルウェア感染直後にすぐに発見し、被害発生を未然に防ぐことまで期待できるようなスピード感が実現されている例も出てきている。また、企業ユーザー向けのサービスとしてEDR運用をマネージドサービスとして提供する“MDR（Managed Detection and Response）”といったサービスの提供も拡がりつつある。

　高レベルのセキュリティ担当者が在籍しており、SOCが運用できている規模の企業であれば自社対応の方が迅速である可能性が高いが、セキュリティ担当者を確保できない／自社でSOCを運用するだけのリソースは確保できないといった企業に取っては、MDRは極めて魅力的な選択肢であろう。逆に言えば、ユーザー企業が自力で対応しなくても良いサービスが普及してきたことで、EDRの価値を再認識するユーザー企業も増えてきた、という流れにあると見ることもできる。

　EDR再評価の流れは、エンドポイント（PCなどのデバイス）にインストールされて運用されるエンドポイントプロテクション（EPP：Endpoint Protection、従来からあるアンチウイルスソフトウェアなどのイメージ）製品にEDR機能が統合される例が増えてきていることからも分かる。

　Trend Microは2019年2月に、法人向けEPP製品「ウィルスバスターコーポコレートエディション」にEDR機能を統合した「Trend Micro Apex One」を発表している。また、法人向けネットワークセキュリティのベンダーで、UTM製品で著名なFortinetからも「FortiEDR」が提供開始されている。こちらは、法人向けネットワークセキュリティ製品としてのEDRを、PC向けのEPP製品に寄せてきたという流れで、Trend Microとは逆のアプローチということになるのかもしれない。特徴としては、AI技術を広範に活用して「アラート疲れを回避」するなど、運用者に要求される記述水準や運用負荷を軽減することに配慮している点だ。

　このほかにも、Rapid7が「脅威の検知から対応までをアウトソーシングできる」点をアピールする「Rapid7 MDR」の国内提供を2020年6月から開始することを発表するなど、このところEDR／MDR関連は盛り上がりを見せている。ベンダー側としても今回の新型コロナウイルスの流行を商機と見て動いている面があるのは間違いないだろうが、AI技術の発展など、技術的な面からも使いやすい製品が出揃うタイミングに合致したという面もあるだろう。

図3：FortinetのEDR製品「FortiEDR」（出典：Fortinet）

統合的なデータ保護に向けた取り組み

　エンドポイント保護の分野では、EPPとEDRの統合のほかにも、バックアップ／データプロテクションとサイバーセキュリティを統合する動きもある。この分野では、従来PCや小規模なPCサーバーなどをターゲットにバックアップソリューションを展開していたAcronisが積極的な動きを見せている。

　Acronisは“SAPAS（Safety, Accesibility, Privacy, Authnticity, Security）”というコンセプトを掲げ、統合的な保護を実現することを目指している。背景にある考え方は意外にシンプルで、バックアップのために各システムにインストールされる「エージェント・モジュール」を多機能化することで、ユーザー環境に与えるインパクトを最小に留めつつ包括的な保護を実現しようというものだ。実際に、バックアップ用のエージェントに加え、各種セキュリティ製品のエージェント・モジュールなどが大量にインストールされ、運用管理が煩雑になってしまっているという問題があるので、これらを1つにまとめることができればユーザー側にもメリットがあるのは間違いない。

　また、同社のエンドポイント向けのセキュリティ機能では、Zoomなどのビデオ会議システムの保護機能を実装している点がタイムリーな取り組みだと評価できる。Zoomをターゲットにした攻撃手法は、既にいろいろなものが報告されている。たとえば、Zoomのクライアントモジュールが保持しているユーザーの認証情報を搾取する攻撃や、通信に割り込んでZoomのチャット機能を使ってURLを貼り付けることで、ビデオ会議参加者をマルウェア配布サイトに誘導するといった攻撃の可能性も指摘されている。

　Acronisではこうした状況を踏まえて、代表的なビデオ会議システム向けの保護機能を実装したのだが、「製品個々に報告された脆弱性を塞ぐ手段を独自に提供する」というアプローチではなく、「特定のアプリケーションを保護対象として、そのファイルやメモリ空間への不正なアクセスを遮断する」方向だという。つまり、特定のアプリケーションの特定のバージョンに特化したポイントソリューションというよりは、包括的なアプリケーション保護機能を実装を目指した取り組みになっているという。Zoomを狙った各種の攻撃が話題に上り、在宅勤務のサポートという観点で企業のIT部門にとっても懸念材料となっている現在、こうした保護機能の提供は有用なソリューションとなり得るだろう。

　さらに、直接的な製品機能の話ではないが、Acronisのクラウドビジネスに対する取り組みには興味深い点があるので、ここで併せて紹介しておきたい。現在Acronisでは“Acronis Cyber Cloud”をベースに、バックアップやデータ保護、サイバーセキュリティなどの各種機能をクラウドサービスとして提供している。また、そこで提供されている機能を、パートナー向けにパートナー自身のブランドでエンドユーザーに提供することを認めているため、同社のパートナーとなっているクラウド事業者が自社機能としてクラウドバックアップなどの機能を自社のユーザー向けに提供できるのである。これはもちろん、同社のサービスの販路拡大という意味があるのと同時に、パートナーに対する支援策であり、パートナー企業のクラウドプロバイダー化への移行支援でもある。

　ユーザー企業にとってクラウド移行が重要なテーマであるのと同様に、従来ユーザー企業のITインフラ構築を支えることをビジネスとしてきたパートナー企業にとっても、「クラウド移行の時代にどう対応していくか」は深刻な課題となっている。しかも、新型コロナウイルスの流行によってヒト・モノの物理的な移動が難しくなっており、さらに“不要不急”のIT投資は将来への懸念もあって凍結される傾向もある、となれば、パートナーのビジネスも大幅にシュリンクしてしまう可能性がある。こうした状況下で、パートナー自身がクラウド・サービスプロバイダーとしてユーザー企業向けのサービス提供ができるように支援することは、国内のITインフラの全体的な底上げに繋がるとも言えるだろう。

　クラウド移行を考える際には、クラウド事業者とユーザー企業の関係だけが話題に上る傾向があるが、両社の間でビジネスを行うパートナー企業が今後どうしていくべきなのかも重要な問題であることは間違いない。この点にいち早く独自の取り組みを示したAcronisの動きは、データセンター事業者にとっても注目すべきものと言えるのではないだろうか。

図4：Acronisではデータ保護とセキュリティ機能の統合サービス「Acronis Cyber Protect」を提供する（出典：Acronis）