“ニューノーマル”時代のセキュリティ新常識（Part 2）

弊社刊「クラウド＆データセンター完全ガイド 2021年冬号」から記事を抜粋してお届けします。「クラウド＆データセンター完全ガイド」は、国内唯一のクラウド／データセンター専門誌です。クラウドサービスやデータセンターの選定・利用に携わる読者に向けて、有用な情報をタイムリーに発信しています。
発売：2020年12月22日
定価：本体2000円＋税

　日本のエンタープライズユーザーでは、クラウドサービスやSaaSは活用しつつ、しかしトラフィックがインターネット上を流れるのは避けたいと考える例が少なくなく、AWS Direct Connect／Azure ExpressRoute／Google Cloud Interconnectといった閉域網接続を利用することで、「クラウドサービスを境界の内側に引き込む」ようなアプローチも見られる。しかし、この場合は、ユーザーが社内ネットワークからアクセスすることが前提であり、在宅勤務／テレワークが急拡大したアフターコロナの状況には対応しきれていない。在宅勤務／リモートワークを行なうユーザーすべてをVPN経由で社内ネットワークに引き込み、そこからクラウドサービスやSaaSを使う、という形で解決している企業も少なくないが、VPN回線帯域の逼迫など、コロナ禍で急増したリモートユーザーすべてをカバーできない企業も多い。こうした状況から、まずはクラウド環境をカバーするセキュリティソリューションが必要になってきた。

CASBの登場

　クラウドが普及する過程で、セキュリティソリューションとしてまず注目されたのが「CASB（Cloud Access Security Broker）」だ。米ガートナーが提唱したコンセプトで、「ユーザーと複数のクラウドプロバイダーの間に単一のコントロールポイントを設け、ここでクラウド利用の可視化や制御を行なうことで、全体として一貫性のあるポリシーを適用できるようにようにする」というものだ。

　基本的な考え方としては、社内ネットワークから出て行くトラフィックが把握できていない怪しいサービスに向かっていないかどうかを把握したり、情報漏えいに繋がるような機密情報が送信されていないかなどをチェックできるようにすることが主な狙いとなる。この時点では社内ネットワーク側のセキュリティモデルの変更までは想定されておらず、基本的には従来のセキュリティモデルに加えてクラウドアクセスをセキュアにするための新しい機能としてCASBを追加するという形で考えられたものだと見て良さそうだ。

　CASB製品としては、現在はNetskope やMcAfee（MVISION Cloud）がよく知られている。

SASEへの進化

　CASBに続いて米ガートナーが提唱したコンセプトが「SASE（Secure Access Service Edge：サッシー）」である。SASEでは、セキュアWebゲートウェイやCASB、ファイアウォールやゼロトラストネットワークといったセキュリティ機能と、SD-WAN（Software-Defined WAN）のようなWAN機能を統合し、クラウド上に“セキュアエッジ”を構築して、ここにセキュリティアーキテクチャの中核を置く、という考え方になる。CASBも包含されていることから、クラウド中心の考え方がさらに進んだ形とみることができるだろう。

　ベンダー側の取り組み状況としても、CASB単体でのソリューション提供から、SASEの提供へとトレンドが移った感がある。基本的な考え方としては、従来の社内ネットワークを主体として、「外部リソース」としてクラウドを位置付ける考え方から、クラウドを中心に据えて従来の企業ネットワークをリソースの1つと位置付け直すような主客の転換が起こっていると見てよいと思われる。

　SASEに関しては、もともとコンセプトの提唱であり、製品機能を具体的に定義したわけではないということもあって「SASEと名乗るために必須の機能のセット」が明確になっているわけではない。現時点では多くのベンダーが「SASEというコンセプトに照らして必要だと思われる機能を実装している」状況であり、まだ発展途上だとみる方が適切だろう。

　そもそも「セキュリティ機能とネットワーク機能の統合」であることから、単一の製品で全機能を実装するのではなく、既存のソリューションを組み合わせて全体としてSASEのコンセプトを実現する、というやり方も考えられる。実際にベンダー各社の取り組みも考え方としてはその方向性に近く、ネットワークセキュリティ製品などに必要な機能を追加しつつ、統合的に管理できるように洗練していくというアプローチが多いように思われる。

主なSASE提供ベンダー

　SASEはセキュリティとネットワークのさまざまな機能を統合した形の製品になるため、提供ベンダーもセキュリティベンダーからSD-WANなどのベンダーまで多岐に渡る。どちらかというと、SASEの主要構成要素とされる機能を提供するベンダーは、すべてSASEへの拡張を図っていると考えて良いという状況だ。

　CASBのベンダーで、SASEのコンセプトの成立のきっかけとなったとも言われるNetskopeは、SASEの提唱以前から独自にCASBの機能を拡張する形でSASEの機能を先取りするかのような形になっていたと言われる。次世代ファイアウォールを中核としたネットワークセキュリティ製品を展開するPalo Alto Networksも、Prisma AccessをSASE製品として打ち出している。

　アンチウィルスソフトウェアなどで知られるセキュリティベンダーであるMcAfeeは、MVISION Unified Cloud EdgeをSASE製品として提供し、Light Point Security買収で獲得したブラウザー分離技術をクラウドネイティブのセキュアWebゲートウェイに統合することで、SASEに求められる脅威阻止機能を強化している。UTMを中核とするセキュリティベンダーのFortinetは、2020年7月にOPAQ Networks買収を発表、OPAQのゼロトラストネットワークアクセスクラウドソリューションを、Fortinetのセキュリティファブリックと組み合わせてSASEソリューションの強化策とするとしている。

　ネットワーク製品を広範に提供するCisco Systemsは、クラウドベースのセキュアDNS製品であるCisco Umbrellaを、“DNSの名前解決を利用してインターネット上の脅威からユーザーを最前線で防御するセキュアインターネットゲートウェイ（Secure Internet Gatway：SIG）”と位置づけ、ここに各種セキュリティ機能やネットワークアクセス機能を組み合わせていくことでSASEとして提供する方向だ。

　セキュアインターネット／Webゲートウェイをクラウドサービスとして提供するZscalerのZscaler Internet Accessも、クラウドファイアウォール／IPS、サンドボックス、URLフィルタリング、DLP（データ漏えい保護）、CASB、ブラウザ分離、CSPM（Cloud Security Posture Management）など、さまざまなセキュリティ機能を統合している。Zscalerでは、Zscaler Internet AccessとZsclaer Private Access、Zscaler Business-to-Businessを合わせてZscaler Cloud Security Platformとし、これを同社のSASEサービスとして打ち出している。

　さらに、仮想化プラットフォームを提供するVMwareも、年次イベントのVMworld 2020でセキュリティ分野への取り組み強化を打ち出しており、2019年に買収したCarbon Blackの技術をVMware vSphereと統合したEDR製品やKubernetesワークロードの保護製品などを発表したのに加えて、VMware SASEも発表している。デジタルワークスペース製品であるVMware Workspace ONEに、ゼロトラストのネットワークアクセスとなるVMware Secure Accessを組み合わせたものを核として、協業するMenlo SecurityのセキュアWebゲートウェイやCASBの機能、Zscalerのセキュリティ機能も組み合わせていくという。

　SASEは単一のセキュリティ製品というよりも、さまざまなセキュリティ機能／ネットワークアクセス機能を統合したソリューションとなることから、要素技術となる各種製品を開発してきたセキュリティベンダー各社の合従連衡により、新たなソリューションができ上がっていくという流れも出てきていると言えそうだ。今後とも、SASEというコンセプトを軸にクラウドベースでセキュリティを強化していく流れが続いていくことは間違いなさそうだ。セキュリティベンダーの統合も進む可能性があるだろう。

図1：ZscalerのSASEサービス「Zscaler Cloud Security Platform」

ゼロトラストネットワーク

　最後に、ゼロトラストネットワークに対する注目度の高まりについても見ておこう。先に紹介したSASEでも、ゼロトラストネットワークアクセス（ZTNA：Zero Trust Network Access）が主要要素として含まれていたことからも分かるように、時系列的な順序としてはゼロトラストのほうが先に生まれた形ではあるが、日本国内ではSASEの方が先に盛り上がりを見せ、続いてコロナ禍の影響からゼロトラストが一気に注目を集めた形になったように見える。

　ゼロトラストネットワークの基本的な考え方は、名前の通り「何も信頼しない」ことにある。従来の境界型セキュリティモデルでは、社内ネットワークを安全に保つために、インターネットから入ってくる脅威を確実に防御することを考える。前提として「社内ネットワークは安全」と考えるため、社内ネットワークの内部でやりとりされるトラフィックについては特別なセキュリティチェックは行なわれず、いわば「正当かつ安全な通信だと信頼されている」状態だ。ゼロトラストは、この「社内ネットワークのトラフィックに対する信頼」も「ゼロ」すなわち「無条件には信頼出来ないもの」と考え、適切な認証やセキュリティチェックを行なうようにする、という発想の転換がベースとなっている。

　境界型セキュリティモデルでは、ファイアウォールやIPS／IDS、プロキシサーバー、アンチウィルスソフトウェアなどの各種セキュリティ技術を組み合わせて、外部から侵入しようとしてくるマルウェアなどの有害コードを侵入時点で検知／阻止する。一方、境界の内側に相当する社内ネットワークのトラフィックは、境界を通過することなく自由に内部ネットワークに所属するエンドポイント間を行き来している。そのため、かつてのインターネットワームの爆発的な感染などでも見られたとおり、何らかの手段で社内ネットワークに侵入したマルウェアは、内部で急速に感染を拡大することが可能になってしまう。実際のマルウェア被害も、内部に侵入を成功させたマルウェアが横展開する形でネットワーク内部のさまざまなサーバーやクライアント端末に感染を拡大し、機密情報の盗みだしなどの悪意ある行動を行なうことで生じることが大半だ。

　境界型セキュリティモデルでは、インターネットと社内ネットワークの境界を突破されてしまうと、それ以降は全くノーチェック状態になってしまうという点は、以前からも問題点として認識されており、対策もないわけではない。その1つがSDN（Software-Defined Network）の技術を活用した“マイクロセグメンテーション”だ。物理ネットワークの上に目的に応じてさまざまな仮想ネットワークを“重ね合わせる”オーバーレイネットワークの技術を活用すれば、社内ネットワークの内部を任意の大きさで自由に分割できる。すなわち、従来のファイアウォールの内側のネットワークをさらに分割して多数の“境界”を内部に作り出すことができる。こうしてできた多数のネットワーク境界上で、NFV（Network Function Virtualization）の形で実装されたファイアウォールや各種セキュリティ機能を運用すれば、社内ネットワークの内部でも「自由にやり放題」という状況を解消することができる。マイクロセグメンテーションは、ZTNAでも基本的な構成要素の1つとして活用されている。

　また、別のアプローチとしては、マルウェアが境界を突破して侵入し、内部で活動を開始している、という前提に立ってその活動を検知しようとする取り組みがEDR（Endpoint Detection and Response）となる。こちらは、社内ネットワークの内部に存在するサーバーやクライアント端末などの各種エンドポイント内のログ情報を収集して、不審なコードの実行痕跡を見つけ出すというものだ。マイクロセグメンテーションがネットワーク技術からのアプローチであるのに対し、EDRはセキュリティソフトウェア寄りのアプローチとみることもできるだろう。

　このように、内部ネットワークでのトラフィックを信頼出来ないものと考えて対策を行なう取り組みはいろいろあり、こうした取り組みを統合する形で新しいセキュリティモデルとして整理したのがZTNAだと考えることもできるだろう。

　ZTNAでは、あらゆるアクセスに対してこまめに認証を行なっていくことが基本となる。サーバーやアプリケーション、データなどの各種リソースへのアクセスが発生するたびに、そのアクセスを行なっているのは正当なユーザーなのかどうか、そのユーザーはそのリソースにアクセスするための権限を付与されているのか、といったチェックを、アクセスが発生するたびにこまめに確認することがZTNAの基本的なアプローチとなる。

　さらに、この考え方は社内ネットワークの内部だけで完結するものではなく、社内外の境界を越えるアクセスやクラウド上のリソースに対するアクセスなど、あらゆるトラフィックすべてを対象とするように拡張できる。そうすれば、たとえば在宅勤務を行なっているユーザーがSaaSを活用して業務を行なう、といった社内ネットワークを全く通過しないトラフィックに関しても、企業のセキュリティポリシーに基づいたセキュリティチェックが行なえるようになる。

ZTNAの実装

　SASEと同様に、ZTNAもコンセプトまたはセキュリティモデル／アーキテクチャと考えるべきものであり、単一の製品を導入すれば即座に実現できるというものではない。既存のさまざまな製品／テクノロジーを組み合わせて独自に実装することも可能だし、ベンダー側である程度の機能をパッケージ化して提供されている製品をベースとすることも可能だ。

　ネットワーク側からのアプローチとしては、CDN市場で大きな存在感を持つAkamaiがCDNのテクノロジーを活用したクラウドソリューションとして提供するEnterprise Application AccessやEnterprise Threat Protectorで、ゼロトラストを採り入れた高度な保護機能を提供している。また、オンプレミスネットワークもカバーする取り組みとしては、Pulse Secureが提供するPulse Zero TrustAccessh（PZTA）なども国内提供が始まっている。同社のアプローチでは、VPNクライアントエージェントを活用し、ネットワーク上に数量無制限で展開可能な仮想ゲートウェイ、さらにユーザー認証／ SSO機能を組み合わせることでZTNAを実現する。ネットワークサービスプロバイダーやクラウドベンダー、セキュリティベンダーがそれぞれ独自のアプローチでZTNAの実現に取り組む一方、ユーザー企業側でもコロナ禍によってVPNの限界が露呈したことから「VPNからZTNAへ」という流れが加速し始めている感がある。

　このほか、さらに別の分野からのアプローチとしては、IDaaSを提供するOktaもZTNAを強力に推進している。クラウドベースでユーザー認証／オーセンティケーションを提供するOktaはIDaaS（ID-as-a-Service） ベンダーとしても著名だが、ZTNAではあらゆるアクセスの際に認証を行なうこと、さらにクラウド環境でZTNAを実現するなら認証基盤もクラウド上に必要になることから、ZTNA実現の鍵となる要素としても注目を集めている。そうした流れを受けて同社では新たに「アイデンティティを基盤とするゼロトラストの成熟度を評価するアセスメントツール」の提供も開始している。これは、ネットワークの運用管理者がWebベースで利用し、用意されたいくつかの質問に答えていくことで、ゼロトラストの実現レベルの判定や今後取り組むべきポイントの提案などが行なわれるというものだ。

　ZTNAは製品／ソリューションを1つ導入すれば一気に実現できる、というものではなく、ネットワーク／セキュリティのアーキテクチャの見直しから初めて細かな対策を積み上げることで実現する形になる。導入するにも技術知識やノウハウが必要となり、導入する企業側にもやや敷居の高いものとなるわけだが、こうしたアセスメントツールで指針が示されることでこの敷居を下げることに役立つことが期待される。

図2：AkamaiのセキュアWebゲートウェイ「Enterprise Threat Protector」