ニュース
IIJがWizSafeブランドで展開しているセキュリティ事業の取り組みを説明
自社のSASEソリューションを2022年第2四半期にも投入へ
2022年2月25日 06:00
株式会社インターネットイニシアティブ(以下、IIJ)は24日、同社のセキュリティ事業の取り組みについて説明。2021年には、新たな働き方への移行にあわせて増加した、セキュリティ面での課題に対応した製品群を相次いで投入したことを示した。また2022年度第2四半期には、IIJ自らがSASEの領域にも踏み出す考えも明らかにしている。
IIJ セキュリティ本部長の齋藤衛氏は、「デジタルワークプレイスのコンセプトにより、誰もが、どこでも、どんなデバイスでも、生産性を落とさずに、セキュアに仕事ができる環境を実現することを目指している。あらゆるサービスにセキュリティ要素が組み込まれる状態を目指し、各事業領域との連携強化および、必要機能や要素の拡充を図っていく」などと述べた。
WizSafeブランドでセキュリティ事業を展開
IIJでは、2016年から「WizSafe(ウィズセーフ)」ブランドでセキュリティ事業を推進。「安全をあたりまえに」というコンセプトを打ち出し、さまざまなセキュリティサービスを提供してきた経緯がある。
齋藤本部長は、「IIJ SOC(セキュリティオペレーションセンター)を核とした各種サービス、ソリューションの提供により、インシデント発生時の対応から解決の支援まで、包括的にセキュリティサービスを提供している点が特徴である。セキュリティが組み込まれたサービスの提供を通して、社会を支え、安全を高め、変革を起こすことができる」と語る。
同社では、セキュリティ事業に必要な組織としての機能や役割をセキュリティ本部内に集約。セキュリティオペレーションセンター(SOC)、SOCインフラ、SI案件担当、セキュリティリサーチ、サービス運用、サービス開発、システム開発、サービスサポートの8つの機能を有しており、それぞれの案件ごとの状況に応じて、関係者が柔軟に連携して対応しているという。
WizSafeブランドによる展開を開始した2016年度以降、IIJのセキュリティ事業は2桁成長を維持。2021年度も、第3四半期累計実績が前年同期比18.7%増の161億5000万円に達しており、前年度の伸びを上回る成長率で推移しているという。「顧客ニーズに合わせてた形で、幅広いセキュリティサービスを提供していることが評価されている」とした。
またコロナ禍において、インターネットを取り巻く環境が大きく変化したことにも言及。「コロナ禍において、2020年5月ごろを境にテレワーク関連通信のトラフィックが増加し、昼間もクラウドを使って仕事をする人が増加した。テレワークやリモート会議の実施だけにとどまらず、国際会議もリモートで行われるようになった。また、リモートでしか会ったことがない人との関係構築という新たなテーマも生まれている」と話す。
その上で、「クラウドには、蓄積したデータに適切な権限の人だけがアクセスするような機能があまり用意されていないこと、家庭内におけるデータの安全性やIoT機器の脆弱性の課題があること、リモート環境でのセキュリティ対策の強化のほか、勤怠管理の改革やハンコ文化からの脱却などの課題が、新たな働き方のなかで生まれている」と指摘した。
こうしたなか、IIJでは、2021年においても、コロナ禍における新たな働き方に対応したセキュリティサービスを相次いで投入してきたとし、「新型コロナウイルスの感染拡大によって、社会、生活が大きく変化し、各業界のデジタル化が進展した。それに伴い、データの扱い方にも変化が生まれ、それらに合わせて脅威も変化している。この1年は働き方の変化に伴う新たなセキュリティニーズに対応した新サービスを提供してきた」と説明。具体的には、以下のサービスを新たに提供したことを紹介した。
・ゼロトラストネットワークの機能を追加したリモートアクセスサービス「IIJフレックスモビリティサービス/ZTNA」
・IT資産管理機能とMDM機能を一元的に提供する「IIJセキュアエンドポイントサービス IT資産管理モバイル」
・不正通信の遮断などに能動的に対応する「IIJ C-SOCサービスプレミアム」
・端末に導入したEDRツールの運用を代行してインシデントの一次対応を行う「IIJ C-SOCサービスプレミアムEDR運用オプション」
・クラウドサービス利用を把握し、管理統制するためのプラットフォーム「IIJ CASBソリューション」
・IaaSの設定不備による脆弱性を可視化する「IIJ CSPMソリューション」
・自社のセキュリティサービス運用やインシデント対応で培った知見をベースに実践的教育プログラムを提供する「IIJセキュリティ教習所」
またIIJ 常務取締役 CTOの島上純一氏は、「世界中が、新型コロナウイルスによる行動制限を、インターネットというツールを使って克服している。社会活動や経済活動、国民生活に、ここまでインターネットが使われたことはこれまでになかった。インフラとしての重要性が高まるということは、安全性に対する要求も高まるということであり、セキュリティに関心が集まっている理由もそこにある。IIJは1993年からインターネットサービスを開始しているが、その直後からセキュリティサービスを提供している。ISP自らがセキュリティサービスを提供しているところに特徴がある」などと述べた。
なおSASEについては、「リモートアクセスの際に、設備側のアクセスコントロールの仕組みを利用して、安全に情報のやり取りができるようにすることができる。SOCでの運用代行をし、監視も行うことができる。これまでにも他社のSASEを提供してきた経緯があるが、独自の知見を組み込もうとした際にやりにくいところがあった。IIJ SOCと親和性の高いプラットフォームを自分たちで作ることが最適と判断した。2022年度第2四半期には市場に投入していくことになる」(IIJの齋藤本部長)と述べた。
この1年のサイバーセキュリティを取り巻く状況
一方で、この1年のサイバーセキュリティを取り巻く動向について、「アウトソーシング先が関係する事件」、「クラウドサービスの安定性」、「IoT装置の脆弱性」、「恐喝や社会情勢に関連するDDoS攻撃」、「ランサムウェア」の5つの観点から説明した。
「アウトソーシング先が関係する事件」では、運用サービスやクラウドサービスの利用が増える一方で、大規模な被害が発生していることを指摘。ここでは、米IT運用管理ツールの特定バージョンにバックドアが仕込まれ、米国政府関係機関を含む1万8000組織が影響を受けたこと、国内電力関連企業では、システム運用企業を経由して不正アクセスが発生し、情報が流出したこと、大手SIerの利用する情報共有ツールからの情報漏えい、米国におけるシステム運用会社のランサムウェアによる大量感染被害などに触れた。
また、「クラウドサービスの安定性」においては、クラウドサービス上の設定ミスや脆弱性が深刻な問題になっていることを指摘。大手クラウドサービスでは設定ミスにより、3800万件の個人情報が流出したほか、2021年には多くの障害が発生したことを示した。「クラウドサービスの特定の機能が動作しない場合や、連動しているIoTやスマホが動作しないこと、決済サービスが利用できないなど、生活に影響するような広範囲な障害が発生している」と警鐘を鳴らした。
「IoT装置の脆弱性」では、IoT装置の誤動作や乗っ取り、動作停止といったことがモノ周りで発生しており、家電の誤操作や、在宅しているかどうかを知ることができるようなプライバシー情報の漏えいなどが起こっていると指摘。
「家電がIoT化されても、従来の家電と同じように扱われており、ファームウェアの更新が行われていなかったり、新たな脆弱性が見つかったりといったことが起きている。これらのIoTから、情報が搾取されたり、攻撃の踏み台として利用されたりしている。しかも、複数の製品に脆弱性が広がっていることが多い点が懸念される」とした。
「恐喝や社会情勢に関連するDDoS攻撃」については、2019年10月および2020年8月に世界中で発生した恐喝DDoS攻撃キャンペーンが再び活発化し、これが2021年1月・10月・11月に実施された例や、AnonymousによるOpMyanmar作戦では、ミャンマーで発生した軍事クーデターに抗議する活動として日本の政府や企業がターゲットになったこと、東京オリンピック大会に関係したサイトへの攻撃活動があったものの、大会運営に影響を与えるサイバー攻撃がなかったことを示した。
「DDoS攻撃では、金融機関や通信会社ほか、多数の業種がターゲットとなっている。また、恐喝DDoS攻撃キャンペーンでは、前回のキャンペーンで被害を受けたところが、再び狙われるケースがある」という。
また「ランサムウェア」では、公共性の高いサービス事業者や医療機関など、身代金を支払いそうな特定の標的に対して攻撃を仕掛けたり、秘密の情報をリークサイトに暴露すると恐喝して金銭を要求したりといった例が増えているという。
国内でも、自治体向けコンサルティング企業がランサムウェア感染によって情報を流出したり、建設コンサルタント会社にサイバー攻撃が行われ、公共事業データが盗まれた可能性があったり、徳島県の公立病院でもランサムウェアに感染した例が報告されていることを示した。
「サイバー攻撃は日々変化しており、ここ1週間でも、すでに活動が停止したはずのマルウェアのEmotetが、日本の企業に襲いかかっていたり、ウクライナに向けた攻撃が観測されたりといったことが起きている」とした。
