セキュリティ業界では何年かに一度、それまでの「常識」が覆される。エンドポイントのセキュリティ対策の定番だった、シグネチャベースのアンチウイルスソフトだけでは不十分であると問題提起されたり、多くの組織が求めてきたパスワードの定期的な変更は、弱いパスワードや使い回しを招く恐れがあり、かえってリスクにつながる恐れがあると指摘されたりしてきた。
そして今、もうひとつの常識に疑問が呈されようとしている。それは「境界型の防御」だ。
企業システムとインターネットを分ける境界部分にファイアウォールをはじめとするネットワークセキュリティ製品を導入し、外部からの不正アクセスを検知/ブロックする方法は、長年にわたってセキュリティ対策の定石だった。だが、クラウドサービスの普及に代表されるITの仕組みの変化、そして新型コロナウイルス対策として急速に広がったリモートワークなどワークスタイルの変化により、その「境界」が薄れつつある。このパラダイムシフトを踏まえた新しいセキュリティの模索は避けられないだろう。
だが一方で、一足飛びに新しいアーキテクチャに移行するのは非現実的だ。ソニックウォール・ジャパン(ソニックウォール)のセキュリティエンジニア、小田真也氏は「クラウド化のトレンドは確かで、リモートワークも広がっていくだろうが、その変化は徐々に進むはずだ。既存のオンプレミスのシステムも必要不可欠であり、依然として使われ続けていくだろう」と指摘する。
これまでの資産は捨て去れないが、クラウドを前提とした新しいセキュリティ対策も検討しなければならない――長年にわたって境界型防御のソリューションを提供してきたソニックウォールは、同社ならではのアプローチで、現実的なSASE(Secure Access Service Edge)やゼロトラストネットワークの実現を後押しするという。
侵入後のラテラルムーブメントを防止する
ゼロトラストネットワーク
この1年で企業を支えるIT環境は様変わりした。新型コロナウイルス対策も相まってリモートワークが一般化し、誰でも、どこからでも、企業システムのデータにアクセスできるようになった。しかもそのデータは従来からのオンプレミス環境にあるとは限らず、クラウド上に置かれていることも少なくない。
こうした変化に伴って、境界型防御を前提とする従来型のVPNには限界が見えてきた。状況の変化に応じて柔軟に拡張したくても構築作業に時間がかかる上、VPN機器にトラフィックが集中するため、クラウドサービスやインターネットの利用に遅延が発生するトラブルが報告されている。機器管理の負荷もばかにならない。
何より、「VPN接続では、いったんIDとパスワードで認証して信頼したデバイスが、内部を好き勝手に動ける設計になっている。このため、標的型攻撃などで何らかのマルウェアに感染してしまったPCが1台でも接続すれば、攻撃者の好きなように横展開(ラテラルムーブメント)されてしまう課題がある」(小田氏)。これはVPNに限らず、従来の境界型セキュリティで以前から指摘されていた課題だが、「今日のクラウド化、リモートワークに伴って、深刻化している」という。
その解決策として注目を集めているのが、ゼロトラストネットワークという考え方だ。おそらく何らかの形で耳にした人も多いだろう。
ゼロトラストネットワークでは、どんなデバイスであっても、最初は信頼せず、継続的なユーザー認証やデバイス認証、アクセス制御を経てゼロから信頼を組み立てていく。セッションやリクエストが発生するたび、その都度正しいかどうかを判定した上で「このユーザーは今、このリソースしか使わせない」と最小権限に基づいてアクセス制御を実施する。
これにより、社員のPCをマルウェアで遠隔制御したり、正規ユーザーになりすましてのラテラルムーブメントは困難になる。「たとえ社内にあるPCであろうと、リモートアクセスのPCであろうと、またリモートアクセスしているのが日本でも海外でも、等しくこのプロセスを経ることで、社内のリソースを正当なものに限定し、守ることになる」(小田氏)
その都度認証とアクセス制御を行い
ゼロトラストを実現する「SonicWall Cloud Edge」
ゼロトラストネットワークにおいて核となる役割を果たすのが、クラウド上でユーザー認証とデバイス認証、アクセス制御の機能を提供する「ゼロトラストネットワークコントロールプレーン」だ。ソニックウォールが発表した「SonicWall Cloud Edge」は、まさにこのゼロトラストネットワークコントロールプレーンの機能を提供するソリューションだ。
SonicWall Cloud Edgeのコントロールプレーンは、PCやスマートフォンなどのクライアントからのアクセス要求に応じてユーザー認証とデバイス認証を実施する。このユーザーIDはG SuiteやAzure AD、Oktaといったクラウドベースの認証基盤とも連携できる。
そして、ユーザーおよびデバイスが適切なものであると確認したら、「PoP Gateway」と呼ばれる連携ポイント経由でつながっているパブリッククラウド上のリソースやオンプレミスのシステムへのアクセスを許可する。ただし、アクセスできるのはその権限に応じた最低限のリソースのみに限られ、「悪意を持った第三者がシステムに侵入し、あちこち調査して侵害範囲を拡大するラテラルムーブメントを防ぐ」という。
ユーザーは多要素認証やリスクベース認証を経た後にポータルサイトにアクセスできる。画面上には権限に応じて許可されたアプリケーションやサービスのみが表示されるため、そもそも権限のないアプリケーションにアクセスする「入り口」すらない状態になる。
SonicWall Cloud Edge
Cloud Edgeの導入効果
SonicWall Cloud Edgeは、世界中の30以上の拠点にまたがるバックボーンで構成されており、高速なアクセスが可能だ。SonicWall Cloud Edgeとアクセス制御の対象となるクラウド上のリソースはIPSecで接続され、高い性能を担保する。コネクタなどを導入する必要がないため、スピーディに導入できることもメリットとなる。
クラウドサービスで利用しているリージョンに応じて適切なPoP Gatewayを選択すれば、遅延を抑えて高いパフォーマンスを実現できるし、GDPRなどの法規制に準拠するため特定の地域のみで利用したい場合にも特定の国のPoP Gatewayを選択できる。ソニックウォールの代表取締役社長、本富顕弘氏は「日本でも2拠点にPoP Gatewayを設置しており、今後の需要拡大に応じて増強していく」と話している。
国内のみならず海外にも展開しているがリモートワーク環境に不安を抱いていたり、クラウドサービスとオンプレミス環境を併用している企業にとって、ラテラルムーブメントを防ぎつつ、ゲートウェイ機器に集中していた負荷を減らすことができるSonicWall Cloud Edgeの利点は大きいと言えるだろう。
