ランサムウェアやVPNの脆弱性などセキュリティ脅威に対抗できる「ゼロトラスト」実装の進め方~
SASE/EDR/IDaaSなどのソリューションと、IT管理者の負荷軽減に役立つ運用のヒントをご紹介~
2024年12月13日、弊社主催で「ランサムウェアやVPNの脆弱性など、多拠点展開のセキュリティ強化に最適な「ゼロトラスト」実装の進め方 ~自社導入で見えてきた、IT管理者の負荷軽減に役立つセキュリティ運用のヒントをご紹介~」というセミナーを開催しました。今回は、講演内容のポイントについてご紹介します。
目次
人材不足やセキュリティリスクの高まりなど、現在のIT環境で起きている変化とは?
差し迫る「2025年問題」として、IT管理者やセキュリティ管理者の人材不足や維持・確保がさらに難しくなることが今後予想されます。多くの企業・組織で新しい働き方としてテレワークやハイブリッドワークが普及しています。利便性が高まる一方で、情報漏えいや不正なWebサイトへのアクセスなどのセキュリティリスクへの対処も必要不可欠となってきました。セミナーではまず、現在のIT環境の変化として起こっていることについて解説しました。
近年、IT環境の変化により「セキュリティ管理者の人材不足」と「アラート対応の負担増大」が深刻な課題となっています。2025年問題によりIT管理者の確保が難しくなり、「EPP」や「EDR」などのセキュリティソリューションが生み出す大量のアラート対応に追われ、DX推進が後回しになるケースが増加しています。
加えて、社外からのダイレクトなインターネットアクセス(DIA)が増加し、従来の境界型セキュリティでは管理が困難になっています。特にロシアのウクライナ侵攻後、サイバー攻撃の脅威は増し、「RaaS」を提供する犯罪集団の出現やAIを活用した攻撃が急増。DX推進による情報資産の外部依存が進む中、クラウド上の顧客情報漏えいによる企業の経済的損失が懸念されます。
実際にサイバー攻撃を受けた企業は、多大な被害を受けています。日本サイバーセキュリティ・イノベーション委員会の試算によれば、年商1,000億円の企業が攻撃を受けた際の最大損失額は100億円近くに上るとされています。個人情報漏えいやランサムウェア感染、個人情報保護法違反による罰金、時価総額の下落など、その経済的損失は莫大です。加えて、「GDPR」などの規制により、さらなる制裁金が科されるリスクもあります。
こうした状況下で注目されるのが「ゼロトラスト」モデルです。これは「何も信用しない」を前提とし、全てのアクセスを検証するセキュリティモデルであり、従来の境界防御型と異なります。
ゼロトラストの実装によって、サイバー攻撃のリスクを低減し、安全なネットワーク環境を構築することが可能になります。企業はセキュリティインシデントを事前に防ぐため、今こそ具体的な対策を検討する必要があります。
これからのセキュリティモデル「ゼロトラスト」実現に欠かせない4つのポイント
今後のセキュリティの重要な考え方である「ゼロトラスト」とは、どのようなものなのでしょうか? 続いて、ゼロトラストの概要や従来型のセキュリティ対策との違い、ゼロトラストの主要なコンポーネントである「IDaaS」「EDR」「CASB」「SWG」について説明しました。
従来の境界型セキュリティは、ファイアウォールやIPSを配置し、VPNを利用して社内ネットワークを信頼する考え方でした。しかし、境界部分で脅威を遮断できないと内部で攻撃が自由に行われるリスクがありました。攻撃手法の高度化やランサムウェア被害の増加により、金銭目的の攻撃が増え、従来の防御モデルの限界が明らかになりました。
さらに、クラウド利用やテレワークの普及により、境界型セキュリティでは十分な防御が困難になり、「ゼロトラスト」モデルの重要性が高まっています。ゼロトラストは「何も信用しない」ことを前提に、ユーザー、デバイス、アプリケーション、通信の全てを検証し、適切な条件下でのみアクセスを許可するセキュリティモデルです。
ゼロトラストを実現するための主要コンポーネントは以下の4つです。
(1)IDaaS(Identity as a Service)
IDaaSは、ユーザー認証を一元管理するサービスです。従来、クラウドサービスごとに異なる認証情報が必要でしたが、IDaaSを利用することで一度認証されれば登録済みのサービスへアクセスできるようになります。これにより、ユーザーのID・パスワード管理が簡素化されるとともに、管理者側はパスワードの使い回しを防ぎ、アカウント管理を効率化できます。
(2)EDR(Endpoint Detection and Response)
EDRは、エンドポイント(PCやスマートフォンなどの端末)に対する保護と監視を行うソリューションです。NGAV(次世代アンチウイルス)やEDRを活用し、端末上で動作するソフトウェアの挙動をリアルタイムで分析し、不審な動きを検知・対応します。これにより、境界型セキュリティでは防げなかった内部の脅威にも迅速に対応できます。
(3)CASB(Cloud Access Security Broker)
CASBは、クラウドサービスの利用状況を可視化し、適切に管理するためのソリューションです。クラウドサービスの不正利用やデータの不正な持ち出しを防ぐため、ユーザーやデバイスごとにアクセスを制御します。IDaaSと役割が重なるように見えますが、多層防御の観点から、複数の認証プロセスを導入することで、より強固なセキュリティを実現できます。
(4)SWG(Secure Web Gateway)
SWGは、ユーザーがアクセスしようとするWebサイトやクラウドサービスが安全かどうかを検証する機能を持ちます。不審なサイトやフィッシング詐欺のリスクがあるサイトへのアクセスを制限することで、マルウェア感染や情報漏えいのリスクを低減できます。
これらのコンポーネントを導入することで、企業は従来の境界型セキュリティの限界を克服し、より強固なセキュリティ環境を構築できます。現在、セキュリティ管理者の人材不足やアラート対応の負担増加が課題となる中、ゼロトラストは新たなセキュリティ対策として注目されています。
しかし、導入にはコストや人材不足の問題も伴います。今後、ゼロトラストソリューションの具体的な導入方法や、導入することにより、どのように企業のコスト削減や人材不足の解決に貢献するかが重要な課題となるでしょう。
ハイブリッドワークで懸念される多様なセキュリティ脅威に対抗する統合型SASEソリューション「Cisco Secure Connect」
次に、ゼロトラストを実現する具体的な方法として、ゼロトラストセキュリティを実現する要素である「SWG」と「CASB」を兼ね備えた、シンプルかつすぐに使える統合型SASEソリューション「Cisco Secure Connect」をご紹介しました。
ゼロトラストセキュリティを実現するための手段として、Ciscoの統合型SASEソリューション「Cisco Secure Connect」があります。SASE(Secure Access Service Edge)は、ネットワークとセキュリティを統合し、クラウド経由で提供するフレームワークであり、ユーザーやデバイスがどこからでも安全にクラウドサービスやデータにアクセスできるようにします。
CiscoのSASEは、SD-WANを「Cisco Meraki」、SSE(Secure Service Edge)を「Cisco Secure Connect」が担当し、管理画面の統一による利便性が特長です。
Cisco Secure Connectは、拠点やリモートユーザー向けにセキュアなネットワークアクセスを提供します。本社・ブランチ・データセンターはMeraki、SD-WAN経由でSecure ConnectとVPNトンネルを構築し、インターネットやプライベートアプリ、本社ネットワークへのアクセスを確保。リモートユーザーは「Secure Client」を利用してセキュアな通信を確立し、Webアプリへエージェントなしで安全にアクセスする機能も提供します。
セキュリティ機能として、DNSセキュリティ、クラウド型ファイアウォール、セキュアWebゲートウェイ(SWG)、クラウドアクセスセキュリティブローカー(CASB)を統合。さらに、デバイスポスチャ機能でOSバージョンチェックなどを行い、不正デバイスのアクセスを防ぎます。
Cisco Secure Connectを導入することで以下の主要機能が強化されます。
・セキュア・インターネット・アクセス:どこからでも安全なインターネットアクセスを提供し、DNSセキュリティ、ファイアウォール、Webインスペクション、SaaSセキュリティを活用。
・セキュア・プライベート・アクセス:データセンターやプライベートクラウドへのアクセスを保護し、クラウド型リモートアクセスやエージェントレスのZTNA、セキュアなブランチ接続を実現。
さらにMerakiとSecure Connectを統合すると、LANからWAN、クラウドセキュリティまで可視化・管理が可能です。
従来は各ネットワーク機器を個別管理する必要がありましたが、Merakiのダッシュボードで一元管理できるため、障害発生時の切り分けが容易となり、管理負担が軽減されます。
また、オンプレミスVPN機器の脆弱性を狙った攻撃が増加する中、Secure Connectのクラウド型VPNを利用すれば、VPN機器の管理が不要となり、サイジングの問題も解消。Ciscoの「Secure Connect Hub」が常に最新の状態に保たれるため、セキュリティリスクが低減されます。
Cisco Secure Connectの運用効率化ポイントは以下となっています。
・統一されたセキュリティポリシーの適用:クラウドHUB経由でセキュリティポリシーを統一し、拠点やユーザーの所在地を問わず、一貫したセキュリティ対策を提供。
・バージョンアップ作業の自動化:現地作業不要で管理者の負担を軽減し、Ciscoのクラウドサービスにより常に最新のセキュリティ対策を適用。
・一元管理による運用負担の軽減:ネットワーク機器とクラウドセキュリティをMerakiのダッシュボードで統合管理し、複数の管理コンソールを確認する手間を削減。
・エージェントレスZTNAの活用:BYOD端末や外部業者向け端末でも、クライアントレスのZTNAを活用し、安全なリモートアクセスを提供可能。
弊社では、Cisco Secure Connectのマネージドサービスを提供し、多拠点展開の企業だけでなく、中小企業でも導入しやすいパッケージを提供しています。マネージドサービスを活用することで、障害対応や設定の保守運用などを任せることで、IT管理者が取り組むべき業務に集中できます。
ワンストップのクラウドセキュリティ「Cisco Secure Connect」|高千穂交易株式会社
クラウドサービスの利用拡大で難しくなるID運用の課題を解決するIDaaS「Onelogin」
現在では「Microsoft 365」や「Google Workspace」、「Salesforce」「Dropbox」「Slack」などのクラウドサービスが広く業務で利用されるようになり、セキュリティの高いログイン管理の整備・運用が難しくなっています。そうした様々なクラウドサービスのID運用やアクセス管理の問題を解決するIDaaSソリューションとして「Onelogin」を紹介しました。
従来のオンプレミスADではクラウド環境との連携が困難であり、人事異動や退職者のアカウント管理、アクセス制御、ログ管理の負担が増大していました。また、ユーザー側では、複数のID・パスワードの管理や定期的なパスワード変更が煩雑な問題となっています。
OneLoginは、Active Directory(AD)とクラウドサービスのIDを連携し、シングルサインオン(SSO)や多要素認証(MFA)を活用することで、セキュリティを強化しながら管理を効率化できます。Oneloginは、企業のID管理基盤と各クラウドサービスとの橋渡しをすると同時にセキュリティ機能を付加するソリューションです。
OneLoginには、以下の主要機能が含まれています。
・シングルサインオン:一度の認証で複数のクラウドサービスにシームレスにアクセス可能。
・ユーザープロビジョニング:ユーザーアカウントの作成・削除を自動化し、管理負担を軽減。
・多要素認証:不正アクセスを防止し、より強固なセキュリティを実現。
・アクセスコントロール:ユーザーやデバイスごとに細かくアクセス制御を設定。
・レポート機能:ID管理の監査を行い、不正アクセスを可視化。
OneLoginのポータルにログインすると、ユーザーは利用可能なクラウドサービスを一覧で表示でき、クリックするだけで各サービスにアクセス可能です。個別のID・パスワード入力の手間が削減され、利便性が向上します。
OneLoginは、One Identity社が提供するIDaaSソリューションで、2010年から運用されており、現在5,500社以上の企業に導入されています。また、登録済みの6,000以上のアプリケーションに対応しており、企業規模を問わず活用できる柔軟性と拡張性を備えています。
さらに、ガートナーの「Magic Quadrant」で高評価を受けており、IDaaS分野のリーダーポジションを確立しています。導入企業にはIndeedやUberなどのグローバル企業も含まれ、最大200万ユーザーを管理する実績があります。
OneLoginの導入により、以下の点で運用の効率化が期待できます。
・オンプレミスADとのスムーズな連携:クラウド統合によりID管理が簡素化。
・WebブラウザのID・パスワード管理の一元化:管理者とユーザーの負担を軽減。
・多要素認証(MFA)とアクセスコントロール:セキュリティを強化し、不正アクセスを防止。
OneLoginは、ID管理の煩雑さを解消し、セキュリティの強化と運用負担の軽減を同時に実現するソリューションです。クラウド利用の増加に伴い、IDaaSの導入は企業にとって不可欠な要素だと言えます。
クラウド型シングルサインオン・アクセスコントロール(IDaaS)ソリューション『OneLogin』 – 高千穂交易株式会社
ランサムウェア攻撃の被害最小化にも役立つEDR「SentinelOne」
従来のセキュリティ対策の多くが、水際で保護する「Endpoint Protection Platform(EPP)」を中心としていました。ただ、日々進化を続けるサイバー攻撃を完全に防ぐことは難しいのが現状です。そこで注目される「EDR(Endpoint Detection and Response)」の中で、AIを搭載した自律型ソリューションとして高い評価と実績を誇るEDRソリューション「SentinelOne」を紹介しました。
近年、ランサムウェア被害が深刻化し、サイバーセキュリティの考え方が変化しています。従来の対策は「予防」を重視し、脅威を未然に防ぐことが主流でした。しかし、NIST(米国国立標準技術研究所)のサイバーセキュリティフレームワークでは、「識別・防御」に加えて「検知・対応・復旧」の事後対応の重要性が強調されています。攻撃の高度化により、完全に防ぐことは困難であり、侵入された際に被害を最小限に抑え、迅速な復旧が求められています。
このような背景から、エンドポイントセキュリティの重要性が増し、EDRの導入が不可欠となっています。特に、高度なAI分析と自動復旧機能を備えた「SentinelOne」は、優れたEDR製品として注目されています。
SentinelOneは、端末の保護、脅威の検知、対応、復旧までを自動化するEDR製品です。
同社は2013年に設立され、2021年にニューヨーク証券取引所へ上場し、12,000社以上の企業に導入されています。ガートナーの「マジック・クアドラント」で4年連続リーダーポジションを獲得し、第三者評価機関からも高く評価されています。
SentinelOneは識別から復旧までを迅速に対応でき、複数の検知エンジンによる既知・未知のマルウェアのブロックとAIによる即時の自動対応・修復を実現します。主に以下の特長を持ちます。
● 多層防御とAIによる自動検知・対応:パターンマッチング、構造解析、ふるまい検知など複数のエンジンを活用し、既知・未知のマルウェアを防御。侵入後もプロセスやファイルを即座に隔離し、自動で端末を保護。
● 自動復旧機能(ロールバック):ランサムウェアによって暗号化されたファイルを、Windowsのボリュームシャドーコピーを活用して復旧。4時間ごとにスナップショットを取得し、感染前の状態へ戻すことで業務継続を支援。
● SOC不要の運用:他社のEDR製品は検知後の対応に人的作業が必要ですが、SentinelOneは防御から復旧までをAIが自動化。管理者は脅威が除去された後に調査し、ブラックリストやホワイトリストの設定を行うのみで運用可能。
● 自律型エージェントによる保護:オンライン・オフラインを問わず、ネットワーク環境に依存しないエンドポイント保護を実現。クラウドに依存せず、端末単体で防御・検知・復旧が可能。
SentinelOneを導入することで、以下のように運用負担を軽減できます。
● AIによる即時自動対応:防御から復旧までをAIが処理し、管理者の負担を軽減。
● SOC不要のシンプルな運用:アラート対応に追われることなく、必要な調査のみを実施。
● 自律型エージェントによるオフライン保護:ネットワークに依存せず、常にエンドポイントを保護。
● シンプルな設定で容易に導入・運用:複雑なチューニングが不要で、導入後すぐに運用可能。
EDRの導入は、サイバーセキュリティにおいて「識別・防御・検知・対応・復旧」のすべてをカバーする重要な要素です。特にSentinelOneは、他のEDRと比較しても防御から復旧までの自動化機能に優れており、運用負荷を大幅に削減できる点が大きな強みです。
また、AIによる自動対応により、管理者の負担を軽減しながら、高度なセキュリティを実現します。SentinelOneは、大量のアラートを受けることによる「アラート疲れ」や、SOCサービスもしくはMDRなどの高額サービスの導入・検討する必要性などのハードルを取っ払ってくれる「SOC要らずで運用可能なEDR製品」となっております。
自律型EDR SentinelOne(センチネルワン) – 高千穂交易株式会社
高千穂交易の強み
高千穂交易は全国300カ所にサービス網を持ち、24時間365日の保守体制を備えております。また、全社員に占めるエンジニア系の割合が42.5%と半数近くが技術系の社員となっておりまして、技術商社として製品の販売だけでなく、技術支援からアフターサポートまで含めて提供しております。
また、これまで多くの企業や教育機関向けに提供してきた実績があり、そこで蓄積された知見やノウハウを活用し、セキュリティ対策の高度化や運用の効率化・負荷軽減などについて、製品・サービス導入から構築・保守サポートまでをご支援しております。
「ゼロトラストの実装をどう進めていけばいいのか分からない」「ランサムウェア、マルウェアなど高度化するサイバー攻撃を防ぎたい」「増え続けるセキュリティ運用の負荷を軽減したい」という方は、ぜひ弊社にお気軽にご相談ください。