MENU

ゼロトラストセキュリティ

ゼロトラストセキュリティ

ゼロトラストセキュリティ導入記~今なすべきセキュリティ対策のコツ~

2021.09.09

第5回
アクセス管理3 インターネットブレイクアウトのサービス展開、導入のポイント

アライドテレシスが導入したゼロトラストセキュリティの具体例をもとに詳細を紹介する連載の第5回。今回は、インターネットブレイクアウトによるアクセス管理についての3本目。インターネットブレイクアウト導入により得られた知見とノウハウをもとに展開したサービスの紹介と、導入の上で気を付けるべきポイントのまとめを紹介する。

クラウドUTM、SD-WANパックをサービス展開スタート

アライドテレシスでは、今回のゼロトラストセキュリティ1導入をDevOps2体制で推進していることは第2回で説明した。実際に導入・運用して、効果を検証した上で、サービスとして提供することを目的としており、このインターネットブレイクアウト3についても、すでにサービス展開をスタートしている。
今回のインターネットブレイクアウト導入により得られた知見とノウハウをもとに、2020年7月からクラウドUTM4のサービスを提供開始している。セキュリティ対策をワンストップで提供するサービス「Net.CyberSecurity5」の「クラウドUTMサービス」だ。
Net.CyberSecurityクラウドUTMサービスは、クラウド型のメリットを生かし、従来は拠点単位でインターネットの出口に設置していたUTM機器をクラウド上に統合することで、効果的かつ効率的な運用を実現するだけでなく、SD-WAN6やインターネットブレイクアウト環境などへの接続にも対応する。ブレイクアウトした回線をクラウドUTMで収容することでセキュリティを統合管理できる。テレワーク用リモート接続や、拠点間のインターネットVPNのセンター収容サービスとしても利用が可能だ。

用語解説
  • 1

    ゼロトラストセキュリティ:「信頼しない(ゼロトラスト)」ことを前提とするセキュリティ対策の考え方。モバイル端末の活用拡大、テレワークなどの働き方の変化により、これまでの「社内ネットワークの端末は安全」という境界型ではなく、全ての通信を信頼しない前提でさまざまなセキュリティ対策を行うことが必要となっている。

  • 2

    DevOps(デブオプス):開発(Development)と運用(Operation)を組み合わせた言葉。開発チームと運用チームが協同し、製品などのビジネスの価値を生み出す仕組みやそれを行う組織をいう。開発スピード、信頼性、生産性、品質の向上が本仕組みのメリットとしてあげられる。

  • 3

    インターネットブレイクアウト:特定のアプリケーションを抽出して、データセンターを経由せずに拠点から直接インターネットへ接続し、センター側回線のトラフィックを削減する機能もしくはその方法のこと。

  • 4

    クラウドUTM:ファイアウォールや不正侵入検知(IDS/IPS)、アンチウイルスやアンチスパム、Webフィルタリングなどのセキュリティ機能を集約したUTM(Unified Threat Management)機能を、アプライアンスではなくクラウドサービスとして提供するもの。

  • 5

    Net.CyberSecurity:アライドテレシスが開発した脆弱性診断サービス。自社のWebサイトや社内のLANシステムが抱えるセキュリティリスクを洗い出し、守るべきシステムや資産、データを低コストかつシンプルに可視化し、特定します。

  • 6

    SD-WAN(エスディー・ワン):Software-Defined Wide Area Networkの略。ソフトウェア制御により広域ネットワークを運用管理する技術。従来のように現場に赴いて機器の設定や調整を行うのではなく、中央のソフトウェアで広域なWANネットワークの構築や設定、制御を行うこと。

クラウドUTM
中村

中村

そもそも「Net.CyberSecurity」は、セキュリティゲートウェイとしてクラウド上でさまざまなセキュリティ対策を提供するサービスとして展開しています。クラウドUTMサービスはその中核となる一つで、各拠点の多様なセキュリティ対策を統合的に運用・管理するためのサービスです。

インターネットブレイクアウトを実現するUTMは下記のセキュリティ機能を統合的に管理できる。

  • アプリケーションコントロール(DPI)7
  • 侵入防御(IPS)8
  • IPレピュテーション9
  • マルウェアプロテクション10
  • URLフィルター11
  • ファイアウォール12
  • NAT13
  • Webコントロール14
  • アンチウイルス15

将来的にはID管理やデバイス管理、CASB(Cloud access security broker)16なども統合していく。

用語解説
  • 7

    アプリケーションコントロール(DPI):DPI(Deep Packet Inspection)の技術を利用して通過するパケットのデータ部分を検査し、通信内容にもとづいてどのアプリケーションのトラフィックであるかを判別する機能。

  • 8

    侵入防御(IPS):システムやネットワークへの侵入を防御すること。侵入防御の機能を持ったシステムをIPS(Intrusion Prevention System)と呼ぶ。既知の攻撃をデータベース化したシグネチャーとのパターンマッチにより侵入を検知。ポリシーにしたがって通信の遮断や切断を行うハードウェア/ソフトウェアをいう。LANに接続して利用するネットワーク型IPSと、ホストOSにインストールして用いるホスト型IPSがある。IDPとも呼ばれる。

  • 9

    IPレピュテーション:IP(Webアドレスやメール発信元)のレピュテーション(評判、信頼度)をもとにIPアドレス(Webサイトやメール)のリスクを評価する仕組み。セキュリティソフトでは、IPレピュテーションスコアの低いメールをフィルタリングする。Webサイトの閲覧を禁止するといった機能を持つものもある。

  • 10

    マルウェアプロテクション:ストリーム型アンチウイルスともいわれる機器もしくはソリューション。通過するアプリケーションパケットのデータ部分を検査し、既知のマルウェアを検出した場合は該当パケットを通知/遮断する機能。

  • 11

    URLフィルター:Webフィルタリングとも呼ぶ。指定したURL(Webサイト)へのアクセスを許可しない方式(ブラックリスト方式)と、指定したURLしかアクセスを許可しない方式(ホワイトリスト方式)が代表的。

  • 12

    ファイアウォール:FW、F/Wと略して記載されることも多い。ファイアウォール(防火壁)はインターネット・イントラネットで接続された社内(グループ内)のホスト(端末やサーバーなど)および、ホスト内部の機密情報を外部からのウイルスや不正侵入者から守る装置の総称を指す。

  • 13

    NAT(ナット):Network Address Translationの略。TCP/IPを前提にしたLANの場合、LAN内部で割り当てられるIPアドレス(プライベートアドレス)をインターネット接続のため、グローバルアドレスへ変換する機能。ルーターの機能として搭載される。

  • 14

    Webコントロール:主にセキュリティソフトウェアが持つ機能で、Webサイトへのアクセスをコントロールする機能。ルールを設定して、ジャンルやURLによりアクセスを禁止したり、ファイルのダウンロードなどを禁止したりできる。

  • 15

    アンチウイルス:Anti-Virusとも表記。パソコンなどのデバイスが感染するウイルスやマルウェアへの対策を行う仕組みやそのソフトウェアを呼ぶ。

  • 16

    CASB(キャスビー):Cloud Access Security Brokerの略。企業がクラウドアプリケーションを利用するにあたり、シャドーITなどの脆弱性対策として導入されるソリューション。実現には「可視化」「コンプライアンス」「データセキュリティ」「脅威の防御」が必要とされる。2012年に調査会社ガートナー社が提唱。

さらに、インターネットブレイクアウトとクラウドUTMのパッケージサービスをSD-WANサービスとしてスタートしている。文教向けの「GIGAスクール SD-WANパック」である。
GIGAスクール SD-WANパックは、文科省の「GIGAスクール構想」における対応向けで、回線やクラウドUTMサービス、ルーター、導入から保守までのオールインワンパッケージとなっている。

DevOpsからサービスへの展開

2021年3月、文科省より各教育委員会向けに「GIGAスクール構想の実現に向けた通信ネットワークの円滑な運用確保に係る対応について」が通知されており、各教育委員会では改めて学習系ネットワーク環境の安定性を確認し、課題がある場合には適切な改善策を講じる必要がある。
GIGAスクール SD-WANパックは、通信の安定性が不安、整備までに時間がない、セキュリティ対策が十分であるか心配といった悩みの解決には最適なパッケージとなっている。

福川原

福川原

すでに文教のお客様から多くのお問い合わせをいただいております。なお、企業向けの場合は利用環境やアプリケーション、既存のWAN18構成などのヒアリングが必要なためパッケージ化はしていませんが、都度対応させていただいています。すでに引き合いも多くいただいています。

用語解説
  • 18

    WAN(ワン):Wide Area Networkの略。広域情報通信網。いくつかの遠隔地のLAN(ラン、Local Area Network)を接続するネットワーク。一般の公衆回線やISDN、専用回線などを介して構築される。

インターネットブレイクアウト導入のポイント

インターネットブレイクアウトを導入するにあたり、そのコツや重要なポイントについて聞いた。

福川原

福川原

まず利用しているアプリケーションを特定することが重要です。アプリケーションとトラフィックを分析できればその後の導入は早いですが、ここがなかなか難しいポイントになります。ボトルネックの特定は私どものようなネットワークのプロがやっても難しい面があります。お客様の中には自力で行うのは難しいという方も多いと思いますので、そうしたお客様にはぜひご相談いただければお手伝いさせていただきます。

中村

中村

クラウドUTMサービスの運用についても、当社では「マネージドセキュリティサービス」を提供しています。運用まで手が回らないというお客様はぜひご連絡ください。ゼロトラストセキュリティは、複数のソリューションを組み合わせて実現します。とくにデータ連携をどうするかはポイントになります。今回の導入ではAMF-SEC19との連携を実現していますが、将来的にはセキュリティゲートウェイを中心に、オンプレミス、クラウドをシームレスに、安全・安心に活用するためのゼロトラストセキュリティを提供していきます。

用語解説
  • 19

    AMF-SEC:AMF-SECurityの略。アライドテレシスが開発したセキュリティ対策ソリューション。ネットワークを構成する通信機器をソフトウェアによって集中的に制御する技術SDN(Software-Defined Networking)により、各種アプリケーションと連携して各通信機器が直接接続するネットワークのエッジ側(エンドポイント)を管理。デバイスをネットワークから自動的に遮断・隔離して被害の拡大を防ぐことができる。

高度化するサイバー攻撃に対するゼロトラストセキュリティの実現

出典元

リモートワークを導入したものの効率が上がらず、従来のオフィス出社型に戻ってしまう例も多く見受けられる。もしその効率が上がらない原因が、リモートワークインフラのストレスによるのであれば、まずは見直しを行ってみるのも良いかもしれない。

次回はアライドテレシスが実際に検証を行っている「エンドポイントセキュリティ」について3回に分けて紹介する。

(第6話につづく)

関連リンク

脆弱性診断サービスNet.CyberSecurity
統合脅威管理サービスクラウドUTM
GIGAスクールSD-WANパック
文教ソリューションGIGAスクール構想
マネージドセキュリティ
サービス
セキュリティソリューションAMF-SEC

登場者

福川原 朋広

アライドテレシス株式会社
サポート&サービス事業本部
上級執行役員 本部長
福川原 朋広

中村 徹

アライドテレシス株式会社
サポート&サービス事業本部
サービスDevOps部 部長
中村 徹

  • 本記事の内容は公開日時点の情報です。
  • 記載されている商品またはサービスの名称等はアライドテレシスホールディングス株式会社、アライドテレシス株式会社およびグループ各社、ならびに第三者や各社の商標または登録商標です。
BACK TO LIST
  • ソリューション
  • サービス
PageTopへ