ゼロトラストセキュリティ
ゼロトラストセキュリティ導入記~今なすべきセキュリティ対策のコツ~
2021.10.28
第8回
エンドポイントセキュリティ③ アライドテレシスが提供するエンドポイントセキュリティ
アライドテレシスが導入したゼロトラストセキュリティの具体例をもとに、その詳細を紹介する連載の第8回。前回はアライドテレシスが取り組んでいるエンドポイントセキュリティについて紹介した。今回は、よりエンドポイントのセキュリティを強化する、もしくは導入を容易に行えるアライドテレシスのセキュリティソリューションについて紹介する。
アプリケーションと連携して被疑端末をブロック
これまでの連載記事のなかでも何度か言葉として登場した「AMF-SEC(AMF-SECurity)1」。アプリケーションと連携してアクセス制御を行う、アライドテレシスの独自技術だ。サイバー攻撃や内部犯行対策、管理端末の情報インシデント対策に向けた、アプリケーション連携ならではの“強靭なエンドポイントセキュリティ”を実現する。
- 用語解説
-
-
1
AMF-SEC:AMF-SECurityの略。アライドテレシスが開発したセキュリティ対策ソリューション。ネットワークを構成する通信機器をソフトウェアによって集中的に制御する技術SDN(Software-Defined Networking)により、各種アプリケーションと連携して各通信機器が直接接続するネットワークのエッジ側(エンドポイント)を管理。デバイスをネットワークから自動的に遮断・隔離して被害の拡大を防ぐことができる。
-
1
福川原
AMF-SEC(旧称SES)は、従来の境界型セキュリティだけでは防ぐことが困難な標的型攻撃やマルウェアによる脅威を防ぐために、2014年から提供しています。多様なアプリケーションベンダー様とパートナーシップを組み、ネットワーク運用管理の効率化およびセキュリティ強化ソリューションを提供しています。
連携アプリケーションが異常を検知すると、その情報をAMF-SECコントローラーへ送り、AMF-SECコントローラーが端末情報をAMFマスターに通知する。AMFマスターがアクセスを制御するという仕組みだ。これにより、マルウェア感染の横展開を防ぎ、被害を最小化できる。AMF-SECコントローラーには、連携アプリケーションからの異常なアラート情報が集まってくるため、検知・アクセス制御の状態を可視化することも可能だ。
なお、AMF(Autonomous Management Framework)は、複数のネットワーク機器の一括設定や一括アップデート、遠隔地からの管理・設定変更、事前設定不要の機器交換といった運用を可能とするアライドテレシスが独自開発した機能だ。
これらの機能を、オンプレミス/クラウドサービスのどちらでも利用できる提供形態を揃えている。
※音声がございますので、再生の際には、お気を付けください。
マルウェアなどの脅威を検知、可視化するソリューションは数多くあるが、中にはその後の対応は手動というものもある。マルウェアの検知が担当者の勤務時間内であれば、もしくは連絡が可能な場合であれば、迅速な対応は可能だが、そうではないケースもあり得る。AMF-SECはそうした際にも“自動的に”被疑端末を遮断/隔離することで、マルウェアの感染拡大を防ぐことが可能なのだ。しかも、ネットワークエッジだけ対応製品を設置して、コストを抑えたスモールスタートでの導入も可能だ。
中村
セキュリティ関連製品のみならず、オフィス省電力ソリューションやビルオートメーションにおけるセキュリティ確保など、次世代型ネットワークソリューションの提供に向けてアプリケーション連携を進め、幅広いパートナー各社とのアライアンスを広めています。
アライドテレシスでは、実際に自社でもAMF-SECを導入し、利用しながら、またユーザーの声を反映。さらにパートナープログラムも用意し、AMF-SECのサービス/機能強化を続けている。パートナープログラムはAMF-SECに関する各種技術情報入手をはじめとする、AMF-SECを利用したネットワーク運用のための技術・ビジネスモデルに基づき、パートナー各社間で相互にビジネスを成長させることを活動目的とするプログラムだ。
福川原
多くのアプリケーションベンダー様、インテグレーター様にパートナープログラムを利用していただいています。新たな方法による新しいソリューションを創出し、そしてエンドユーザー様へご提供することができます。
もっと容易にエンドポイントセキュリティを
アライドテレシスは2021年3月、セキュリティ対策支援サービス「Net.CyberSecurity2」に新たなサービスを追加した。その一つが、アプリケーション連携による不正端末隔離サービス「Isolation Adapter」だ。このサービスで、AMF-SEC機能をベース技術として利用している。
ネットワーク上に設置したセキュリティボックス(Isolation Adapter機能)が、AMFと連携することで、ネットワーク接続を制御し、不正端末を検出・隔離できる。同時にスイッチ構成やステータス、アクセス制御の状態をトポロジー図やグラフにより可視化する機能も備えている。
- 用語解説
-
-
2
Net.CyberSecurity:アライドテレシスが開発した脆弱性診断サービス。自社のWebサイトや社内のLANシステムが抱えるセキュリティリスクを洗い出し、守るべきシステムや資産、データを低コストかつシンプルに可視化し、特定します。
-
2
※音声がございますので、再生の際には、お気を付けください。
AMF-SECよりも手軽に導入可能で、いわばAMF-SECの機能をより手軽に利用できるサービスという位置付けだ。セキュリティボックスをネットワーク内に設置するだけ、設定もウィザード形式3と容易になっている。
- 用語解説
-
-
3
ウィザード形式:ユーザーにひとつずつ選択肢を提示することで入力を進めることができる操作方式のこと。難しい設定なども、画面操作に従い入力していくだけなので、初心者でも簡単に必要な操作・設定を完了することができる。Wizard(魔法使い)が由来。
-
3
福川原
セキュリティ専任の担当者がいらっしゃらない中小規模のお客様ほど、実はセキュリティ対策が必要という側面があります。既存ネットワークの変更が難しいというお客様にも容易に導入いただけます。
セキュリティボックスの操作や閲覧は、クラウド上に用意された管理画面(セキュリティポータル)で行う。ネットワークマップもAMFマスターからトポロジー情報を取得して自動描画するため、事前にネットワーク図を用意する必要はない。初期設定から運用・保守まで全てクラウドポータル上で完結する。セキュリティボックス以外のハードウェアやソフトウェアは不要だ。
中村
連携アプリケーションも順次拡大を計画しています。これまでに紹介した「クラウドUTM」や「AT Decoy」なども、その一つです。
Isolation Adapterと同時にNet.CyberSecurityに追加されたもう一つのサービスが「AT Decoy」だ。AT Decoyは、ネットワーク上に設置したセキュリティボックスを疑似サーバーとすることで、不正アクセスを検知し、送信元からマルウェアに感染した端末を検出する。
※音声がございますので、再生の際には、お気を付けください。
中村
AT Decoyは、通常業務では利用しないネットワークサーバーとしてネットワーク上に設置します。この利用されていない(アクセスされるはずのない)サーバーへの各種アクセス(HTTP、HTTPS、SMB、FTPなど)を、マルウェアがネットワーク上で増殖する動作と捉えて、送信元を不正な端末と認識します。
これもアクセスログをクラウド上のセキュリティポータルで可視化でき、不正アクセスを検知した際には、SYSLOGサーバーにイベント履歴を送信、通知および記録が可能だ。またIsolation Adapterと連携してアクセス制御を行い、可視化することができる。
福川原
ゼロトラストセキュリティ4を実現するにあたっては、トータルのソリューションとして大規模にネットワークやデバイスすべてを見直す方法もありますが、こうして小さなソリューションやサービスと連携することで、エンドポイントのセキュリティ強化を実現することも可能です。
中村
これらIsolation Adapter、AT Decoyも実際にさまざまな製品を社内導入、比較・検討して、お客様にご提供するにあたり何が最適かを考えた上でサービス化しています。ご安心してお問い合わせください。
- 用語解説
-
-
4
ゼロトラストセキュリティ:「信頼しない(ゼロトラスト)」ことを前提とするセキュリティ対策の考え方。モバイル端末の活用拡大、テレワークなどの働き方の変化により、これまでの「社内ネットワークの端末は安全」という境界型ではなく、全ての通信を信頼しない前提でさまざまなセキュリティ対策を行うことが必要となっている。
-
4
ここまで3回にわたりゼロトラストにおけるエンドポイントセキュリティについて紹介してきた。今回は導入記からは多少逸れてしまった面もあるが、実際にエンドポイントを守るための方法はさまざまで、利用しているネットワークやアプリケーションなどによっても最適解は異なる。
アライドテレシスではサードベンダーの製品を実際に導入し、検証しながら、ノウハウや知見を蓄積し、それをお客様へ製品やサービスなどの支援に生かしている。もし、少しでもエンドポイントのセキュリティに不安のある場合は是非アライドテレシスに相談して欲しい。
次回はゼロトラストのもう一つの要となるID管理5やシングルサインオン6について、アライドテレシスの取り組みを紹介する。
(第9話につづく)
- 用語解説
-
-
5
ID管理:ID=Identityを管理する仕組み、もしくは考え方。端末やシステム、ネットワークのIDとパスワードといったユーザーアカウント情報を一元的に管理し、適切な利用者にのみ権限を付与してIDを発行しシステム内の情報と実情に齟齬が出ないように保つこと。
-
6
シングルサインオン:SSO(エスエスオー)と略して記載されることも多い。企業や組織で業務利用される複数のシステムやソフトウェア、サービスなどへの認証(ログイン)を一度の処理によって利用可能とする仕組みやソリューション。シングルサインオンを利用することで複数のID/パスワードの管理が不要となる。
-
5
関連リンク
登場者
アライドテレシス株式会社
サポート&サービス事業本部
上級執行役員 本部長
福川原 朋広
アライドテレシス株式会社
サポート&サービス事業本部
サービスDevOps部 部長
中村 徹
- 本記事の内容は公開日時点の情報です。
- 記載されている商品またはサービスの名称等はアライドテレシスホールディングス株式会社、アライドテレシス株式会社およびグループ各社、ならびに第三者や各社の商標または登録商標です。