コラム/トピック

ますます重要になるネットワークセキュリティ、
システム全体を統合管理した対策を

ますます重要になるネットワークセキュリティ、システム全体を統合管理した対策を

社内のICT機器はもちろん、取引先を含めた社外とのコミュニケーション(情報交換)は、その大半がネットワークを通じて行われます。そして、それぞれの利用者が「漏えいしてはならない顧客情報や機密情報」などの情報資産を抱えています。誰とでもつながることができるネットワークは、便利な反面、どこからでも侵入や攻撃を許してしまうルートにもなります。よって、これらのサイバー攻撃を検知して防御する「ネットワークセキュリティ」を構築しなければなりません。まずはネットワークの管理を統合し、そのうえで包括的な対策を施していくのがポイントです。

ネットワークセキュリティの重要性を再確認

大手企業であっても、個人情報の漏えい、不正利用による被害などが相次いで報じられています。これは決して対岸の火事ではありません。ネットワークで世界とつながっているかぎり、誰にでも、どの企業にでも起こりえるリスクです。

サイバー攻撃、情報の奪取など、
ほとんどの攻撃がネットワークを介している

サイバー攻撃、情報の奪取など、ほとんどの攻撃がネットワークを介している

ビジネスで利用するパソコンやタブレット、スマートフォンのうち、ネットワークに一切接続されていない「スタンドアローン」として利用されている端末は、もはや非常に少ないといえるでしょう。業務で使うコンピュータは、有線/無線に関わらず何らかのネットワークと接続されています。IoT(モノのインターネット)技術では、カメラやセンサーなどもネットワーク上で稼働しています。

つまり、外部から悪意を持ってネットワークに侵入する場合、「接続されているコンピュータのいずれか」を起点に侵入すればよいのです。例えば、不正メールの開封や不用意に訪れたサイトなどが原因で「侵入の突破口」を作るウイルスに感染してしまうと、ネットワークを介して外部からの侵入を許してしまいます。その結果は、データの破壊活動や窃取、巧妙な改ざんなどの被害となって現れます。

被害とその賠償額

サイバー攻撃による被害は公表されていないものも多く、ほぼ毎日のように発生していると考えられます。日本の企業数は、中堅中小規模も含めると約386万社(平成28年時点、日本の統計2020より)にも上ります。ターゲットになる確率は必然的に低くなるので、これまで攻撃らしい攻撃を受けなかった企業があっても不思議ではありません。しかし、今後もそのターゲットになる危険性はずっと続きます。

意図的に過剰なアクセスをして企業のWebサーバをダウンさせるDDoS攻撃も、その間に取引停止が起これば「期待売上×ダウン時間」が損害額となります。また、「攻撃された」という事実は、攻撃された側(企業)のセキュリティの脆弱さをイメージとして定着させてしまう危険性があります。ネット販売やネットサービスを提供している企業にとっては、利用者数に影響をおよぼすなど、目に見えない損害が発生します。

さらに、標的型攻撃では、個人情報の奪取により膨大な賠償額が生じるケースもあります。これらの多くは顧客数の多い大企業をターゲットとしますが、その取引先や子会社のシステムの脆弱性を攻撃の足がかり(踏み台)として利用し、目的を果たす手口もあります。個人情報の漏えいとなる事例が多く、その賠償額や信頼の失墜による売上機会の損失は、とても大きなものになります。「踏み台」にされた取引先企業や系列会社に損害の責任が及ばないともかぎりません。

最近注目のランサムウェアは、個人、企業の境なく被害者になる危険性が高いのが特徴です。ウイルスが仕込まれたメールの開封、Webサイトへのアクセスなどにより、パソコンやスマートフォンがロックされてしまい、その解除のために「身代金」と呼ばれる金銭を要求されるものです。「身代金」の額は数十万円程度の場合が多く、企業にとっては大きな額ではないケースもありますが、社員の不注意によりパソコンが感染してしまうと、ネットワーク上の多くの機器まで機能停止の状態になってしまい、業務に支障が出るほどの被害にもなりかねません。また、「身代金」を払えばシステムのロックが必ずしも解除されるとはかぎらず、システムのロックと金銭的な損害の双方を被ることもあります。

ネットワークセキュリティの概要

続いては、ネットワークセキュリティの概要を再認識し、対策を講じられるようにするためのポイントを解説します。

ネットワークセキュリティとは

ネットワーク上のサイバー攻撃は、「その被害が広範に及ぶ危険性がある」ということをご理解いただけたと思います。それだけ、ネットワークを対象としたセキュリティの重要性は高いことになります。ひとくちにネットワークといっても、次の3つの分類があることをまず理解しておくことが大切です。

クローズドネットワーク

企業内のみに限定されたネットワーク。研究開発や資産を扱う部署では、このような体制で外部からの侵入を防ぐ措置がなされます。ただし、USBといった外部記憶装置からウイルスに感染するリスクは否定できません。クローズドといっても、外部とのつながりが一切ないネットワークは少ないため、外部からの侵入リスクは残ります。

オープンネットワーク

ネットワークの基本的な仕様が外部に公開されているため、短期間で広域なネットワークを築くことが可能です。インターネットを介すれば、「社内のクローズドなネットワーク」から「不特定多数の他の企業や個人」とつながることもできます。開かれた存在であるため、悪意のある第三者に進入路を許してしまう危険性も高くなります。

これらにクラウドが加わったネットワーク

近年、企業のITを運営するうえで不可欠になったクラウドコンピューティングは、ストレージなどのリソースを企業外から借りるのが一般的です。自社が独自にクラウド環境を構築した場合は「プライベートクラウド」、クラウドサービス業者のリソースを借りた場合は「パブリッククラウド」となります。プライベートクラウドはクローズドされた環境がベースとなるため、パブリッククラウドに比べてセキュリティは高くなりますが、そのぶん構築コストは高くなります。このため、利用者は大手企業に限定されることが多いといえます。また、大手企業であっても、コストや構築スピードを重視して、パブリッククラウドを活用するケースが増えています。

「クローズドネットワーク」から「オープンネットワーク」へ、さらに「クラウドの併用」というように、ネットワークは進化しています。それだけ、セキュリティの対象も広範に及び、変化するネットワークへの対応が求められるようになっています。

そのセキュリティ対策は、外部からの侵入を防ぐファイアウォール、侵入したウイルスを検知・駆除するウイルス対策ソフトなど、これまでの対策技術をネットワークの拡大に合わせて配備し、複層化して、あらゆる攻撃に対処するのが一般的です。しかし、この手法は、広域化・多重構造化するネットワーク、手口を高度化させていくサイバー攻撃犯に対して、常に対策をアップデートしていく必要があり、大きな負担となります。見落としや脆弱な部分が残っていると、そこを起点に攻撃され、大きな損害を被る可能性も否めません。

ネットワークの方向性とセキュリティ対策

かつては、ネットワークというと「自社の専用回線」と「専用のハードウェア」で構築されるのが主流でしたが、近年はクラウドを含め、インターネット上のサービスと連係するケースが大半を占めます。ビジネスの変化に合わせて、ネットワークを構築・再構築していくスピードも求められます。クラウドをはじめとした「コスト的なメリット」を求める動きも、ますます強くなっています。また、次のような技術の利用が増えることで、ネットワークセキュリティのあり方も変わってきています。

VPN(Virtual Private Network)

仮想のプライベートネットワーク。公衆回線や閉域網を利用し、専用線で構築するよりも早く手軽に、プライベートなネットワークを構築できる点がメリットです。社内や社外の拠点といったLANを、暗号化したデータ通信によりつなぐことで、オープンなネットワークを介して、システム間でのデータのやり取りを可能にします。

こういったクローズドとオープン、そしてクラウドを加えたネットワーク環境の管理とセキュリティは、「その形態に合わせて行う」という考え方が主流になってきました。例えば、次のような技術がその1つとなります。

SD-WAN(Software-defined Wide Area Network)

一般的な管理からネットワーク接続の制御・セキュリティまで、ハードウェアから切り離して仮想WAN上で行うものです。ネットワークごとに随時対応するのとは異なり、オープン、クローズド、クラウドを含めた、ネットワーク全体を仮想WAN上で俯瞰し、包括的な管理とセキュリティ対策を行える環境を構築できます。

今後は、インターネットやクラウドシステムなどを活用していくうえで、「いかにネットワーク全体を効果的・効率的に守れるか?」が重要になります。従来の対策を見直し、まったく新しいセキュリティの手法を導入したほうが効果的な場合もあります。

ネットワークセキュリティの強化方法

もう少し具体的に、ネットワークセキュリティの強化方法を見ていきましょう。

脆弱さを残さないのが基本、対症療法では防げない

ネットワークのセキュリティは、そのネットワーク上で「漏れがないように」対策を講じるのが基本です。しかし、1つでも脆弱な部分が残っていると、そこを突破口に侵入されてしまう事例が後を絶ちません。多くの被害がそのパターンであることを考えてみるべきです。そもそも、漏れなく個々に対策をしていくのは、かなりのコストと作業量です。その割には「リスク低減率のパフォーマンスは悪い……」となってしまいます。

SD-WANに対応した統合脅威管理(UTM)

拡大するネットワークの管理は、仮想のWAN上で行うSD-WANが有効です。そして、セキュリティを実施するには、UTM(Unified Threat Management:総合脅威管理)という技術が最も有効であると考えられます。必要な個所に個別のセキュリティ対策を実施するよりも、統合されたUTMを採用したほうがコスト面や管理面のメリットは大きくなります。その上で、ネットワーク全体のセキュリティ管理を盤石にできるのです。

クラウドベースの利用環境の整備とセキュリティ

今後もますます利用が増えるクラウドを組み込んだネットワークでは、エンドクライアントからの一斉利用による本社システムのトラフィックの集中・増大から、レスポンスの低下などが予想されます。その対策のひとつが「インターネット(ローカル)ブレイクアウト」です。インターネットブレイクアウトとは、SD-WANにおいて近年使用されるようになったネットワーク構成です。ネットワーク通信の中からトラフィックを指定し、それらを振り分けて各拠点から直接インターネットに接続できる状態を作ります。この構成を取り入れる前のネットワークにセキュリティ対策をしても、いずれはトラフィックの負担からインターネットブレイクアウトへの移行が避けられないとするならば、はじめからそれを見込んだセキュリティを検討しておくことが重要になります。

まとめ:
ネットワークセキュリティ対策は、包括的な統合管理の下で行う

社内だけでなく、社外にも利用が拡大するネットワーク。個々の機器やシステムに対して対症療法的なセキュリティ対策を行うのではなく、インターネットブレイクアウトとUTMによる統合的なネットワークセキュリティ管理を行うことで、戦略的でスピード感のあるネットワーク運用が実現できます。

関連ページ

FortiGateで実現するセキュアSD-WAN

https://www.ctcsp.co.jp/products/fortinet/fortigate/fg-sdwan.html

インターネットゲートウェイに必要なセキュリティ機能を実現するUTM(統合脅威管理)「FortiGate」

https://www.ctcsp.co.jp/products/fortinet/fortigate/

ページトップへ