クラウドベースでネットワークセキュリティ機器を効率的に一元管理するには：「管理のための準備が面倒」という本末転倒に終止符を

コロナ禍で企業のネットワークを取り巻く環境は大きく変化した。これを狙ったサイバー攻撃が発生している現在、ネットワークを含めたセキュリティ対策は企業にとって喫緊の課題だ。運用を一元化して脅威から情報資産を効率良く保護する方法とは。

[PR／ITmedia]

PR

日立ソリューションズ　セキュリティプロダクト本部　セキュリティプロダクト第2部　第1グループ　ユニットリーダ　加藤利昭氏

　新型コロナウイルス感染症の影響を受けて、オフィスに通勤することなく業務を行う必要が生じた。SaaS（Software as a Service）やVPNを使用したテレワークを採用したり、「Microsoft Teams」や「Zoom」などの新たなコミュニケーション手段を活用したりする企業が増え、より柔軟な働き方が可能になった。

　だがこの状況を見逃さず、隙に付け入ろうとするサイバー攻撃者も現れた。「社内サービスへのリモートアクセスに使われるアカウント情報や認証情報を不正に入手して悪用したり、リモートコミュニケーションツールの脆弱（ぜいじゃく）性を悪用したりするリスクが今後もなくならないでしょう」と話すのは、日立ソリューションズの加藤利昭氏（セキュリティプロダクト本部　セキュリティプロダクト第2部　第1グループ　ユニットリーダ）だ。

コロナ後のIT環境で浮上してきた新たな課題

　こうした状況では、従来のような社内と社外にエリアを分ける境界型防御にとどまらない柔軟なセキュリティ対策が求められる。「クラウド移行が進んだことで、ネットワークのアクセス先はオフィスだけとは限らなくなりました。アクセス元もオフィスだけでなく拠点や自宅、社外など多様化しています。環境の変化に伴って新たな脅威が発生しており、対応する側も柔軟に新たな環境に対応できるようにセキュリティ対策を強化していかなければならないでしょう」（加藤氏）

　ただし、全てがクラウドに移行したわけではなく、現実にはオンプレミスで運用してきたITシステムもまだまだ重要な役割を担っている。つまり、ハイブリッド環境が現実解になっている。

日立ソリューションズ　セキュリティプロダクト本部　セキュリティプロダクト第2部　第1グループ　グループマネージャ　妹尾和也氏

　こうした実情を踏まえて、日立ソリューションズの妹尾和也氏（セキュリティプロダクト本部　セキュリティプロダクト第2部　第1グループ　グループマネージャ）は「オンプレミス環境のネットワークもしっかりと守りつつ、新しい環境にも対応していかなければこれからのIT環境を守れないと考えています」と警鐘を鳴らす。

　環境の変化に加え、もう一つ忘れてはならないことがある。導入したセキュリティ機器のメンテナンスだ。導入したらそれで終わりとはならず、適切に設定してメンテナンスし続けることがセキュリティの確保には欠かせない。例えばセキュリティ機器自体に脆弱性があった場合、悪用されて社内への侵入を許してしまう。事実、このような脆弱性を突かれてランサムウェアに感染してしまったケースも複数報じられている。

　このような事態を避けるには、適宜OSやファームウェアをアップデートして脆弱性を修正する必要がある。「既知の脆弱性を狙ったサイバー攻撃が多発しています。現状を踏まえると、また従前から言われている通り、セキュリティ機器は入れっぱなしでは意味がありません」（妹尾氏）

　ただ現実はなかなか理想通りにはいかない。企業が導入しているセキュリティ機器は多種多様で、場所も本社やデータセンターだけではなく、各拠点に散らばっている。一つひとつ回ってメンテナンスをするとなると管理者には負荷がかかる。しかもコロナ禍で「できればオンサイトの作業は避けたい」という声も上がっている。「何か一つメンテナンス作業をするにも、これまで以上に負荷が高まっているのは事実です」と加藤氏は指摘する。

「管理のための準備」はもはや不要に　クラウドベースで管理機能を提供

　日立ソリューションズはJuniper Networksが2022年2月にリリースしたクラウドベースの管理ソリューション「Security Director Cloud」を提供することで、こうした状況の解決を図ろうとしている。管理対象は統合セキュリティ機能を提供するアプライアンス「Juniper Networks SRXシリーズ」だ。

　Juniper Networksは長年にわたって、ファイアウォールやVPNをはじめとするネットワークアプライアンスを提供してきた。

　SRXシリーズはセキュリティ機能とルーティング機能を一台で提供しつつ、高いパフォーマンスと、専用OS「Junos」をベースにした管理のしやすさ、それによる運用コストの低減などが特長だ。アンチウイルス機能やアンチスパム機能、URLフィルタリング機能を統合したり、振る舞い検知機能を生かして未知の脅威を検出したりするなど、多層防御を一台で実現できる。

　大きな特長の一つはアプリケーションごとに通信を処理する「AppSecure」だ。「高度な分類エンジンによってネットワークを通過するアプリケーションを正確に識別します。さらに、特定のアプリケーションを識別し、例えば、拠点からの通信を本社のデータセンターを通さずに直接インターネットに通信させることもできるため、通信が集中しがちな本社の通信負荷を低減するローカルブレークアウトを実現することも可能です」（加藤氏）。セキュリティ制御と、QoS（Quality of Service）や通信経路の制御といったルーティング機能を組み合わせることできめ細かなコントロールを実現し、環境に応じた柔軟なセキュリティソリューションを展開できる。

　これまでSRXシリーズの設定や運用管理、ログの管理といった作業は各機器のコンソールにログインする他、「Security Director」で一元的に操作できた。そしてさらなる管理負荷の低減を目指して、同機能をSaaSで手軽に利用できるようにしたのがSecurity Director Cloudだ。

　Security Director Cloudは、Security Directorと同様に、管理下にあるSRXシリーズ、それもオンプレミスのアプライアンスとクラウドで稼働している仮想アプライアンスの両方についてファイアウォールやUTM（統合脅威管理）のポリシーを一元的に設定して、アプリケーションや脅威状況を可視化できる。稼働状況の確認だけでなく、ファイアウォールの基本ポリシーからUTMやアプリケーションの識別といったオプション機能の設定まで可能だ。

Security Director Cloudの概要（提供：日立ソリューションズ）

　「Security Director CloudはSaaSで提供されるので、管理者がどこにいても一元的にSRXシリーズを運用管理できます。コロナ禍において、クラウドを経由してリモートから今まで以上に簡単にセキュリティ運用を実現することが特長です」（加藤氏）。管理サーバを別途用意したり、管理者が拠点に出向いたりする手間をかけず、迅速に管理できる。

　管理負荷の低減という意味では「ゼロタッチプロビジョニング」（ZTP）機能も特長として挙がる。これまでネットワーク機器やセキュリティ機器の設定には知識を持った技術者が必要だった。このため新たな拠点にセキュリティ機器を導入する際は、担当者をアサインしてスケジュールを立てて現地に赴く……とさまざまな調整の手間がかかっていた。

ZTP機能の概要（提供：日立ソリューションズ）

　ZTP機能を利用すれば、SRX本体を拠点に持っていき電源とネットワークにつなぐだけで、必要な設定が自動的にインプットされる。電源を入れて幾つか設定を加えればすぐに利用できる。

　最近ではクラウドベースでZTP機能を提供するベンダーも登場しているものの、ZTPを使うに当たり、想定していたよりも事前準備が複雑で容易に使えないケースもある。「その点、Security Director CloudのZTP機能は非常に使いやすい形になっています」と妹尾氏は説明する。

　さらに、管理者にとってありがたいのはOSのバージョンを容易に管理できることだろう。

　サイバー攻撃の動向を踏まえて、ベンダー側も脆弱性が発見されればすぐに手を打ち、セキュリティアップデートを提供する。だが管理者の立場としては、安定運用が求められるネットワークやセキュリティインフラを頻繁に止めて更新するわけにはいかない。かといって、脆弱性を放置してサイバー攻撃者にみすみすやられるわけにもいかない……と、どちらを取っても頭の痛い状況になっていた。

　「コロナ禍の中、複数の拠点に機器を設置して運用している顧客にとっては、バージョンアップなどのメンテナンスを柔軟に行うのが難しくなっていました。Security Director CloudはOSのバージョンを一括でコントロールできるため、運用の負荷を大幅に低減できます」（加藤氏）

　これまでITソリューションやセキュリティソリューションの運用には、別途管理サーバを要するケースがほとんどだった。ハードウェアを調達して、管理用ソフトウェアを導入して初めて、本来の目的である管理ができた。これに対してSecurity Director Cloudは、ライセンスを購入すればすぐに利用できるので「管理の前の準備」は不要だ。妹尾氏は、「細かな準備は気にせず、きちんと管理だけをしたいというニーズにSecurity Director Cloudは適しています」と述べ、今後、クラウドベースの管理が広がっていくだろうと語った。

厳しい品質評価と手厚いサポート体制で安心して運用できる環境を提供

　日立ソリューションズはJuniper Networks製品の取り扱いを開始してから20年以上にわたって販売を続け、サポートを提供してきた。Juniper Networksのエンジニアとも定期的にミーティングを行い、品質面で気になる事柄があれば速やかに共有して、エスカレーションするパスができている。「Security Director Cloudにも、われわれが強く要望した機能が追加されています」（加藤氏）

　さらに「メーカーから提供されたものをそのまま販売するのではなく、独自の品質評価ガイドラインに基づいて、出荷前に必ずわれわれ自身の目で評価、検証を行った上で販売しています。独自のリリースノートを作成して、評価の際に見つかった注意事項や案内すべき内容を顧客に提供し、製品に起因した障害が一つでも発生しないように、という姿勢で取り組んでいます」と加藤氏は述べる。

　しかもオプションの拡張保守サポートサービスでは、24時間365日体制で問い合わせに対応する他、全国300カ所以上の拠点をベースにオンサイトでの機器交換などに対応している。

　加藤氏によれば、20年のナレッジの蓄積の結果として、顧客からの問い合わせの96％（2022年1〜3月、日立ソリューションズ調べ）は、Juniper Networksにエスカレーションすることなく日立ソリューションズ内で自己解決できているという。手厚いサポートは顧客からも好評で、アンケートによると顧客満足度は90％以上（2022年4〜9月、日立ソリューションズ調べ）に達している。

　コロナ禍をきっかけにわれわれの働き方は大きく変わったが、オンプレミスを完全に手放すわけにもいかない。そんなハイブリッド環境でのセキュリティ対策において、「Security Director Cloudは、セキュリティ環境をしっかり監視してセキュリティポリシーをトータルで一元管理し、タイムリーなセキュリティ対策を実現するソリューションになるでしょう」と妹尾氏は述べる。

　「SASE」（Secure Access Service Edge）をはじめとするクラウドベースのソリューションが広がる中、Security Director Cloudは、オンプレミスも含めた統合的な運用管理とセキュリティの強化を実現する鍵と言えそうだ。SRXシリーズ、およびSecurity Director Cloudについては無償の評価版も提供されているため、次世代のセキュリティ運用を体験してみてはいかがだろうか。