必要なのは通信を“隠して守る”ネットワークセキュリティ改革

PR／ITmedia

PR

　クラウドサービスが急速に普及して働き方も多様化したことで、ネットワークセキュリティを根本的にアップデートする必要性が増している。だが、多くの企業は今もファイアウォールに依存した旧来型のネットワークセキュリティから抜け出せていない。

　境界型ファイアウォールで保護する従来のセキュリティアーキテクチャでは、防壁を突破されると被害が組織全体に広がる恐れがある。この状況に対して、ゼロトラストベースのセキュリティ製品を提供するゼットスケーラーの平石和丸氏（コマーシャル営業部門　執行役員　統括本部長）は「ネットワークセキュリティの『改善』ではなく『改革』が不可欠です」と提言する。

　セキュリティ改革をどのように進めるべきか。人手やコストを十分にかけられない企業でも実現できるネットワークセキュリティの新しい姿を探る。

変わるビジネス環境、変わらないセキュリティアーキテクチャ

　「2000年代初頭にSaaSが普及し始め、アプリケーションがオンプレミスからインターネットの世界に移行しました。同時に『Amazon Web Services』（AWS）や『Google Cloud Platform』（GCP）などの利用も急速に進みました。ですが、ネットワークセキュリティはビジネス環境や働き方の変化に対応できていないのが現状です」と平石氏は語る。

　クラウドが普及する前のネットワークセキュリティは「ほぼ全てのデータが社内にあり、それを利用するユーザーも社内からアクセスする」という前提で設計されていた。現在はオンプレミスのシステムはSaaSに置き換えられ、従業員がオフィス外から業務システムにアクセスする機会が増えた。だが、セキュリティ対策は以前の環境を前提としたままであることが多い。

　ファイアウォールの内側を「信頼できる領域」と考えていた従来型のネットワークセキュリティには2つの問題がある。一つは、インターネットの出入り口が制限されることによる速度の低下だ。もう一つは、セキュリティリスクの増大だ。入り口を増やすとその分アタックサーフェスも増え、侵入を許してしまえば組織全体に被害が広がる可能性がある。

　サイバー攻撃の多くは4つのステップで実行される。まず、攻撃者はファイアウォールやVPN接続、アプリケーションなどで公開されているグローバルIPアドレスやポート番号をアタックサーフェスとして認識する。次に、こうした環境におけるアプリケーションの脆弱（ぜいじゃく）性やユーザーアカウントを標的として侵入。情報資産を探索するために内部ネットワークを横断（ラテラルムーブメント）し、最終的にデータ窃取という目的を達成する。従来のネットワークセキュリティでは、この内部ネットワークの横方向の移動を防げないことが致命的な弱点だ。

　これに対して企業は「城壁」を高くすることに注力してきた。ファイアウォールを強化して、多層的な防御策を施すという発想だ。だが、防御壁を強化すればするほどシステムは複雑化し、かかるコストも膨らむ。

　今、求められているのは部分的な対策の積み重ねではなく、根本的なセキュリティアーキテクチャの見直しだ。

IPアドレスの隠蔽で、攻撃者から「見えない」ネットワークセキュリティを実現

　この課題に根本から対応するのが、Zscalerが力を入れているゼロトラストアーキテクチャだ。

　平石氏は「Zscalerのコンセプトの中核は『アタックサーフェスを見えなくすること』と『ラテラルムーブメントを防ぐこと』にあります」と説明する。

　同社の中核サービスである「Zscaler Zero Trust Exchangeプラットフォーム」は「ネットワークを信頼する」という前提を根本から覆し、ネットワーク中心のアプローチから決別する解決策だ。

　通常のインターネット通信は、DNSサーバでドメイン名を検索するとIPアドレスが特定され、そこがアタックサーフェスになり得る。一方、Zscaler Zero Trust Exchangeプラットフォームを仲介して通信すると通信先のIPアドレスが隠蔽（いんぺい）され、外部にIPアドレスを知られることなく安全な通信ができる。見えないものは攻撃できないため、攻撃者に狙われる可能性は少ない。

　この仕組みはフリマアプリの「匿名配送」に例えると分かりやすいだろう。プラットフォームをハブとして情報を互いに開示することなく安全に取引を成立させるように、Zscalerは接続元と接続先が互いを直接知らせずに安全な通信を実現する。これによって外部からのアタックサーフェスが消滅し、侵入されても内部ネットワークでのラテラルムーブメントの防止につながる。

　Zscaler Zero Trust Exchangeプラットフォームは「Zscaler Internet Access」（ZIA）と「Zscaler Private Access」（ZPA）、「Zscaler Digital Experience」（ZDX）で構成される。これらがWebプロキシ、URLフィルタリング、マルウェア防御、VPNの代わりとなり、ゼロトラストネットワークアクセス、ユーザーデバイスやネットワーク全体の監視、分析などの機能を持つ。

　Zscalerのソリューションの強みは、世界160カ所以上のデータセンターで運用していることと、マルチテナント型アーキテクチャを採用していることだ。シングルテナント（占有環境）を採用するSASE（Secure Access Service Edge）サービスもあるが、同社のシステムはロケーションに依存せずに処理を実行し、高い可用性を実現している。

　「当社の社名『Zscaler』は『Zenith of Scalability』（天井知らずの拡張性）に由来します。当社の製品はその理念を体現し、高いスケーラビリティを確保しています」（平石氏）

　Zscalerのソリューションは、明確な投資対効果（ROI）を生み出す。同社はROIを計測するBusiness Value Assessment（BVA）ツールを提供しており、導入効果を事前に試算できる。例えばユーザー1万人の企業では3年間で総額1470万ドル（約22億円）のコスト削減ができ、ROIは200％に達すると考えられる。

　中堅企業への導入事例も豊富だ。

　長崎県内でのLPガス販売を中核事業とするチョープロは、SASE製品の導入をもともと検討していたが、ITパートナー企業がSB C&Sと共にZscalerの製品を提案して採用に至った。

　導入のきっかけとなったのは、ランサムウェア被害の経験だった。VPNを基にセキュリティ対策を強化したものの、コロナ禍で在宅勤務が増えていく中で新たな課題が浮上した。当時の環境は在宅勤務であっても支社からの通信であっても、一度全てのトラフィックが本社に集まって外部に出ていく構成だったため、Web会議で回線速度が遅くなるなどの問題が発生していた。

　導入に携わったSB C&Sの大東智裕氏（ICT事業本部　技術本部　第3技術部　2課　課長代行）はZscaler製品が評価されたポイントについてこう説明する。

　「ネットワーク機器の導入やSASEとのIPsec VPNの接続設定などが必要な製品もありますが、Zscaler製品は非常にシンプルで、既存のネットワークを変更せずに使い始められます。お客さまにもこの点を評価していただきました」

　導入のプロセスもスムーズで、PoC（概念実証）が終わってからユーザーへの展開まで1カ月もかからなかった。導入後は場所を問わない作業環境が実現し、ネットワーク構成も簡素化された。導入に際してSB C&Sはネットワーク回線の最適化も同時に提案して、全体的なROIを向上させた。

　「PCを開けば自動的にZscalerのプラットフォームトに接続されます。VPNのように煩雑なログイン手続きは不要です。社外でも社内でも、セキュリティ対策が講じられた状態で業務をすぐに始められます」（大東氏）

幅広いセキュリティソリューションを提供（出典：ゼットスケーラー提供資料）

SB C&SとZscalerのタッグで手厚い支援

　ZscalerとSB C&Sは2022年11月に販売代理店契約を結び、密接な協業関係を構築してきた。SB C&Sでも複数名のエンジニアを専任担当者として配置して、検証や技術サポート体制を整えている。ZIAとZPA、ZDXに関する詳細な導入手順書を作成し、顧客や販売パートナーに提供している。

　実用的なオファリングパッケージも用意している。単なるライセンス価格だけでなく、導入作業費用まで含めた見積もりを予算計画段階で提示できる。特に、技術的な見積もりが難しいケースがあるシステムインテグレーターなどにとっては大きなメリットだ。パッケージプランによって、Zscaler製品の取り扱い経験がない代理店でも参入しやすい。成長企業の投資体力に合わせた特別キャンペーンも用意している。

　大東氏は展望として「セキュリティ対策の強化が叫ばれている現在、ゼロトラストの認知も進んでいます。これを具体化するため、Zscalerと協力してさらなる普及に努めていきます」と述べる。

　平石氏は「最近はSIM技術を活用したゼロトラストセキュリティが登場しています。IoTやデジタルトランスフォーメーション（DX）を実現する手段として、安全なデバイスとサービスを選ぶことは重要です。当社はこの分野の製品も展開したいと考えています。サイバー攻撃が高度化する中、当社は『AIの脅威にはAIで対抗する』という方針で、AIを活用したセキュリティ強化機能を組み込む予定です」と語る。

　変化するビジネス環境と迫りくる脅威に対して、従来型のアプローチでは不十分だ。防御の概念そのものを転換してゼロトラストへの「改革」を実現することが、今後のネットワークセキュリティにとって当たり前になるだろう。

ゼットスケーラーの平石和丸氏、SB C&Sの大東智裕氏