情報セキュリティのオーケストレーションベンダー、シマンテックにゼロトラストやSASEの最新情報を聞いてみた

[PR／ITmedia]

PR

　新型コロナウイルスにより、この数年で社会構造とIT環境は大きく変化した。以前からクラウドシフトやDX（デジタルトランスフォーメーション）への対応、モバイル端末を用いて場所を問わずに柔軟に働く、「働き方改革」の動きはあったが、このパンデミックをきっかけに環境の変化は急加速している。

　ここで変化を余儀なくされているのが、業務で利用するネットワークや端末のセキュリティ対策の在り方だ。かつてはアプリケーションもデータもオンプレミスの企業システム内に存在していた。従業員が社内ネットワークに端末を接続して業務を行っていたため、セキュリティ担当者は社内システムとインターネットを結ぶ1つのポイントで、一元的なセキュリティポリシーを適用することができた。

　しかし、現在はクラウドの活用の広がりに加えて、テレワークによる働く場所の変化によって社内のファシリティを経由せず、ダイレクトにSaaSアプリケーションが使われるようになっている。

　この環境で、セキュリティレベルを維持しながら安全なリモート環境を整えるにはどうすればいいか──その解として注目を集めているのが、「ゼロトラストセキュリティ」や「SASE」（Secure Access Service Edge）といった概念だ。

市場にあふれるSASEソリューション

　いまや“バズワード”のごとく、ゼロトラストやSASEという言葉が使われており、やや混乱を招いている。そもそもゼロトラストセキュリティとは、文字通り「何も信用しないところからスタートし、全てのアクセスを検証する」というアプローチである。

　認証機能を核として、エンドポイントからネットワーク、クラウドに至る幅広いコンポーネントや脅威インテリジェンス、開発・運用・モニタリング体制のセキュリティが担保されて、はじめてゼロトラストセキュリティが実現できる。

　このゼロトラストの中で重要な役割を果たすのがSASEだ。SASEは、ガートナーが提唱した、セキュアかつ豊富な機能を提供するサービスエッジをクラウド側で提供するアプローチである。

　さまざまなセキュリティ製品を提供しているSB C＆Sでは、ガートナーの情報を基に、SASEの主な構成を10要素に分類している。

　この中には、ネットワークセキュリティ機能を提供する「SWG」（Secure Web Gateway）にはじまり、Web無害化を実現する「RBI」（Remote Browser Isolation）、Webブラウジングにおいて未知の脅威を検出する「サンドボックス」、「DNSベースのWebアクセス制御」といった項目がある。

　さらに、SaaSを保護する「CASB」（Cloud Access Security Broker）、これまでのリモートアクセス手段である「VPN」と、セッション単位できめ細かな制御を可能にし、VPNに代わるリモートアクセス手段として注目される「ZTNA」（Zero Trust Network Access）、クラウドベースのWAFである「WAAPaaS」（Web Application and API Protection as a Service）、情報漏えいを防ぐ「DLP」、ファイアウォールをクラウドベースで提供する「FWaaS」だ。

　この10要素は、非常に幅広い領域にまたがり、今の時点では、これら全てを1社でカバーできるベンダーは存在していない。その中で、企業のセキュリティ担当者は、「そもそもゼロトラストやSASEとは何なのか」という悩みを抱きつつ、情報収集を進め、具体的な移行検討に当たり、「各ベンダーがゼロトラストやSASEに対してどのような戦略を持っているのか」を調べなければならない。

　このニーズに応えるべく、SB C＆Sは、情報セキュリティの各ベンダーにSASE戦略を尋ねてみた。第一弾はブロードコムのシマンテック事業部だ。

Web Security Serviceを中心にSASEの主な要素をほぼカバーするシマンテック

　シマンテックと言えば、企業ITやサイバーセキュリティに携わってきた人ならば長年にわたり、おなじみのブランドだろう。2020年11月にブロードコムがシマンテックのエンタープライズ事業を買収した後も、エンドポイントからWeb、メールにまたがる広範な製品ポートフォリオを展開し、これまで積み重ねてきた脅威インテリジェンスと組み合わせて提供している。

　シマンテックでは、SWGである「Web Security Service」（WSS）をメインに、ZTNA機能の「Secure Access Cloud」（SAC）、DLP機能の「Symantec DLP」、CASB機能の「CloudSOC」という4つの製品を組み合わせ、「シマンテックSASE」を提供している。

　WSSも、長年ネットワークセキュリティに携わってきた方ならばおなじみのWebセキュリティ製品。オンプレミス向けに提供されてきた旧Blue Coatのプロキシ機能をクラウド上で提供するもので、すでに10年以上にわたる実績を持っている。

　WSSの特徴は、オプションを組み合わせればSASEを構成する10のコンポーネントのうち6つまでをカバーできる点。長年にわたって蓄積してきたプロキシ技術をベースに、コンテンツフィルターやファイルの検査機能によって脅威を阻止できる。さらに、オプションとしてDLPやFWaaS、RBIを実現する「Symantec Web Isolation」を加えれば、9コンポーネントまでをカバーできる。

ブロードコムの野呂正孝氏（シマンテック事業部）

　シマンテック製品のなかで、セキュリティと生産性の両立という意味で、特に注目したいのがSymantec Web Isolationだ。

「作られたばかりの怪しいサイトを一律にブロックすると安全性は高まるが、ビジネス上有用な情報までブロックしてしまい、生産性を下げる可能性がある。かといって何でも許可してしまえばセキュリティリスクが上がってしまう」とブロードコムの野呂正孝氏（シマンテック事業部）は問題を提起する。　

　そこでシマンテックでは、特定のWebサイトへのアクセスを禁止したり、許可したりといった制御に加え、第三の選択肢としてRBIを提供している。スクリプトなどを排除して画像情報だけをセキュアな情報として、ブラウザに転送することにより、セキュリティレベルの担保と生産性の両立を図る仕組みだ。

　それに加え、Blue Coat時代から蓄積してきたテクノロジーをベースに、SSL/TLS通信を高速に復号し、完全なインスペクションも実現できる。例えば、個人情報やプライバシーに関わる情報が含まれるトラフィックだけは除外するような、リアルタイムの情報に基づいてきめ細かな制御ができるという。

　シマンテックでこれらの対応が可能なのは、長年にわたってセキュリティベンダーとして活動してきた歴史があるからだろう。SASEを構成する各要素は、他社からのOEMではなく自社開発を基本としており、機械学習エンジンをはじめ質の高いセキュリティ機能を備えている。さらに、既存顧客に導入されたエンドポイントやセキュリティ機器からの情報や独自のリサーチを元に更新を続けている脅威インテリジェンス「Global Threat Intelligence Network 」（GIN）によって、常に最新の脅威情報を参照しながら適切な制御が行える。このGINこそがシマンテックのもっとも大きなナレッジである。

ブロードコムの鈴木克則氏（シマンテック事業部）

　ブロードコムの鈴木克則氏（シマンテック事業部）によると、「WSSは国内外を問わず実績のある安定度の高いクラウドSWGサービスで、最近になって急に出てきたものではない。SASEのコンポーネントをここまで幅広くカバーできるのはシマンテックしかない」と語る。

　強いて挙げればSIEMのコンポーネントが足りないが、それもAPIを介してサードパーティーの製品と連携できるため、基本的に全てカバーできると言う。

SASEをより強固に。エンドポイントとメール保護も提供するオーケストレーションベンダー

　シマンテックの戦略にはもう一つ大きな特徴がある。長年の実績を持つエンドポイント保護製品をベースにした「Symantec Endpoint Security」（SES）、メールセキュリティを実現する「Symantec email security.cloud Service」（ESS）を組み合わせることで、SASEにとどまらず、企業が求める包括的なセキュリティ対策を提供できることだ。

　「いかにゼロトラストやSASEを実現したとしても、マルウェアに感染してしまった端末が、そのネットワークにアクセスできてしまったらナンセンスな話です。ネットワークセキュリティの強化とともに三種の神器として、エンドポイントとメールのセキュリティも強化し、安全にアクセスできる環境をお客さまに提供していこうと考えています」（鈴木氏）

　エンドポイント保護を実現するSESは、国内でも数多くの導入実績があるSEPの上位版という位置付けだ。特に「SES Complete」は、SEPが備えるエンドポイントセキュリティ機能に加え、EDR機能やアプリケーション振る舞い制御、デセプション機能を1つのエージェント内に搭載しており、包括的な保護を提供する。

　SEPユーザーにとって魅力的なのは、今利用しているSEP14をそのまま使いながらSESにバージョンアップでき、管理がそのまま継続できることだろう。オンプレミス環境の管理は既存の管理マネージャーで行いつつ、リモートオフィス・在宅勤務の管理はクラウドベースのコンソールを併用するハイブリッドもでき、段階的にフルクラウドに移行するといったフレキシブルな管理も可能だ。

　「SESは、WSSとシームレスに連携できるので、すでに端末にSESが導入されていれば、専用エージェントを導入することなくWSSに接続し、さまざまなセキュリティを実施した上でのWebアクセスができる」（鈴木氏）

　もう一つ、忘れてはいけないのが、シマンテックが重視しているメールセキュリティだ。令和の時代でも、マルウェアの侵入経路はメールが圧倒的に多い。

　「ゼロトラストを考える以前にまず、企業のリソースに対する攻撃を止めることが大前提となる。それには、メールとWeb経由の攻撃をいかに遮断するかがポイントで、これができてはじめてゼロトラストやSASEが効果を発揮し、よりセキュアな環境を実現できる」（鈴木氏）

　メールセキュリティのESSは、GINと連携しながら迷惑メールやフィッシングメール、マルウェアを含んだメールをブロックするとともに、WSSのWeb Isolation技術をベースにしたWeb分離と連携してユーザーを保護する仕組みを備えている。

　「ESSを使えば、リンクフォロー機能によって、本文中に記された不審なリンクをリアルタイムにブロックできるが、悪意のある攻撃の中には、当初は無害なWebサイトを装ってフィルターをすり抜け、ユーザーがクリックする頃を見計らって時間差でマルウェアをばらまく手口もある。そのような巧妙な手口には、Web Isolationと連携して、クリック時のURL保護を行い、さらにGINと連携してアクセス先を評価し、グレーなサイトであればWeb分離した状態で安全にアクセスするといった連携がシマンテックならできます」（鈴木氏）

カバー範囲の広さが強み。オーケストレーションベンダーのシマンテック

　市場はゼロトラストブーム、SASEブームに湧いている。セキュリティブランドとしてのシマンテックは、さまざまな脅威からユーザーを守る上で最も有効なWeb Isolation技術を軸に、幅広くSASEのコンポーネントをカバーしている。「各製品がそれぞれ連携して、どんどんソリューションを広げることができるのもシマンテックの強みです」（野呂氏）

　シマンテックは、メールやエンドポイントも含めたセキュリティ全体を支援し、真にゼロトラストを構築できるベンダーだといえるだろう。