アプリやプロトコル、端末単位で制御するクラウドセキュリティソリューション「ソフォス、シーイーシー、シスコシステムズ」

従来の企業セキュリティは、社内と社外の間に境界を構築して外部からの侵入を防ぐ境界型防御が行われてきた。しかし、昨今は働き方が変わり、こうした境界型の防御には限界が来ている。近年はこの境界型防御の考え方から、情報資産に対するアクセス全てを疑う「ゼロトラスト」が注目されている。とはいえ、まだゼロトラストセキュリティを実施している企業は少なく、ソリューションの数自体も少ない。企業のネットワークや端末を守るためには、今何が必要なのか。これを探りつつ、負担を抑えて運用できるクラウド保護ソリューションを提案しよう。

　まずは、境界線防御をおさらいしたい。境界線防御は、悪意あるユーザーからのアクセスやサイバー攻撃などをブロックするものの、一度許可を出したアクセスは問題ないとみなす仕組みだ。

　境界線防御を行う方法として、社内システムと外部の間に仮想的な専用回線を構築し、安全な通信を確保する「Virtual Private Network」（VPN）がある。暗号化処理によって安全な通信を確保するが、導入の負担が大きく速度遅延に懸念がある面が難点だ。また、ワークスタイルが変化して使われるネットワークが多様化する中、境界線防御の仕組みではサイバー攻撃リスクが高い。そのため、VPNよりも導入の負担が少なく安全なソリューションが必要だ。

　昨今、SaaS利用が増えている状況を踏まえると、クラウドの運用監視や可視化を実現する「Cloud Access Security Broker」（CASB）がお薦めだ。アイ・ティ・アールの「CASB運用監視サービス市場規模推移および予測」でもCASB市場拡大を報じている。

　しかし、国内では慢性的なセキュリティ専任要員の不足やスキル不足から、CASBを使いこなせていない企業が多い。そのため、企業のセキュリティ運用を全面的にサポートする訴求が重要なのだ。　これを踏まえ、従来の通信・端末保護の運用負担を減らして保護できるセキュリティソリューションを検討したい。

　それでは、今後のクラウドの保護に有効なソリューションの機能をチェックしていこう。

　従来の機器構築準備をせず、VPNと同等かそれ以上の高度な認証や暗号化機能を有しているソリューションは、セキュリティ強化に効果的だ。アプリケーションごとにアクセス許可を付与できれば、ネットワーク内のアクセス範囲を細かく制限可能だ。

　運用当初から、導入支援、レポーティング、リアルタイム監視など豊富なサービスメニューを活用できれば、セキュリティ管理の負担を減らせる。例えば、導入支援では、クラウドストレージや情報交換／蓄積用クラウドの利用制限など、顧客の要望を細かくヒアリングしつつ設定方法や設定方針のレクチャーを受けられるのだ。

　社内、社外、VPNのオンオフを問わず、あらゆるユーザーとデバイスを最前線で保護するソリューションならリモートワーク時も安心だ。PCだけでなくスマホやタブレット、IoT機器やサーバーなどを含むネットワークやデバイスを扱う企業に有効である。多様な接続先に侵入する悪意のあるアクセスを検知するので、多様な企業に提案できる。

　今回は、ソフォス、シーイーシー、シスコシステムズに製品を提案してもらった。

ソフォス
1ユーザー当たり：2万9,700円／年（1〜9ユーザー）

　アクセス制御範囲を細かに設定可能なクラウド保護ソリューション「Sophos Zero Trust Network Access」（以下、Sophos ZTNA）を提案する。

　Sophos ZTNAは、従来のVPNと比較して、よりセキュアに通信を行えるネットワークアクセス制御サービスだ。よ高度な認証と暗号化機能を提供する。

　また、従来のVPNと異なる点として、アプリケーションごとにアクセス許可を付与するゼロトラストセキュリティモデルに基づいて設計されている。リモートユーザーやサードパーティーのアクセスを自動的に検証し、認証されたユーザーだけがリソースにアクセスが可能となる仕組みだ。このアプローチにより、ユーザーのネットワーク内のアクセスを必要最低限に制御できる。

　クラウド型管理コンソール「Sophos Central」から容易に管理やデプロイでき、柔軟にスケーリングが行える。クラウドで管理を行うため、ネットワークトラフィックをリダイレクトするためのオンプレミスアプライアンスのインストール不要で使い始められる。ユーザーに使いやすく直感的なアクセスを考慮したUIのため、従業員がリモートワーク環境でも容易かつ安全に管理を行える。

　Sophos ZTNAのエージェントソフトは、ソフォスのエンドポイント保護製品「Intercept X」に統合されており、エンドポイントがセキュリティの要件を満たしていない場合や、脅威が見つかった場合などはアクセスできないように制御可能な点も魅力だ。

　Sophos Intercept Xのほか、次世代型ファイアウォール「Sophos Firewall」も統合して提供している。これらのセキュリティツールをもってネットワーク上の全てのアクティビティを統合的に監視し、総合的なセキュリティプロテクションをサポートする。

シーイーシー
個別見積

　認可していないクラウドサービスへの通信を可視化し、悪質なクラウドサービス起因のマルウェア感染や、データの不正持ち出しなどの脅威を未然に防止するCASBサービス「マネージドCASB」を紹介する。

　マネージドCASBは、導入支援、レポーティング、リアルタイム監視といった豊富なサービスメニューを用意している。SaaS型のため、管理サーバーを構築せずに運用し始められる。

　導入支援では、PoC導入支援、導入後の設定支援などを受けられる。クラウドストレージや情報交換／蓄積用クラウドの利用制限など、顧客の要望をヒアリングし、設定方法や設定方針のレクチャーによって導入を進められる。

　レポーティングでは、CASBで生成したログに対し、月次で解析を行う。利用されたクラウドサービスの種類や、検出したクラウドサービスの脅威などを解析できる。

　こうした支援機能に併せてオプションを追加することで、よりセキュアな運用を実現するだろう。監視対応を委託できる「リアルタイム監視」は、オプションのメニューの一つだ。主要セキュリティベンダーの製品や周辺機器のログを統合し、専門のアナリストが監視・対処するサービス「CEC SOC」によって、事前に設定したポリシーに対する違反を24時間365日リアルタイムに監視可能だ。違反を検知した場合、顧客に即時通報する。

　また、「EDRプラス」では、クライアントPCの振る舞いを検知することで未知の脅威に対して防御が可能だ。

　業務に支障を来さずに社員の安全なクラウドサービス利用を実現するマネージドCASB。セキュリティにかかる負担を軽減しつつ、万が一のインシデント対応が済ませられる。

シスコシステムズ
個別見積

　クラウドセキュリティ機能である「Cloud Access Security Broker」（以下、CASB）や、危険なWebサイトへのアクセスを遮断する「Secure Web Gateway」（SWG）などとして機能する保護ソリューション「Cisco Umbrella」を紹介する。

　Cisco Umbrellaは、インターネット上の脅威を網羅的に防御する「Secure Internet Gateway」（SIG）で、クラウドベースのソリューションである。

　インターネット利用に欠かせないDNSレイヤーのセキュリティをベースにしているため、社内、社外、VPNのオン／オフを問わず、あらゆるユーザーとデバイスを最前線で保護する。プロキシやファイアウォールなどとの競合もなく適用できるため、SaaS利用時のパフォーマンスを損なわない。PCだけでなくスマホやタブレット、IoT機器やサーバーなどを含むネットワークやデバイスにすぐに適用可能だ。国内外を問わず、あらゆる拠点や社内外にセキュリティ機能を適用できる。全てのプロトコルやポート、トラフィックの宛先を確認し、悪意あるサイトへのアクセスを検知し、ブロックする。　毎日世界中の8,500万人のユーザーから1,200億を超えるDNSリクエストからインターネットの活動パターンを分析している。統計的機械学習モデルとヒューマンインテリジェンスの組み合わせによって、悪意あるWebサイトを高精度に識別できる。

　運用ステップとしては、組織外のDNSサーバー設定を行うだけで、セキュリティ対策強化やCASB機能を活用できる。ソフトウェア保守が不要で、既存環境に対してシンプルかつ迅速に運用可能だ。

「ゲストWi-Fiのセキュリティ適用」機能も搭載している。ほとんど対策されていないゲストWi-Fiのセキュリティ強化に加え、利用規定に沿ったWi-Fi通信ポリシーを実現する。