第3回 “あのセキュリティ事故”はどうやったら防げた? 検証委員会
ネットワークとセキュリティを統合した「セキュアSD-WAN」がこれからのトレンド
あなたの会社でも起こりうる“SD-WANのセキュリティ設定漏れ”、どうやったら防げた?
提供: フォーティネット
■今回のセキュリティ事故:
国内に4つの営業拠点と2つの製造拠点を持つ中堅製造業のH社。Web会議や業務SaaSの利用者が増えたため、数年前に各拠点でSD-WANルーターを導入し、特定のSaaSへの通信には「インターネットブレイクアウト」を適用し始めた。このインターネット通信のセキュリティを確保するために、各拠点にはファイアウォールも設置していた。
だが、SD-WANの運用を続けるうちにセキュリティ事故が起きた。新たな業務SaaSを導入し、そのトラフィックにインターネットブレイクアウトの設定を行った際、ファイアウォールの設定を変更し忘れていたのだ。
![](/img/2025/01/22/4150317/l/e0017c0c4afb83ad.jpg)
設定ミスが発覚した後、あらためて全拠点のSD-WANとファイアウォールの設定をチェックしたところ、いくつかの業務SaaSのトラフィックは、ファイアウォールの設定漏れで保護されていない状態であることが分かった。しかも、各拠点のファイアウォール設定がきちんと統一されておらず、セキュリティポリシーに食い違いも生じていた。
セキュリティ担当者はひとまず全拠点のファイアウォール設定を修正したものの、こうした設定漏れは今後も起きかねない。……このセキュリティ事故はどうやったら防げたのだろうか?
急速に普及が進むSD-WAN、その「セキュリティ課題」とは?
近年、本社や支社、工場といった企業の拠点間を結ぶネットワークを「SD-WAN(Software-Defined WAN)」に置き換える動きが加速している。その背景には、業務SaaSの普及に伴うインターネットトラフィックの急増がある。
従来、企業の拠点間は閉域網(MPLS回線、専用線)やインターネットVPNで接続され、すべてのトラフィックが中央の拠点/データセンターを経由していた。しかし、業務SaaS/クラウドへのトラフィックが増えると、拠点間の回線容量が逼迫(ひっぱく)するようになり、業務SaaSもオンプレミスの業務システムも快適に利用できなくなった。
回線容量を増やせば解決するが、それには大きなコストがかかる。そこで注目されたのがSD-WANだ。従来の静的なWANとは異なり、SD-WANではトラフィックの内容(通信の宛先だけでなく、個々の優先度やSLAなど)に応じた柔軟なルーティング(通信経路の選択や優先制御など)ができる。
この特徴を生かして、業務SaaSへのトラフィックだけを拠点から直接インターネットにルーティングする「インターネットブレイクアウト(ローカルブレイクアウト)」を行えば、拠点間ネットワークの逼迫という問題が解決できる。さらに、Web会議やファイルのクラウド共有といった業務SaaSを快適に使うことが可能になる。
![](/img/2025/01/22/4150318/l/22e9f8dbd979e71a.jpg)
(左)従来型ネットワーク構成では業務SaaSへのトラフィック増加により回線/機器の逼迫が起きる (右)SD-WANでインターネットブレイクアウトを適用し、逼迫を緩和して快適な業務SaaS利用を可能にする
ただし、インターネットブレイクアウトを適用する場合は、インターネット通信に対するセキュリティ対策を各拠点で行う必要がある。拠点数が増えればコストもかさむうえ、今回取り上げたような“セキュリティ設定漏れ”事故も起きやすくなる。
さらにこのセキュリティ設定は、SD-WANそのものの設定(ネットワーク設定)とはまったく別物である。SD-WANのベンダーとセキュリティベンダーが違ったり、ネットワーク担当者とセキュリティ担当者が分かれていたりすれば、こうした設定漏れはさらに起こりやすくなるだろう。
SD-WANは、コスト面でも利便性の面でも高い優位性を持ち、これから確実に普及していく技術だ。ただし、それを安心して利用していくためには、“漏れのないセキュリティ”を実現しなければならないことも忘れないようにしたい。
フォーティネットの“セキュアSD-WAN”、その特徴とメリットは?
こうしたSD-WANのセキュリティ課題に対して、フォーティネットでは“セキュアSD-WAN”という新たなコンセプトを提唱している。最初からネットワークとセキュリティを一体のものとして設計/提供し、運用管理も一元化することで“漏れのないセキュリティ”を実現するという考え方だ。
具体的には、次世代ファイアウォールの「FortiGate」にSD-WANルーター機能を搭載することで、ネットワークとセキュリティを統合した“セキュアSD-WAN”を実現している。ちなみに、FortiGateにはSD-WANが標準機能として搭載されているので、追加コスト(追加ライセンス)なしで利用できる。
FortiGateは、もともとインターネットアクセスを包括的に保護する多様なセキュリティ機能を備えている。そのため、SD-WANでインターネットブレイクアウトするトラフィックに対しても、簡単に同じセキュリティポリシーを適用して保護することができる。
単一プラットフォームとして構成され、統合管理コンソール「FortiManager」から一元管理できるフォーティネットのセキュアSD-WANであれば、多拠点をまたぐネットワークとセキュリティの運用管理が簡素化される。また、ネットワーク担当者とセキュリティ担当者が異なる場合でも、同じ情報を見ることで担当者間での認識の食い違いが防げる。
なお、前回記事で紹介した「FortiSASE」も、FortiGateと同じOS「FortiOS」を採用しており、SD-WAN機能を備えている。そのため、オフィスにいないリモートワークのユーザーでも、FortiSASE経由でセキュアSD-WANに接続して、業務SaaSや自社データセンターにアクセスすることができる。もちろん、ここでも同じセキュリティポリシーを適用可能だ。
また、インターネットブレイクアウトの設定作業では、FortiGateが提供するSaaSデータベース「ISDB(Internet Service DataBase)」が役立つ。ISDBには、1500以上の主要なSaaS/Webサービスが利用するIPアドレスとポート番号が登録されているので、インターネットブレイクアウトの対象とする通信先(SaaS)をサービス名だけで指定できる。このデータベースは毎日更新されるので、仮にSaaS側でIPアドレスに変更があった場合も管理者による設定変更は必要ない。
エンドツーエンドのSaaS可視化/分析で、通信品質の維持も
フォーティネットの“セキュアSD-WAN”が持つもうひとつの特徴が「エンドツーエンドでの可視化と分析」だ。
フォーティネットでは、エンドポイントからネットワーク、クラウドまでを包括的に保護する「フォーティネットサイバーセキュリティプラットフォーム」を展開している。さらに、次世代ファイアウォールであるFortiGateは、高度なアプリケーション識別技術を搭載している。こうした特徴を組み合わせることで、アプリケーショントラフィックごとの、エンドツーエンドでの細かな可視化と制御を実現している。
これをSD-WAN機能と組み合わせて、たとえば「SaaSごとのトラフィック量を把握して、インターネットブレイクアウトの適用を判断する」、「ネットワーク品質が劣化している場合は、特定のSaaSの通信経路を自動的に変更してサービス品質を維持する」といったネットワーク制御が可能になる。
セキュリティ面の活用法としては、たとえば「拠点間で流れるトラフィックを可視化し、利用されているSaaSを特定することでリスク評価につなげる」というものが考えられる。“シャドーIT”で使われているSaaSをあぶり出し、リスクの高いSaaS利用があれば注意を促す、といった使い方だ。
なお、生成AIアシスタントの「FortiAI」は、セキュアSD-WANの運用管理にも活用できる。自然言語を使ったネットワーク状況の質問回答、トラブルシューティングの支援だけでなく、たとえば必要なネットワークトポロジー図(画像)をアップロードし、SD-WANの構成設定をAIにガイドしてもらうようなことすら可能だ。
■セキュリティ事故、その後日談:
今回のトラブルがあったH社では、異なるベンダー製のSD-WANルーターとファイアウォールを、それぞれの更新タイミングでフォーティネットのFortiGateに切り替え、全拠点を結ぶ“セキュアSD-WAN”を実現していく方針である。
さらに、H社では現在、オンプレミスに配置していた基幹システムのクラウド移行も進めている。このクラウド環境にもクラウド版のFortiGateを配置して、各拠点からセキュアに接続できるようにする計画だ。単一ベンダー、単一プラットフォームへの統合を通じて、運用管理作業の効率化が進むことに大きな期待を寄せている。
※この記事で紹介したストーリーはフィクションです。実在する組織や人物とは関係ありません。
この連載の記事
- 第2回
sponsored
“アラート疲れ”で担当者がサイバー攻撃を見落とす! どうやったら防げた? - 第1回
sponsored
ハイブリッドワーク中の社員PCがフィッシング詐欺被害! どうやったら防げた?