前へ 1 2 次へ

第9回 “あのセキュリティ事故”はどうやったら防げた? 検証委員会

建設、小売、サービスなど“多拠点分散型”のセキュリティ対策に役立つ「FortiSASE」

建設現場で協力会社のPCがランサムウェア感染、工事がストップ! どうやったら防げた?

文●大塚昭彦/TECH.ASCII.jp

提供: フォーティネット

  • この記事をはてなブックマークに追加
  • 本文印刷

クラウド上でまとめてセキュリティ対策を実行できる「FortiSASE」

 このように整理してみると、こうしたセキュリティ課題は何も「建設業の現場だけ」で起きているわけではないことが分かる。たとえば、多数の店舗を展開する小売業やサービス業などでは、上で説明したのと同じような課題を抱えているのではないだろうか。

 こうしたセキュリティ課題を解決できるソリューションとして活用できるのが「SASE」(サシー、Secure Access Service Edge)である。リモートワーク時の強固なセキュリティ対策を行えるサービスとして注目を集めているが、分散した多拠点のセキュリティにも有用なソリューションだ。

 ここではフォーティネットの「FortiSASE」を例として、多拠点/分散拠点のセキュリティ向上に役立つ特徴を見てみよう。

 SASEは、クラウド型(SaaS)で提供される、セキュリティゲートウェイサービスだ。業務用のデバイス(PCやスマートフォン、タブレット)がインターネット通信を行う際、すべての通信がクラウド上のSASEを経由するようにして、セキュリティチェックや通信のブロックを実行する。こうした仕組みなので、自社でセキュリティ機器を導入/運用する必要はなく、すぐに利用がスタートできるのがメリットだ。

 FortiSASEの場合、さまざまなセキュリティ機能を統合しており、インターネット通信に対してまとめてセキュリティチェックがかけられる。たとえば、Webやメールのマルウェア検査をはじめ、リスクの高いWebアクセスをブロックするWebフィルタリング、機密情報の外部送信(持ち出し)をブロックするDLP、SaaSへのアクセスを保護するCASB、ユーザーやデバイスの身元確認(認証/認可)を確実に行うゼロトラストネットワークアクセス(ZTNA)といった機能が利用できる。

「FortiSASE」が提供するセキュリティ機能の全体像

 仮に、今回のJ社がFortiSASEを導入していれば、「フィッシングメールの受信をブロックする」「攻撃者サイトへのアクセスをブロックする」「ダウンロードしたランサムウェアの実行をブロックする」「機密情報の持ち出し(外部送信)のブロックする」など、複数のセキュリティ機能によって、ランサムウェア被害の発生を防げたはずだ。

 またFortiSASEは、拠点設置型のセキュリティゲートウェイ「FortiGate」と同じセキュリティルール(ポリシー)が設定できる。たとえば、本社ではFortiGateを、現場事務所ではFortiSASEを採用し、同じポリシーを設定すれば、本社も現場も同じセキュリティレベルが担保できるわけだ。管理画面も統合されているので、本社のIT管理者は、本社と多数の現場(分散拠点)のセキュリティ状況を一括で監視できる。リモートからネットワークの監視や制御ができれば、人手不足の悩みが解消される。

Wi-Fiアクセスポイント「FortiAP」との組み合わせで、さらに便利に

 FortiSASEは、ユーザー数単位のライセンス体系となっている。最小50ユーザーから契約できるので、小規模な企業でも導入しやすい。さらに、1ユーザーあたり最大3台のデバイスが利用できるので、PCとスマートフォンやタブレットを併用する現場でも心強い。

 FortiSASEのユニークな特徴のひとつとして、Wi-Fiアクセスポイント「FortiAP」との連携機能がある。

 通常、FortiSASEを利用するためには、PCやタブレットなどのデバイスにエージェントソフト(FortiClient)をインストールしなければならない。だが、FortiAPを導入した場合は、Wi-Fiに接続したデバイスの通信をすべてFortiSASEに転送して、セキュリティチェックをかけることができる。

Wi-Fi 6E対応のアクセスポイント「FortiAP 431G」

 今回の事故事例では、協力会社であるN社社員の業務PCが感染原因となった。多数の協力会社が出入りする建設現場で、持ち込まれるすべてのデバイスにエージェントソフトをインストールしてもらうのは難しいが、「このWi-Fiに接続して使ってください」と依頼するだけならばシンプルだろう。

 もうひとつ、FortiAPのメリットとして、監視カメラやセンサーといったIoTデバイスのセキュリティ対策にも活用できる点が挙げられる。通常、IoTデバイスにはエージェントソフトはインストールできないが、FortiAPにWi-Fi接続すれば通信のセキュリティチェックがかけられる。建設現場のデジタル化がこれからさらに進む中では、IoTデバイスの導入も増えるはずだ。そうした場合のセキュリティ対策にも有用である。

■セキュリティ事故、その後日談:

 ランサムウェア事故の発生後、J社では発注元であるデベロッパーに、事故報告と工事スケジュール遅延の謝罪を行うことになった。スケジュールの遅延は最小限に食い止められたものの、デベロッパーからは、協力会社も含めたサプライチェーン全体のセキュリティ対策を早急に強化してほしいと、強い要請があった。

 デベロッパーからの信頼を失ったままでは、今後の発注にも影響してしまう。J社では緊急の対策会議を開き、現場事務所でのFortiSASEとFortiAPの採用を決めた。物理的な機器設置の必要がなくすぐに利用がスタートできること、ユーザーのリテラシーを問わずセキュリティレベルが大幅に向上すること、協力会社が持ち込むデバイスもまとめてカバーできること、などが採用のポイントとなった。稼働中の現場事務所も含めて、FortiSASEの導入は1カ月程度で完了した。

 導入後、各現場のセキュリティやネットワークの状況は、本社のIT部門がまとめてリモート監視を行っている。現場所長が情報セキュリティ責任者を兼務するルールはそのままだが、サイバー攻撃や通信トラブルが発生した場合も、本社IT部門とFortiSASEの同じ管理画面を見ながら連携して対処できる。現場所長たちは「肩の荷が下りた」と喜んでいるそうだ。

■関連サイト

前へ 1 2 次へ
Fortinet トップへ