第7回 セキュリティを支えるテクノロジー フォーティネットのエキスパートが語る

FortiSASEがセキュリティ対策の「すき間」を埋める

危機はエッジから現れる 今こそ検討すべきVPNからSASEへの移行

文●大谷イビサ 編集●ASCII 写真●曽根田元

提供: フォーティネットジャパン

  • この記事をはてなブックマークに追加
  • 本文印刷

 ランサムウェアや情報漏えいが猛威を振るう最中、注目すべきはセキュリティ対策の抜け漏れが発生しがちなシステムやネットワークの「すき間」だ。フォーティネットジャパンの今井 大輔氏は、脆弱性となりがちなVPNから、高度なアクセス制御と可視化を実現するためのSASEへの移行を提言する。

複雑すぎる今のシステムでは、ランサムウェアの侵入は必然的に起こる

 ランサムウェアや情報漏えいの事件が誌面を騒がせている。大手企業で商品の出荷が停滞し、企業の収支や信頼性にも大きな影響を与えている。サイバー攻撃は対岸の火事ではないと多くの経営者が痛感しているはずだ。

 深刻なのは、セキュリティ対策を行なっている企業でも被害が出ている点。フォーティネットジャパンの今井 大輔氏は、「『ここまで対策しているのに、果たしてどうしたらよいのか?』と考えるお客さまも多い。イベントで聞いていると、製造業のお客さまはすでにあきらめに近い心境の方もいます」と語る。

フォーティネットジャパン合同会社 マーケティング本部 プロダクトマーケティングマネージャー 今井大輔氏

 そもそも多くの企業はランサムウェアの侵入が起こってしまう根本的な課題を抱えている。システムやネットワークが複雑になりすぎて、対策の抜け漏れが生じてしまうという点だ。システムが異なると、部門や担当者が異なってしまい、対策が施されていないすき間を攻撃者から狙われる。企業全体のシステムも可視化されてないため、攻撃を受けた場合はまずシステムを把握から始めなければいけない。

 従来、オンプレミスに閉じていた企業のシステムだが、現在はクラウドやオンプレに分散しており、会社だけではなく、自宅やモバイルなどさまざまな環境からアクセスされる。「どこからつながるかわからない従業員たちが、数多くのシステムに接続して仕事している状況で、ランサムウェアが侵入する経路はどんどん増えています。特にVPNは狙われやすい」と今井氏は指摘する。

認証を通過すれば社内リソースにアクセスできてしまうVPNの課題

 現状のインターネットVPNは、オンプレミスの社内システムにアクセスする手段として、多くの企業で利用されてきた。クラウドの導入が進む現在でも、オンプレミスのシステムを外部から利用するにはリモートアクセスVPNが必要だ。

 しかし、VPNによるリモートアクセスは、いったん認証を通ってしまえば、社内ネットワーク全体にアクセスできてしまう。そもそもプロトコルレベルでの認証や暗号化なので、アプリケーションやデバイスでのアクセス制御が難しい。「アップデートされておらず、脆弱性を持ったままのPCでも、VPNではIDとパスワードが合っていれば、ログインできてしまう」と今井氏は指摘する。

 このようにVPNは「いったん認証を通過してしまえば、幅広く社内リソースにアクセスできてしまう」というセキュリティ面の課題のほか、「VPN経由だとSaaSが重くて使えない」「オンプレミスが減っていく中、そもそもVPN自体への投資がナンセンス」という課題もある。

 これに対しては、VPN自体を廃止する流れもあるが、「脱VPN」自体は問題の本質ではないという。「確かに従来型のVPNを使い続けるのはリスクがあります。でも、本質的に大事なのはクラウドやテレワークが一般化した企業において、セキュアなアクセスをいかに確保するのかです」と今井氏は語る。

 そのためには接続先を信頼しない前提でセキュリティを構築する「ゼロトラストネットワークアクセス(ZTNA)」の概念に基づき、従来型のVPNに欠けている「いつ」「どこで」「だれが」「なに」を通信しているのかを企業側が把握し、可視化する必要があるという。「そもそも別の国から深夜にアクセスしていること自体がおかしいわけで、こうしたアクセスをポリシーで接続拒否してしまえばいい。これができるだけでも相当安全になると思います」(今井氏)。

FortiSASEは「クラウド上にあるFortiGate」

 こうした課題を解決すべく、ZTNAを実装したサービスがSASE(Secure Access Service Edge)だ。SASEではまさにSecure Edgeという名前の通り、ユーザーの利用するデバイス(エッジ)から、オンプレミスやクラウドまでエンドツーエンドでのセキュアなアクセスが可能になる。フォーティネットのFortiSASEもそんなSASE製品の1つだ。

 SASEはファイアウォールやVPNのような「点」や「線」ではなく、「面」でシステムや従業員を守るソリューションだ。セキュアなリモートアクセスを実現し、時間や場所に囚われない働き方を加速する。また、単に守るだけではなく、アプリケーションやシステム全体の可視化を実現。「SASEを導入することで、複雑化したシステムでのセキュリティ対策の抜け漏れやギャップという問題を解決できます」という。

 今井氏は、FortiSASEについて「(同社のベストセラー次世代ファイアウォールである)FortiGateがクラウド上に置いてあるようなもの」と説明しているという。「FortiSASEの場合、エージェントでの認証を経てクラウドのチェックポイントを通過し、アプリケーションへのアクセスを確保します。そのため、ユーザーがどこにいてもトラフィックをチェックでき、システム全体の可視性を実現します」と今井氏は語る。

 フォーティネットのFortiSASEの特徴は、まさに課題であるセキュリティ対策の抜け漏れやギャップを埋められる点にある。「FortiSASEは、シェアの高いファイアウォール製品『FortiGate』と同じOSを使っています。いまFortiGateを利用しているユーザーであれば社内でも、社外でも、まったく同じポリシーで一貫したセキュリティをかけられます」と今井氏。他社では機能ごと複数におよぶことの多いエージェントも1つで済む。

一貫したポリシーを実現できるFortiSASE

 また、セキュリティの精度にもこだわっている。FortiSASEはグローバルで利用されているFortiGateから収集された膨大な情報を元に脅威検知を行なっている。「ある意味、世界で最も攻撃を受けているファイアウォール、最もネットワークを守っているファイアウォールなんです。そこで収集された脅威インテリジェンスを利用できる点は大きなメリットです」と今井氏。もちろん。セキュリティ製品のメーカーとして重要な各種の認証を取得し、外部機関からのテストでも高い検知率を誇る。

生成AIによる攻撃にも対応 SASEで柔軟な働き方を守れ

 ランサムウェアの侵入や情報漏えいが多発しているもう1つの理由として、生成AIを用いた攻撃が迅速化され、高度化されているという点が挙げられる。脆弱性を突くようなコードの生成は生成AIが得意とする領域であり、言語の壁も容易に超えてしまう。また、攻撃する側のスキルが生成AIによって上がってしまったため、スピードが上がるだけにとどまらず、攻撃自体も高度になっているという。

 こうした動向に対応すべく、FortiSASEも進化を続け、直近ではDLP(情報漏えい)やAI対応が強化されたという。「高度化された攻撃に対しては、守る側もAIが必要」とのことで、AIを用いた防御(AIプロテクト)、AIによる運用支援なども、今後も積極的にバージョンアップしていくという。

 コロナ禍で根付いたテレワークなどの柔軟な働き方だが、出社に戻す会社も増えている。その1つの背景が、在宅勤務でのランサムウェアによるリスクだ。今井氏は「確かにサイバー攻撃のスピードと精度も上がり、成功率も高まっています。しかし、その脅威にひるんで、時計の針を戻してしまうのはよくない。最新のテクノロジーを導入して、より柔軟な働き方を実現してほしい」とアピールする。テクノロジーで得られた柔軟な働き方をテクノロジーで守る。そのセキュリティの基盤になるのが、FortiSASEの役割だという。

■関連サイト

Fortinet トップへ