この1年でいよいよ明らかになった既存のセキュリティ対策の限界
ここ数年で、SaaSやモバイル端末を活用した場所を問わない新たな働き方の実現が少しずつ広がってきた。デジタルトランスフォーメーション(DX)を見据え、ビジネスニーズに応じて柔軟に拡張できるクラウド基盤への移行も、遅ればせながら日本でも徐々に進展していた。
そして2020年、世界的に感染を広げて日常生活を一変させた新型コロナウイルスが、じわじわと進んできたIT環境の変化を一気に加速させている。あらゆる業務が対面からオンラインへ否応なしに移行することになり、急激な変化を肌で感じている方も多いだろう。
これまで企業ITシステムは長らく、本社やデータセンター内で業務アプリケーションを動かし、企業内LANを介して、社内に置かれたPCからアクセスする前提で設計・運用されてきた。セキュリティ対策もまたこのアーキテクチャを前提に、「社内は安全、社外は危険」という考え方の下、インターネットからやってくる様々な攻撃やマルウェアを内と外の境界部分でいかにブロックし、システムを防御するかに力点が置かれ、多くの投資がなされてきた。例外的にリモートアクセスを許可するにしても、VPNを経由していったん社内ネットワークに接続する形で、そこからセキュリティ機器を経由してインターネットに出ていく形が一般的だった。
だが、新型コロナウイルス対策の一環としてテレワークが広がった結果、このアーキテクチャに限界が見え始めている。
まず、テレワークに使われるVPN機器のキャパシティがいっぱいになっている。これまで限定的な用途で使われてきたVPNを全社的に拡大し、ひとまず従業員の自宅から業務を行えるようにしたのはいいが、Microsoft 365やWeb会議などのクラウドサービス利用が増加する中、朝の就業時間帯などにはパフォーマンスが著しく落ち、「重たくて仕事にならない」といった声があちこちから聞こえてきている。
またファイアウォールやIDS/IPS、サンドボックス、そしてプロキシといった様々なセキュリティ機器をデータセンターに集約し、インターネットへのアクセス時には必ずそこを介する仕組みとなっているため、これらの機器やネットワーク機器の負荷も高まっている。ならばトラフィックの増加に応じてアプライアンス機器をすぐに増設できるかというと、コストや納期の面で難しい状況だ。
かといって、従業員が自宅のWi-Fi回線からダイレクトにインターネットやクラウドサービスを利用させるのも問題だ。企業の目の届かないところで無秩序に外部のサービスを利用すれば、様々な侵害のリスクにさらされる恐れがあるのは明白だ。また、たとえ本人が意図しなくても、設定ミスなどによって情報漏洩やセキュリティ事故につながる恐れもある。
事実、リモートアクセスで作業中にマルウェアに感染してしまった従業員の端末から、リモートアクセスを経由して社内システムにランサムウェアが拡散してしまい、重要な情報を盗み取られて高額の金銭要求を受ける、といったセキュリティ事故も発生している。いったん認証を経たリモートアクセスは「内側のもの」と見なして素通しにしてしまい、攻撃者が容易にラテラルムーブメント(横展開)できる環境も、問題を悪化させている。
