クラウド活用の広がりとともに、データ管理の重要性が高まっている
東京エレクトロンデバイス CN営業本部 パートナー営業部 松村 光敏(写真左)
データは常に増加し、時代ごとに新たな課題を生んでいる。IDCの予測によると2025年には世界のデータは175ゼタバイトに膨らむという。Netskope Japan エバンジェリスト 白石庸祐氏はデータ漏えいリスクの増加を指摘する。
「みなさんの会社でも、データが増えることで何らかの対応をしているのではないでしょうか。たとえばファイルサーバーを追加する、クラウドのストレージサービスを利用するなど。クラウドサービスを使うと、データが社内外を移動する機会が増えます。今はクラウドを重点的に制御する必要があります」
実際、企業が使うクラウドサービスやアプリは年々増えている。企業で使われるクラウドアプリ数の平均は、2014年の508から2020年には2415まで増えている(Netskope調査)。クラウドへのデータトラフィックは年平均成長率は27%(他社調査)。
クラウド活用はセキュリティ運用面でもメリットがあるのは周知の通り。自社環境を自力で防御するより、大手クラウドなら確実かつ効率的に対策できるためだ。しかし油断は禁物。パブリッククラウドではデータの管理はユーザーに責任があり、情報漏えいに目を光らせておく必要がある。
情報漏えいの要因として最も割合が高いのが、マルウェアを発端とする外部からの攻撃だ。しかし内部に原因があるものもその次に多い。悪意を持つ内部の人間が意図的に漏えいを起こす場合もあれば、設定ミスによるうっかりもある。
近年ではテレワークが普及し、データは前にも増して社内外を行き交うようになっている。白石氏は移動し続けるデータを制御する手法の1つとして「高拡張性のクラウド型プロキシで通信を制御するのと同時に、外部への通信をいったん復号することで移動するコンテンツを可視化して、データ流出を防ぐことができます」と提案する。
今後有用なソリューションとして、クラウドサービス活用の管理にはCASB(Cloud access security broker)、リモートワークで直接クラウドサービスを使う場合にはSWG(Secure Web Gateway:クラウド型プロキシ)、オンプレミスへの安全なアクセスにはZTNA(Zero Trust Network Access)がある。加えて、統一的な運用にSASE(Secure Access Service Edge)が重要になる。
Netskopeのゼロトラストデータ保護は、ユーザーとアプリとDLPで守る
Netskopeは「データとネットワークに最高のセキュリティを」をビジョンに掲げ、設立以来、数々の先進的なソリューションを展開している。
具体的にはCASBに始まり、DLP、次世代SWG、NewEdge、NPA(Netskope Private Access)と続き、2021年にはRBI(Remote Browser Isolation:Web分離)、SSPM(SaaS Security Posture Management:SaaS設定不備を検出)、CFW(Cloud Firewall)と進み、今はSASEへと向かっている。
今回は情報漏えいにフォーカスし、クラウドやWebへの通信を制御するZTDP(Zero Trust Data Protection)を見ていこう。主な流れとしてはアイデンティティとアプリケーションの制御でリスクを減らし、その上で日本語対応のDLP(Data Loss Prevention)を適用することでデータを保護していく。
アイデンティティは主にユーザーを対象にした制御で、「このユーザーは誰か? どこまで許されるか?」という認証や権限はもちろん、UEBA(User and Entity Behavior Analytics)も含む。
アプリケーションはユーザーがアクセスするクラウドアプリケーションを対象としており、「このアプリケーション(サービス)は企業が認めたものか? 安全性は? どんな操作をしているか?」などインスタンスの区別、リスク可視化、アクティビティ制御などがある。DLPはデータの中身を見て個人情報や機密情報が含まれていないかを確認し、ポリシーに沿って制御していく。
なおゼロトラストにおける基本的な考え方は「トラフィックを継続的に監視し、(アクセスなどを)制御する」ことにある。そのため重要な要素としてはアクセス制御、ユーザーのアクティビティ制御、さらにコンテキストの理解がある。
これまでコンテキストを調べた後は「許可」または「ブロック」の二択だった。しかしこれでは極端であり、生産性が損なわれてしまう懸念もある。そのためこれからは、よりきめ細やかな制御ができると好ましい。例えばブロックしないまでも、ユーザーに対して通知やコーチングを行う、管理者に通知する、ステップアップ認証を行うなどだ。
UEBAも不審な行動を検知するため、ZTDPでは重要な要素となる。これは操作そのものは禁止されていないものの、ユーザーのふるまいを分析して不審な行動を検知する。たとえば短時間に連続してファイルのダウンロードやアップロードが大量に実施される、ログインの失敗が多い、個人用のストレージサービスにデータを移動するなど、日常的な業務では起こりにくい行動を検知していく。次世代SWGからさらに踏み込んだものとなる。
不審であるかどうかはスコアリングで評価していく。最初に持ち点があり、不審な行動があるたびに減点していく。信頼度が下がるというわけだ。スコアが下がるほど、制限が厳しくなる。例えば最初は制限なしでも、ある段階まで下がると警告メッセージが表示され、次は利用可能なクラウドサービスが限定され、クラウドサービスを利用可能な時間帯が限定され……と制限が強化されていく。
NetskopeのSWGはCASBのような可視化とリアルタイム制御が加わり、次世代SWGへと進化している。明らかに不審なサイトやC&Cサーバーなどをブロックするだけではなく、CASBのようにWebサイトごとに可能な操作を制御し、不審なサイトかどうか微妙ならRBIで攻撃を無害化することも可能だ。
通信制御(ZTNA)と設定チェックで確実にデータを保護
通信の制御に話題を移そう。パンデミックでリモートワークが増えたこともあり、VPN機器に関連する攻撃が急増した。パンデミック前に比べると20倍増加との報告もある。攻撃者はVPNの脆弱性をつくことで、企業内にマルウェアやランサムウェアを展開し、情報詐取を狙う。
NetskopeのZTNA(Zero Trust Network Access)となるのがNetskope Private Accessだ。VPNを使うことなく、社外にいるユーザーと業務で使うサイトとの間に安全に通過できるトンネルを作る。クラウドサービスとして提供されているため、企業の管理者は脆弱性対応や拡張などをする必要がなく運用負荷が軽減でき、アクセス制御によるマイクロセグメンテーションも可能となる。2021年の新機能となるのがCFW(Cloud Firewall)。これは全てのポートを網羅し、アプリケーションを制御する。
CFWと同様に先日提供開始となったのが、SaaSの設定ミスなどを検知できるSSPM。SaaSでは、データ管理だけではなく設定もユーザーに責任がある。クラウドストレージの設定を間違えて「閲覧可能」としていて、情報漏えいにつながったケースもある。
このようにNetskopeでは、SASEを構成するソリューションやサービスを意欲的に展開している。白石氏は「DX推進が叫ばれる中で、セキュリティ対策は追いついていますでしょうか。Netskopeでは皆さまが安心してビジネスを推進していけるように、手助けできます」と話す。
Netskopeの運用・監視に強みをもつ東京エレクトロンデバイス
2017年のNetskope Japan設立当時から販売代理店となり、Netskopeと深い繋がりを持つのが東京エレクトロンデバイスだ。Netskope認定資格取得者も多く、優秀なエンジニアに贈られる「Partner SE of the year」の受賞もある。
国内導入実績は100社以上。業種や業態、規模まで幅広い。導入から運用まで、Netskopeを熟知したエンジニアがサポートできる。導入支援ではPoC、構築、操作トレーニング、ポリシーチューニング、運用支援はサポートチームによるメールや電話対応などを提供している。
Netskope運用における課題としてよく挙げられることとして、東京エレクトロンデバイス CN営業部本部 松村光敏氏は「できることは豊富だが(裏を返すと)、最適な運用や設定のチューニングがわからない」、「インシデント発生時にどのように対処したらいいかわからない」などを挙げる。加えて、どこでも悩みの種となるのがセキュリティに詳しい人材不足だ。少ない人数で無理に運用してしまうと担当者の負荷が増え、ひいてはリスクの増加につながる。
その点、東京エレクトロンデバイスでは独自のセキュリティオペレーションセンター(TED-SOC)を有しており、同社のMCS(Managed Cloud Security)を頼るのもいいだろう。MCSでは24時間365日の監視体制があり、REST APIを用いてログを取得することでインシデント監視を行う。事前協議で定義したイベントは、TED-SOCのセキュリティエンジニアへ通知されるようになっている。
MCSでは3ヵ月に1度、ユーザーの利用状況、シャドーIT、脅威検知状況、対応履歴をリスクアセスメントレポートにまとめている。たとえばクラウド系ストレージの利用状況をまとめ、シャドーIT(企業公認ではないサービス)の可視化ができる。他にも、大量のファイルをダウンロードしたユーザー、普段とは異なる時間・デバイス・アプリケーション接続など、不審なアクティビティの検知につながったことも。
松村氏は「Netskopeの運用と監視は豊富な実績と専任エンジニアを抱える、東京エレクトロンデバイスにお任せください」と話す。
