Appgate SDPで加速するゼロトラスト

ネットワークのトータルソリューション:エイチ・シー・ネットワークス株式会社

Appgate SDP

オンプレとクラウドを柔軟に防御
Appgate SDPで加速するゼロトラスト

  1. ネットワーク・トータルソリューション:TOP
  2. ソリューション
  3. セキュリティソリューション
  4. Appgate SDPで加速するゼロトラスト


 

リモートワークの実現手段として採用が加速するVPN。実はセキュリティ上はいくつもの課題がある。エイチ・シー・ネットワークス(以下、HCNET)が提供する「Appgate SDP」はVPNの課題を克服し、オンプレミスやクラウドなどの環境を問わず「ZTNA(ゼロトラストネットワークアクセス)」を可能にする。


 コロナ禍でリモートワークが広がり、企業のリソースに安全にアクセスする手段として利用機会が急増したVPN。今もVPN装置を求めるユーザーは増え続けている。
 しかし、VPNにはセキュリティ上のリスクがあることは意外と知られていない。
 実はVPNの脆弱性に関わるCVE(共通脆弱性識別子)は過去3年間で、200 件以上報告されており、その脆弱性を利用した攻撃手法も広く知れ渡っている。
 リモートワークの導入が進んだ結果、VPN機器を狙った攻撃は増えており、国内企業も多数被害を受けている。警察庁によれば、2021年度の上半期に寄せられたランサムウエア被害相談のうち、半数以上はVPN機器からの侵入だった。
 「ほとんどのVPNベンダーは脆弱性を公開しているものの、脆弱性を確認・管理し、自社内のVPN機器にパッチをあてられている企業は限られているのが実情です」とHCNETの早坂誠人氏は指摘する。
 VPNのリスクは、一度でも侵入を許すと被害が拡大しやすい点にもある。多くのVPN製品は、ユーザーの所属や役職、アクセス時の場所などの要素に応じたアクセス制御ができないため、社内ネットワークの広い範囲へアクセスできてしまう。例えば、セキュリティのリテラシーが低い新入社員などの認証情報から、バックドアなどを仕掛けられ最終的には重要な資産を奪われる「ラテラルムーブメント(脅威の横移動)」を許してしまうのだ。



appgate-photo01.png(左から)Appgate 畠山昌録氏、HCNET 藤澤秀氏、HCNET早坂誠人氏

攻撃を許さないSDPのしくみ
ラテラルムーブメントも完封

 多くの日本企業ではファイアウォールやVPNなどを利用して、社内と社外の境界を守ることでセキュリティを担保しようという「境界型防御」を採用している。しかし、企業の資産がオンプレミスやマルチクラウドに分散して守るべき境界自体も分散し、また境界型防御のしくみではラテラルムーブメントで被害が拡大しやすいことから、「ゼロトラスト」という概念に注目が集まっている。社内外すべての通信を信頼せずに検査することを前提とする考え方で、最近では経済産業省がゼロトラストを取り入れたことでも注目が集まった。
 ゼロトラストは単一のソリューションで構築できるものではないが、実現にあたって大きな役割を果たすと考えられているのが「SDP(Software DefinedPerimeter)」というアーキテクチャを利用したリモートアクセスだ。HCNETではユーザー環境でのゼロトラストの実現にあたり、SDPのしくみを持つ「AppgateSDP」をユーザーに提供している(図表1)。

appgateSDP図表1

 SDPはその名の通り、境界線(Perimeter)をソフトウエア上で構築して制御する。そのため導入にあたって専用のネットワーク機器は不要で、ソフトウエアだけで完結する。筐体ごとにコンフィグする必要はないため、運用も手軽になる。
 最大の特徴がSPA(Single PacketAuthorization:シングルパケット認可)を利用することだ。Appgate SDPでは、共有鍵を配布されたクライアントが、最初のシングルパケットで正規ユーザーであること確認してから接続を許可する。許可のないユーザーはそもそも接続できないため、攻撃者による脆弱性などの情報収集も許さない。「接続後も5分ごとに端末情報が変わってないかといった項目をチェックして、リスクがあればワンタイムパスワードによる追加認証を求めるしくみになっています」とAppgate社の畠山昌録氏は解説する。
 さらに、構成においては、VPNと違い、ユーザーの認証機能を持つコントローラーとアクセス権を与えるゲートウェイが分離している。そのため片方を突破してもネットワークには侵入されない。
 ラテラルムーブメントを防ぐしくみとしては、ユーザーのアクセス制御ポリシーを「Microsoft Azure」などのIDaaSサービスとの連携やJavaScriptなどスクリプトによる定義で実現する。「IDaaSから取得したユーザーの所属部署やグループなどの情報、さらにアクセスしている場所や端末の情報などに応じて柔軟にポリシーを設定できるため、例えば同じユーザー、端末であっても外国からのアクセスは拒否するといったことが可能です。従来のVPNなどでは、IPアドレスやドメインごとに1つ1つポリシーを設定する必要がありました」と畠山氏は語る(図表 2)

appgateSDP図表2

由緒正しいゼロトラストSDP
国内導入事例も多数

 ところで、ゼロトラストという言葉が注目を集める昨今、多くの製品がゼロトラストをうたっている。しかし実際のところ、多くのベンダーが自社ソリューションを劇的に進化させているわけでもなく、ゼロトラストの要素を一部切り取って、宣伝文句に利用しているに過ぎないケースも散見される
 ここでゼロトラストの起源をさかのぼると、2000 年代初頭にセキュリティの専門家が集まった国際標準化グループ「Jericho Forum(ジェリコ・フォーラム)」が境界型セキュリティの課題を提起したのが始まりだとされている。その後、2008 年に設立されたクラウド・セキュリティ・アライアンス(CSA)がジュリコ・フォーラムとクラウド時代のセキュリティを検討するなかで、2010年に調査会社のフォレスターがゼロトラストというキーワードを広めた。
 Appgate社のチーフプロダクションオフィサーであるJason Garbis 氏はCSAのSDP Zero Trust Working Groupの共同議長でもある。CSAではゼロトラストを実現するためのSDPの仕様を定めているが、「Appgate SDPはCSAが定義しているSPAなど重要なSDPの仕様を最も満たしているソリューションです」と畠山氏は断言する。
 さらに、Appgate SDPのインテグレーションおよびゼロトラストの実現を、HCNETが強力にサポートする。ベンダーのクラウド経由での利用を基本とするSDPは多いが、実際にはオンプレミスのデータセンター経由で利用したいユーザーも多い。「こうした場合、ネットワークやセキュリティに精通したインテグレータが必要です」と畠山氏は言うが、まさにそれを担えるのがHCNETだという。
 「ゼロトラストにはWANだけでなくLANの変革も必要であり、その実現はジャーニー(旅)と表現されることもあります。目標とするインフラ像の整理から、そこに至るまで全ステップをお手伝いできる点は当社の強みです」とHCNETの藤澤秀氏は胸を張る。セキュリティやネットワークに不安を抱える多くの企業に、Appgate SDPとHCNETは心強い味方になってくれるだろう。



出展

株式会社リックテレコム テレコミュニケーション2022年1月号



セキュリティソリューション 一覧

Appgate SDP

Appgate SDP

オンプレとクラウドを柔軟に防御
Appgate SDPで加速するゼロトラスト

A3C-SIMコネクト/iboss cloud

A3C-SIMコネクト/iboss cloud

月1200円から目指すゼロトラスト
ソフトSIM+SWGで全通信を制御

Silver PeakとSASE連携

Silver PeakとSASE連携

Silver Peak SD-WANと最先端のクラウドデリバリセキュリティサービスにより、クラウドファーストの企業の各種ニーズに対応するSASE(セキュアアクセスサービスエッジ)ソリューションを提供

ランサムウエア対策

ランサムウエア対策

ネットワーク接続前検疫で、パッチ適用を徹底!!

ゲストネットワークの作り方

ゲストネットワークの作り方

アカウント発行とeduroam環境の整備

お悩み解決!証明書の運用管理

お悩み解決!証明書の運用管理

利用申請から証明書の配付まで

スマートデバイスセキュリティ対策

スマートデバイスセキュリティ対策

BYOD時代のデジタル証明書運用

不正通信端末遮断ソリューション

不正通信端末遮断ソリューション

万が一情報セキュリティ事故が起きたとき、素早く発生源を特定し、被害拡大を防ぐ

ネットワーク認証

ネットワーク認証

正規のユーザーや端末のみにネットワーク接続を許可し、不正なアクセスを遮断

COPYRIGHT ©2007-2022 HC Networks, Ltd. ALL RIGHTS RESERVED.

お見積もり依頼・お問い合わせ・
技術情報ダウンロードはこちら