Appgate SDP
オンプレとクラウドを柔軟に防御
Appgete SDPで加速するゼロトラスト
リモートワークの実現手段として採用が加速するVPN。実はセキュリティ上はいくつもの課題がある。エイチ・シー・ネットワークス(以下、HCNET)が提供する「Appgate SDP」はVPNの課題を克服し、オンプレミスやクラウドなどの環境を問わず「ZTNA(ゼロトラストネットワークアクセス)」を可能にする。
コロナ禍でリモートワークが広がり、企業のリソースに安全にアクセスする手段として利用機会が急増したVPN。今もVPN装置を求めるユーザーは増え続けている。
しかし、VPNにはセキュリティ上のリスクがあることは意外と知られていない。
実はVPNの脆弱性に関わるCVE(共通脆弱性識別子)は過去3年間で、200 件以上報告されており、その脆弱性を利用した攻撃手法も広く知れ渡っている。
リモートワークの導入が進んだ結果、VPN機器を狙った攻撃は増えており、国内企業も多数被害を受けている。警察庁によれば、2021年度の上半期に寄せられたランサムウエア被害相談のうち、半数以上はVPN機器からの侵入だった。
「ほとんどのVPNベンダーは脆弱性を公開しているものの、脆弱性を確認・管理し、自社内のVPN機器にパッチをあてられている企業は限られているのが実情です」とHCNETの早坂誠人氏は指摘する。
VPNのリスクは、一度でも侵入を許すと被害が拡大しやすい点にもある。多くのVPN製品は、ユーザーの所属や役職、アクセス時の場所などの要素に応じたアクセス制御ができないため、社内ネットワークの広い範囲へアクセスできてしまう。例えば、セキュリティのリテラシーが低い新入社員などの認証情報から、バックドアなどを仕掛けられ最終的には重要な資産を奪われる「ラテラルムーブメント(脅威の横移動)」を許してしまうのだ。
攻撃を許さないSDPのしくみ ラテラルムーブメントも完封
多くの日本企業ではファイアウォールやVPNなどを利用して、社内と社外の境界を守ることでセキュリティを担保しようという「境界型防御」を採用している。しかし、企業の資産がオンプレミスやマルチクラウドに分散して守るべき境界自体も分散し、また境界型防御のしくみではラテラルムーブメントで被害が拡大しやすいことから、「ゼロトラスト」という概念に注目が集まっている。社内外すべての通信を信頼せずに検査することを前提とする考え方で、最近では経済産業省がゼロトラストを取り入れたことでも注目が集まった。
ゼロトラストは単一のソリューションで構築できるものではないが、実現にあたって大きな役割を果たすと考えられているのが「SDP(Software DefinedPerimeter)」というアーキテクチャを利用したリモートアクセスだ。HCNETではユーザー環境でのゼロトラストの実現にあたり、SDPのしくみを持つ「AppgateSDP」をユーザーに提供している(図表1)。
SDPはその名の通り、境界線(Perimeter)をソフトウエア上で構築して制御する。そのため導入にあたって専用のネットワーク機器は不要で、ソフトウエアだけで完結する。筐体ごとにコンフィグする必要はないため、運用も手軽になる。
最大の特徴がSPA(Single PacketAuthorization:シングルパケット認可)を利用することだ。Appgate SDPでは、共有鍵を配布されたクライアントが、最初のシングルパケットで正規ユーザーであること確認してから接続を許可する。許可のないユーザーはそもそも接続できないため、攻撃者による脆弱性などの情報収集も許さない。「接続後も5分ごとに端末情報が変わってないかといった項目をチェックして、リスクがあればワンタイムパスワードによる追加認証を求めるしくみになっています」とAppgate社の畠山昌録氏は解説する。
さらに、構成においては、VPNと違い、ユーザーの認証機能を持つコントローラーとアクセス権を与えるゲートウェイが分離している。そのため片方を突破してもネットワークには侵入されない。
ラテラルムーブメントを防ぐしくみとしては、ユーザーのアクセス制御ポリシーを「Microsoft Azure」などのIDaaSサービスとの連携やJavaScriptなどスクリプトによる定義で実現する。「IDaaSから取得したユーザーの所属部署やグループなどの情報、さらにアクセスしている場所や端末の情報などに応じて柔軟にポリシーを設定できるため、例えば同じユーザー、端末であっても外国からのアクセスは拒否するといったことが可能です。従来のVPNなどでは、IPアドレスやドメインごとに1つ1つポリシーを設定する必要がありました」と畠山氏は語る(図表 2)
由緒正しいゼロトラストSDP 国内導入事例も多数
ところで、ゼロトラストという言葉が注目を集める昨今、多くの製品がゼロトラストをうたっている。しかし実際のところ、多くのベンダーが自社ソリューションを劇的に進化させているわけでもなく、ゼロトラストの要素を一部切り取って、宣伝文句に利用しているに過ぎないケースも散見される
ここでゼロトラストの起源をさかのぼると、2000 年代初頭にセキュリティの専門家が集まった国際標準化グループ「Jericho Forum(ジェリコ・フォーラム)」が境界型セキュリティの課題を提起したのが始まりだとされている。その後、2008 年に設立されたクラウド・セキュリティ・アライアンス(CSA)がジュリコ・フォーラムとクラウド時代のセキュリティを検討するなかで、2010年に調査会社のフォレスターがゼロトラストというキーワードを広めた。
Appgate社のチーフプロダクションオフィサーであるJason Garbis 氏はCSAのSDP Zero Trust Working Groupの共同議長でもある。CSAではゼロトラストを実現するためのSDPの仕様を定めているが、「Appgate SDPはCSAが定義しているSPAなど重要なSDPの仕様を最も満たしているソリューションです」と畠山氏は断言する。
さらに、Appgate SDPのインテグレーションおよびゼロトラストの実現を、HCNETが強力にサポートする。ベンダーのクラウド経由での利用を基本とするSDPは多いが、実際にはオンプレミスのデータセンター経由で利用したいユーザーも多い。「こうした場合、ネットワークやセキュリティに精通したインテグレータが必要です」と畠山氏は言うが、まさにそれを担えるのがHCNETだという。
「ゼロトラストにはWANだけでなくLANの変革も必要であり、その実現はジャーニー(旅)と表現されることもあります。目標とするインフラ像の整理から、そこに至るまで全ステップをお手伝いできる点は当社の強みです」とHCNETの藤澤秀氏は胸を張る。セキュリティやネットワークに不安を抱える多くの企業に、Appgate SDPとHCNETは心強い味方になってくれるだろう。
出展
株式会社リックテレコム テレコミュニケーション2022年1月号
セキュリティソリューション 一覧
-
Fortinetで構成する分散型SASEとは
分散型SASEをFortinetで実現するコアエレメントを紹介
詳しく見る
-
分散型SASE
分散型SASEをFortinetと提案
サブスクの導入・運用サービスも詳しく見る
-
Appgate SDP
オンプレとクラウドを柔軟に防御
Appgate SDPで加速するゼロトラスト詳しく見る
-
A3C-SIMコネクト/iboss cloud
月1200円から目指すゼロトラスト
ソフトSIM+SWGで全通信を制御詳しく見る
-
Aruba EdgeConnect SD-WAN (旧Silver Peak)とSASE連携
Aruba EdgeConnect SD-WAN (旧Silver Peak)と最先端のクラウドデリバリーセキュリティサービスにより、クラウドファーストの企業の各種ニーズに対応するSASE(セキュアアクセスサービスエッジ)ソリューションを提供
詳しく見る
-
ランサムウエア対策
ネットワーク接続前検疫で、パッチ適用を徹底!!
詳しく見る
-
ゲストネットワークの作り方
アカウント発行とeduroam環境の整備
詳しく見る
-
お悩み解決!
証明書の運用管理利用申請から証明書の配付まで
詳しく見る
-
スマートデバイス
セキュリティ対策BYOD時代のデジタル証明書運用
詳しく見る
-
不正通信端末遮断
ソリューション万が一情報セキュリティ事故が起きたとき、素早く発生源を特定し、被害拡大を防ぐ
詳しく見る
-
ネットワーク認証
正規のユーザーや端末のみにネットワーク接続を許可し、不正なアクセスを遮断
詳しく見る