セキュリティ対策も所有から利用へ:クラウド型セキュリティサービスとは?
セキュリティ対策をクラウドサービスに移行する動きが活発になっている。ITシステムや業務機能のクラウドシフトは今に始まったトレンドではないが、アンチウイルスだけでなくファイアウォールやWAF、侵入検知、AIによる攻撃検知など、セキュリティ対策をクラウドサービスとして提供するベンダーが増えている。
文/中尾真二
ITシステムがクラウドシフトする背景
クラウド時代を象徴する言葉に「所有から利用へ」という表現がある。従来型のITは、サーバーハードウェアや必要なネットワーク機器、メールやセキュリティアプライアンス製品を購入し、自社オフィス内に設置する。稼働させる業務アプリケーションもベンダーに依頼して開発してもらう。当然、ハードウェアとソフトウェアのメンテナンスも自社で行う。
しかし、IT業界の進化の速さと、デジタルトランスフォーメーション(DX) が進む事業環境によって、ハードウェアやシステムを固定的に所有することがビジネスリスクになってきている。システム構築が大がかりになり、数千万、数億というシステム投資は、それを10年といった単位で使い続けることが前提となりがちだが、業界の変化はそんなことはおかまいなしに進む。法律やビジネスルールは変わり、システムに問題がなくても陳腐化のサイクルは短くなり、セキュリティ要件からも、数年単位でのシステムリプレースは避けられない。
以前は業務に合わせたシステム構築が善しとされていたが、現在は自社プロセスに特化した構築、カスタマイズより、SaaS(サース/サーズ)やクラウドサービス のプロセスに業務を合わせて、ビジネス環境の変化に柔軟に対応するほうが合理的とされる。かくして、サーバーや業務アプリはオンプレミスからクラウドへの移行が進むわけだが、この動きは、セキュリティ対策に広がっている
セキュリティクラウドはなにを守ってくれるのか
ここにきて、SaaS型セキュリティサービス、クラウド型セキュリティサービスなどと呼ばれるサービスが注目されている。どういうものか。
簡単に説明すれば、用語が示すとおり、セキュリティ機能をパッケージソフトやアプライアンス製品として購入、インストール、利用するのではなく、クラウド上のサービス、Webサービスとして利用するものだ。サービスをクラウド化する考え方は新しいものではない。セキュリティ対策でも、ウイルス対策ソフトのかなりの部分はすでにクラウド対応している。
ただし、この場合のクラウド化は、マルウェア を検知するためのパターンファイルをクラウド上に集約することを意味している。昔のアンチウイルスソフトは、膨大なパターンファイルをセキュリティベンダーのサイトから定期的にダウンロードしていた。各PCは、ダウンロードしたパターンファイルでマルウェアの検知を行うが、クラウド型アンチウイルスの場合は、クラウド上のパターンファイルを参照する。
そして、現在注目されているクラウド型セキュリティは、メール対策、ファイアウォール、WAFといった機能をクラウドサービス化するものだ。これにより、メール対策、IPS/IDS、Webフィルタリングのために必要だったアプライアンス製品やパッケージソフトウェアをPCやイントラネット内からなくすことが可能になる。
クラウド型セキュリティサービスの特徴
クラウド型のセキュリティサービスは、どのように機能するのか。通常であれば、ファイアウォールやIPS/IDS、あるいはこれらを統合したUTMを企業システムの中、つまりイントラネットの中に配置し、出入りするトラフィックを監視することでセキュリティ対策としている。これらのセキュリティ機能部分をクラウド上に配置する。そして、社内からの通信、社内への通信のすべてを、クラウド型セキュリティサービスを経由させる。
メリットは、セキュリティアプライアンスやネットワークスイッチなどの機器管理の必要がなくなること。すべての装置をなくすことはできないかもしれないが、クラウドに移行した分についての手間はなくなるはずだ。コストについては、クラウドサービスの利用料(毎月発生する)とハードウェアの購入費用(通常購入時のみ)との比較が議論されがちだが、近年は、サービス利用料のほうが合理的である。前述したように、ハードウェアを所有しても、メンテナンス費用、故障時のコスト、数年ごとのシステム更新を考えると、トータルではサービス利用の方が安くなる可能性が高い。
事業所や拠点が複数あるような場合、拠点ごとに必要だった機器をクラウドに集約できるため、高いコストダウン効果が期待できる。同時に、全拠点を通じてセキュリティレベルの統一が可能になる。
インターネット上の脅威は、クラウドサービスがある程度防いでくれるが、クラウドサービスと自社システムの間が通常のインターネット回線だと、ここから攻撃を受けたり侵入されたりする可能性がある。この経路が気になるなら、VPNなどを利用すればいいだろう。ただし、利用するクラウド型セキュリティサービスがVPN接続に対応しているか確認する必要がある。
会社のすべてのトラフィックがクラウド型セキュリティサービスを経由することになるので、サービスが保証しているスループットにも注意を払う必要がある。しかし、一般論として、クラウドサービスの実態は大規模なデータセンターの機器や設備を利用しており、また、仮想化サーバーやSDN(ソフトウェア定義ネットワーク)によって構成されているため、スループットなどはヘタなUTM機器より高いこともある。
サービス内容や機能によっては、自社のセキュリティ要件をすべて満たせないこともある。クラウド型セキュリティサービスの適用条件や詳細機能を確認し、必要な対策機器を残しておく必要があるケースも出てくるだろう。
サービス事例でみる機能
クラウド型セキュリティサービスについて2つほど、実際のサービスを紹介する。
・ZIA(Zscaler Inernet Access)
ZIAは、おもにWebトラフィックをモニタリングし、攻撃トラフィックやリスクの高いWebアクセスを検知してくれるセキュリティクラウドサービス。特徴は、認証サーバー機能を利用して、アカウントごとのセキュリティレベルの制御ができることだ。これにより、デスクトップPC、リモートPC、モバイルデバイスなどの種類を問わず仕事ができる。
デバイスごとにセキュリティソフトを入れて管理するわけではないので、自宅や外出先から、ノートPC、スマートフォン、タブレットからインターネットや会社のイントラネットへのアクセスを守ることができる。
管理者向けにはWAF機能の詳細設定やアカウントごとの管理が可能になっている。これらの情報はダッシュボードにより設定管理の他、モニタリング、レポーティング機能も利用できる。
・i-FILTER@Cloud/m-FILTER@Cloud(DigitalArts@Cloudシリーズ)
i-FILTER@Cloudは、ホワイトリスト型のセキュアブラウジング環境を提供するクラウドサービスだ。安全なサイトやURLのみをホワイトリストとし、危険なサイトアクセス、水飲み場攻撃、フィッシングサイトへのアクセスなどを予防する。ホワイトリストは、業務に使うサイトやアクセスが限定しやすい場合、ブラックリスト方式やその他のセキュリティ対策より、確実にリスクを排除できる。
m-FILTER@Cloudは、メール本文や添付ファイルをチェックすることで脅威を検出する。具体的には、マルウェアや攻撃サイトへの誘導情報を含む標的型攻撃メール、なりすましやセッションハイジャックによるビジネスメール詐欺(BEC)の検出、排除が可能になる。メールの誤送信検知機能もあり、パスワードつき添付ファイルの中身もチェックできる。業務メールの無害化が期待できるサービスだ。
どちらも、もともとはPCやモバイルデバイスにアプリケーションをインストールし、クラウド上のデータベースを利用しながらセキュリティを確保するものだったが、@Cloudシリーズでは、処理のほとんどをクラウド上で行えるようになった。
サービス利用にあたっての留意点
クラウド型セキュリティサービスを利用する場合、留意点をいくつか挙げることができる。導入前に以下のポイントはチェックしておきたいところだ。
1. 対策のカバレッジ
管理コストや柔軟性などメリットが多いクラウド型サービスだが、セキュリティ機能のすべてをクラウド化するのは不可能と考え、サービスごとの機能と特徴を精査し、カバーしていない部分の対策をおろそかにしないこと。
2. トラフィックや処理のボトルネック化
クラウド型セキュリティは、プロキシやゲートウェイとして企業内のすべてのトラフィックを扱う必要がある。そのため、セキュリティサービスが処理のボトルネックになる。一般にクラウドサービス上のインフラは相当な帯域や容量を持っている。いままでの処理が契約した回線で賄えているなら、そのトラフィックをクラウド経由にしたところで、帯域が問題になる可能性は低いが、経路が増えるとレイテンシ(遅延)に悪影響がでるかもしれない。
SECURITY ACTION宣言に役立つソリューションは
「ソリューションファインダー」で見つけられます!
貴社に必要なソリューションを簡単に検索できる「ソリューションファインダー」なら、セキュリティ強化に適したソリューションもたくさん見つけることができます。
筆者プロフィール:中尾 真二(なかおしんじ)
フリーランスのライター、エディター。アスキーの書籍編集から始まり、翻訳や執筆、取材などを紙、ウェブを問わずこなす。IT系が多いが、たまに自動車関連の媒体で執筆することもある。インターネット(とは当時は言わなかったが)はUUCP(Unix to Unix Copy Protocol)の頃から使っている。