FW+アンチウイルスからUTM+EDRへ

サプライチェーン全体の安全は、上流からの支援やサポートも重要だ。単に上がチェーンの末端にセキュリティ対策せよというだけでなく、実質的な支援や協力が欠かせない。

サイバーセキュリティにおいて部署内や業界内など横の連携が大切であるように、考えるべきは、すべてを自社で完結させようと思わないことだ。アウトソースはそのためにある。セキュリティ対策ではマネージドセキュリティサービス(MSS)を利用することで、自社で管理しきれない部分を外部の専門家やクラウドサービスに任せることができる。

中小企業の平均的なシステム環境およびネットワーク環境を考えると、MSSはUTMEDRを基本とするとよい。業務システムの一部はオンプレミスとして社内サーバーで運用するとしても、メールやファイルサーバー、その他一般業務に使うシステムはクラウドサービスを利用することが多いはずだ。

この場合、通信プロバイダーが提供するインターネットルーターを境界とする境界防衛がまず必要だ。そして、セキュリティ対策のイロハとしてアンチウイルスなど各デバイスの保護も必要だ。

現在、前者はUTMという統合セキュリティソリューションに任せるのが一般的だ。UTMにはファイアウォール機能の他、基本的なトラフィック監視、ログ機能が備わっている。アンチウイルスなども単体で動かすのではなく、EDR(Endpoint Detection and Response)を導入し、マルウェアの検知・駆除だけでなくその他の脅威の検知と排除といった一定のインシデント対応をしてくれるソリューションを利用する。

MSSに必要な機能を考える

では、中小企業が利用できるマネージドサービスにはどんなものがあるか。主要セキュリティベンダーが、中小企業向けにさまざまなMSSソリューションを用意している。ここではNTT東日本の「おまかせサイバーみまもり」を例にとって、中小企業に必要なMSSの機能を整理してみる。「おまかせサイバーみまもり」を例とするのは、中小企業に必要と思われるMSSの機能がセットになっているからだ。

おまかせサイバーみまもり

「おまかせサイバーみまもり」は、クラウド型のMSSだ(図参照)。したがって、脅威の検知や監視に関する設定・管理はクラウド側で行われる。ただし、実際に守りたいのは、企業の社内ネットワークや社内リソースだ。そのため、専用のUTMボックスを通信プロバイダーのルーターの直下に配置する。

通常のUTMは、ユーザー企業が設定管理を行うが、クラウド型MSSなので、ボックスの設定はクラウドからリモートでも可能になっている。トラフィックの監視もクラウド側がモニタリングを行うことになる。

UTMが顧客ネットワークの状況を収集・監視し、そのデータはクラウドに上げられる。異常を検知したり対応が必要なら、顧客側に通知が飛んだり、スタッフが連絡をくれたりする。

クラウド型MSSのサービス概念図 参考:おまかせサイバーみまもり

なにを検知してくれるのか

専用ボックスはUTMとしてトラフィック監視が主な機能だ。たとえば、外部の攻撃サーバーへの通信、不正なサーバー、汚染サーバーへのアクセス、マルウェアと思しき通信挙動といった、ネットワーク上の不審な動きを検知したら、レポートやワーニングを発してくれる。

インターネット上の脅威データベースなど登録された攻撃サーバー(C2サーバー)への通信が検知された場合、電話やメールで企業に連絡が届く。基本的なファイアウォール機能も持っているので、URLのブラックリストによるブロック、アプリや接続サイトの制限なども可能だ。メール添付ファイルをチェックするためのサンドボックス機能(オプション)もサポートされている。

ランサムウェアに感染したり、ウイルスによる被害を受けた場合、データ復旧やウイルス駆除について、遠隔サポート、訪問サポートもサービスメニューに入っている。現実のインシデントにどれだけ有効かは、状況やサービスの内容によって異なってくるが、中小企業にとって専門家による対応サービスは重要なポイントだろう。

UTMで対応できないデバイス保護:EDR

しかし、これはウイルス感染によってなんらかの被害が発生した場合の話だ。一般的なUTM、クラウド型のMSSやSOCサービスでは、トラフィックログからウイルスの挙動らしき通信を検知することはできても、ウイルスやマルウェアそのものをスキャンして検知する機能は備わっていない。

つまり、アンチウイルスなどマルウェア検知には別のソリューションが必要ということになる。前述したように、現在はEDRを利用することが一般的だ。ウイルス検知だけなら、OSの保護機能(WindowsならDefender、Windowsセキュリティ)を利用するか、システムベンダーに相談して、導入しているUTMやMSSと相性のよいEDRを選定してもらうとよい。

ちなみに「おまかせサイバーみまもり」もウイルス検知などは別のソリューションと組み合わせる必要がある。

セキュリティ対策の範囲の把握が重要

専用UTMボックスを使うクラウド型MSSでの注意点がもうひとつある。パブリッククラウドやSaaSのようなサービスやシステムを利用している場合、これらは当然クラウド型MSSの範囲外となる。

メールサービスや業務用のメッセンジャー、営業管理や顧客管理等にSaaS、クラウドサービスを利用している場合、これらのシステムは監視の対象外となる点に注意してほしい。

クラウドサービスの場合、サーバーの管理やネットワークセキュリティなど、プロバイダーの大規模なシステムに守られているが、各テナントの管理や設定はユーザー(利用者)の責任となる。クラウドサーバーのセキュリティは堅牢で、外部からのハッキングは難しくても、ユーザーのアカウント情報や認証情報が洩れたら、なりすましによる侵入を許してしまう。

パブリッククラウドの場合、利用者の制限、公開範囲の設定、アクセス制御をしっかり行わないと、第三者に内部情報の閲覧や変更を可能にしてしまう。

専用UTMボックスを設置し、MSSを契約したからといって、業務システムのすべてが保護されているわけではない。大手のシステムベンダーに構築をまかせれば、統合的な対策やソリューションを考えてくれるかもしれないが、外部サービスについては、自分たちで管理しなければならないセキュリティ対策の範囲を把握しておく必要がある。