いま備えるべき「セキュリティの構え」とは?

アカマイ・テクノロジーズは、7月2日、東京・京橋の東京コンベンションホールにおいて、「Akamai Security Conference 2019」を「2020年企業セキュリティの『構え』を問う」をテーマに開催。会場には、企業や官公庁などで、サイバー攻撃対策を行ったり、ウェブやインターネットを利用したビジネスに関する経営者および運用の意思決定に携わる管理職、関連部門の担当者などが来場した。

山野社長は「新たな構え」について説明した

基調講演やセミナーでは、同社の「インテリジェントエッジセキュリティ」戦略や「ゼロトラスト・セキュリティ」戦略に基づいた最新製品や事例、昨今のセキュリティを取り巻く動向などについて紹介した。

2020年を見据えたサイバーリスク意識の高まりや、ビジネスのデジタル化の加速、働き方の多様化などにより、企業のセキュリティ戦略は大転換を迫られている。また、攻撃の巧妙化と範囲の拡大に対する新たな「構え」も必要となっている。同社では、今回のイベントを通じて、いま備えるべき『セキュリティの構え』の検討に役立つ内容を提供できたとしている。

午後2時から行われた基調講演では、「2020年を超えて企業セキュリティに求められる新たな『構え』とは？」と題して、アカマイ・テクノロジーズの山野修社長が講演。

アカマイ・テクノロジーズ職務執行者社長山野修氏

「アカマイの特徴は、インテリジェントエッジセキュリティ戦略を展開していることであり、3900の拠点から、24万台のエッジを通じて、セキュリティを提供している。引き続き、インテリジェントエッジセキュリティを強化し、みなさんのビジネスの役に立ちたいと考えている」と切り出した。

インテリジェントエッジセキュリティ

また、2020年に向けて、多くの企業においては、脅威に対する多層防御やSoCでの監視、ウェブサイトのセキュリティ、DDoS対策が完了していることを指摘する一方で、「さらなるセキュリティの強化が必要である。今後は、bot対策、大量の顧客IDの管理、サプライチェーンとワークフォースの保護という3つの備えが大切である」と述べた。

bot対策では、昨年夏に、国内のオンラインチケット会社において、アクセスの90%がbotであり、大量のチケットの不正購入があったという事件があったことを引き合いに出しながら、「ここ数カ月では、ダークサイトから、IDやパスワードを入手して、これを使って攻撃を仕掛けるパスワードリスト型攻撃が日本でも増えている。多くの企業では、botによる攻撃を受けていないというが、PoCを行うと、最低でも30%がbotによるアクセスというのが現実である。アカマイでは、botの自動検知によって、不正なログインを防止することができる。6000社、数10億台、90エクサバイトのデータを処理し、botを正確に識別し、自動検出することができる」とした。

bot対策

大量の顧客ID管理に関しては、「いまでは、SNSを活用した販促キャンペーンがさまざまな会社で進められており、それにあわせて、ソーシャルログインが増加している。また、マーケティング活動のために個人情報を取得する動きが加速している。多くの企業が10万以上のIDを持っており、これは企業にとってリスクがある状況である。さらに世界的にプライバシー保護の動きが強まっており、管理ミスがあった場合には、社会的責任を問われることになる。アカマイは、こうした課題に対して、企業内でIDを管理するのではなく、クラウド環境により、IDの登録、認証を含めた統合管理を行うことができる。また、GDPRをはじめとした世界のプライバシー保護の動きに準拠することができる」と述べた。

大量の顧客ID管理

3つめのサプライチェーン攻撃については、「グループ企業や取引先、業務委託先にアタックが行われ、そこを通じて、ターゲット企業に侵入し、機密情報を入手するという動きが増えている。アカマイは、管理の専門担当者がいない中小企業に対しても、サプライチェーン全体にセキュリティ対策を提案できる。これはクラウドによって実現するものであり、導入や日々の管理の煩わしさを排除できる」などとした。

サプライチェーン攻撃

一方で、「働き方改革によって、さまざまな場所から仕事をすることができる環境を実現することが求められており、社内のネットワークだけでなく、適正なユーザー認証や権限によるアクセス管理を行うことができる、ゼロトラスト・セキュリティに基づいたネットワークの再構築が重要になってきている」とし、ここでは、アカマイのEnterprise Application Access(EAA)の導入事例について紹介。LIXIL 理事 IT部門 B2C・商品システム部の安井卓部長が、EAAを利用した同社のDX(デジタルトランスフォーメーション)の取り組みについて説明した。

LIXIL 理事 IT部門 B2C・商品システム部の安井卓部長

LIXILの安井部長は、「LIXILが、EAAを採用したのは、ゼロトラストが理想のインフラ基盤であると考えたためである。業務生産性を向上させるために、UXの優れたシステムを提供したり、どんな場所からでも仕事をしたり、東京オリンピックの開催時には出社をしないで仕事をするといった多様な働き方をサポートしたり、これと同時に、利便性とセキュリティを強化することが必要である。そして、システムアーキテクチャーのモダン化も必要である。だが、レガシーシステムからの移行はコストと時間が必要である。EAAが提供するアクセス基盤によってレガシーとモダンとの橋渡しができると考えた」などと述べた。

また、山野社長は、アカマイは、過去3年間で売上高が2倍に拡大し、日本において、約600社の顧客を獲得していることを示しながら、「2015年まではウェブパフォーマンスやメディアデリバリーがビジネスの中心であり、セキュリティは7%の構成比に留まっていた。だが、2018年からセキュリティのビジネスが急速に拡大し、現在、24%の構成比にまで拡大している」などと述べた。

また、アカマイ・テクノロジーズマーケティング本部プロダクト・マーケティング・マネージャーの中西一博氏が、「脅威とリスクの変化に対応するアカマイのセキュリティ戦略」と題して、同社の戦略について説明した。

アカマイ・テクノロジーズマーケティング本部プロダクト・マーケティング・マネージャーの中西一博氏

「さまざまな攻撃手法が開発されており、昨今では、インターネットに面している部分だけでなく、様々なところが攻撃の対象になっている。矢面の変化があり、それが悩ましい変化になっている。また、IoTへの対応や新たなコンプライアンスへの対応も重要である。しかし、現状を見ると、攻撃の進化に対して、スキルの不足などを背景にリスクが増大していること、システムの複雑性が増していること、タイムリーに対策を打つための俊敏性が不足しているという課題がある。実際、調査によると、半分以上の企業が自分たちでセキュリティを守れないと考えている」と指摘した。

また、「ウェブ攻撃の86%が、SQLインジェクション、ローカルファイルインクルージョンで占められている。アカマイが提供するWeb Application Protector(WAP)では、8つのアタックグループ単位でポリシーを簡単に設定でき、対策ができるようになる。また、KSD(Kona Site Defender)の新たな機能であるAAGを利用することで、ウェブの脆弱性攻撃や非標的型の日常の攻撃、踏み台化を狙う攻撃などの対応でき、シンプルなWAP運用でサプライチェーン全体で保護できるようになる」などとした。

さらに、Web API攻撃に対応するために、Akamai WAFでは、KSDによるAPI Protectorや、WAPにおけるAPIリクエストの中身の検査への対応、WAFによるアクセスレートの制御およびbot対策を可能にする3つの保護戦略を実現していることに言及。巧妙なbotによるリスト型攻撃対策については、Bot Manager Premierによる不正ログインbot対策を紹介。ゼロトラスト・セキュリティへの取り組みとしては、ID認識型プロキシである「Akamai EAA」、セキュアインターネットゲートウェイ「Akamai ETP(Enterprise Threat Protector)」の機能を紹介した。

Akamai WAFの3つの保護戦略

　「EAAは、PCへの事前設定が不要で、ウェフブラウザからどこからでも設定でき、使用するアプリだけを設定したり、様々なSaaSにシングルサインオンでき、リモートデスクトップもブラウザだけで快適に利用できる。ETPでは、DNSの仕組みを用いることでマルウェアを検知することができ、多層崩御のひとつとして利用できる」などとした。

また、アプリ利用アクセスの一元管理を行う「EAA」、マルウェアやフィッング対策を行う「ETP」、業務アプリへのウェブ攻撃対策を行う「KSD」、業務アプリのパフォーマンスを向上させる「IPA」を組み合わせた「Enterprise Defender」を、ゼロトラストパッケージとして提供することを紹介した。

ETPのしくみと特徴

さらに、Akamai Identity Cloudでは、分散クラウド型のCIAMとして、認証情報に基づき、CRMと連携して、ユーザーごとに最適なリコメンドなどを提供。認証処理が急増した場合でも、アカマイ上のエッジで分散処理し、顧客ID管理とセキュリティが実現できると説明。「企業は顧客とのダイレクトな接点を強化し、消費者のプライバシーとデータを脅威から保護できる」などとした。