クラウドセキュリティ「HENNGE One」、ゼロトラスト戦略を実現する脱VPNなど3つの新機能を拡充

HENNGEは4月17日、クラウドセキュリティサービス「HENNGE One」において、ゼロトラスト戦略を強化するため、脱VPNを支援する次世代ネットワーク「HENNGE Mesh Network」、SaaS認証情報を統合管理できる「HENNGE Password Manager」、なりすましメール対策を支援する「HENNGE Domain Protection」の3つの機能を拡充することを発表し、説明会を開いた。

同社は3月より、エンドポイントセキュリティから脆弱性診断まで対応する「HENNGE Endpoint & Managed Security」の提供を開始している。

HENNGEの執行役員である今泉健氏は、「セキュリティの課題はエンドポイントだけではない。デバイスだけでなく、ネットワーク、ID、ドメインなど、これら全ての層に対して統合された管理と防御が必要。これらの課題を解決するために、今回3つの機能を発表する」と説明していた。

また、「ゼロトラストを実現するにコストがかかり、運用も複雑になり、一部の大企業だけのものだった。当社はこの状況を変え、すべての企業で、情シスの担当者が運用できるシンプルな構成で課題を解決していきたい」とも、話していた。

HENNGE 執行役員今泉健氏

メッシュ型のネットワークで脱VPNを実現する「HENNGE Mesh Network」

「HENNGE Mesh Network」は、独自の独自のP2P（Peer-to-Peer）通信技術を活用して、PCなどの端末をインターネット上の攻撃対象から隠蔽しつつ、必要なリソースにアクセスできるようにするサービス。HENNGE OneのID連携サービスの新機能として、10月以降に提供開始予定。

「HENNGE Mesh Network」機能のイメージ

従来の企業ネットワークの主流である境界型の防御モデルに対し、VPN機器の脆弱性を突いたサイバー攻撃が急増している。VPNは今や安全な経路ではなく、攻撃対象（アタックサーフェス）へと変わりつつある。

近年でも、VPNを介した内部ネットワークへの侵入と、ランサムウェアによる多額の身代金、大量の個人情報の窃取など、重大インシデントが報告されている

こうした課題に対して、HENNGEが投資先であるRunetaleと連携して提供する「HENNGE Mesh Network」は、企業内ネットワークという「場所で守る」防御から、「誰（アイデンティティ）であるかで許可する」というゼロトラスト型の防御を実現する。

「HENNGE Mesh Network」の概要

認証されたユーザーの端末のみが必要なリソースへ接続できるメッシュ型のネットワーク環境を構築し、ルータの複雑な設定や高価なシステムインテグレーションを不要にするという。

具体的には、ランサムウェアをはじめとする攻撃の入口になりやすいVPNゲートウェイなどの機器を廃止し、エンドポイント（端末）間でメッシュ状の通信を確立するゼロトラスト型のネットワークを構成する。

インターネットなど外部からの攻撃対象となるアタックサーフェスを必要最小限にすることで、脆弱性の対応に追われる情報システム部門担当者の負担を軽減する。

また、物理的なルータの設定を変更することなく、ソフトウェア上で通信範囲を細かく分割する「マイクロセグメンテーション」に対応するため、悪意を持った攻撃に伴う横展開（ラテラルムーブメント）を阻止する。

「HENNGE Mesh Network」のユースケース

SSO非対応のサービスのID管理を支援する「HENNGE Password Manager」

「HENNGE Password Manager」は、シングルサインオン（SSO）連携に非対応のWebサービスやシステムを対象としたパスワード管理サービス。ID情報はPC側の鍵がないと復号できないため、共有IDやパスワードであっても個人単位でセキュアに管理できる。10月以降に提供開始予定。サービス料金やパッケージについては提供開始時に公表される。

「HENNGE Password Manager」の位置付け

SaaSなどの導入が進み、一度のログインで複数のサービスが利用できるSSOが普及しているが、認証情報をSSOで管理できないシステムやサービスも利用されている。そのため、IDやパスワードの情報をユーザーがWebブラウザに記憶させたり、Excelに記したりと、情報システム部門の管理が届きにくい。

また、弱いパスワードを使っている場合や、パスワードを使い回している場合も多く、インシデントの影響範囲も広くなりやすい。さらに、ユーザーによるIDやパスワード忘れの問い合わせに対し、情報システム部門が対応する負荷も課題となっている。

「HENNGE Password Manager」はSSOに非対応のシステムやサービスでも、共有IDをセキュアに運用できる特徴を持つ。各ユーザーに対して、「編集可能」「読み取り専用」など、役割に応じたログイン情報へのアクセス権限の設定も可能。

ユーザーごとにアクセス権限を設定できる

ユーザーのログイン履歴に加え、組織から共有したログイン情報についても、「誰が、いつ、どこから、どんな操作（情報を閲覧、更新、コピー、共有）を行ったか」を記録してダッシュボード上で可視化する。

「HENNGE Password Manager」では、サーバ側に復号鍵を保存しないゼロ知識アーキテクチャ（Zero-Knowledge Architecture）を採用。暗号化したパスワードなどの情報はユーザーの手元にあるデバイス内に保存された鍵でのみ復号できるため、仮に保管された情報が流出したとしても、第三者が情報を閲覧することは理論上不可能とのことだ。

鍵の復元情報はデバイスに保存される

DMARCへの対応でなりすましメールを検出する「HENNGE Domain Protection」

「HENNGE Domain Protection」は自社ドメインを悪用したなりすましメールを検出し、対策するサービス。なりすましを防止する「DMARC（Domain-based Message Authentication, Reporting & Conformance）」を自社ドメインへ導入し、運用できるようにする。10月以降に提供開始予定。サービスの初期導入は無料だが、専門家による導入・運用支援サービスについては別途見積もりが必要。料金やパッケージはサービス提供開始時に公表予定。