テレワークの浸透により、オフィス勤務を前提とした従来型のセキュリティ対策だけではカバーしきれない部分が生じていることは否めない。企業においては、状況によって異なる「最適なセキュリティ対策」を柔軟に実現できる体制を整えることが急務となっている。

9月10日に開催されたTECH+セキュリティセミナー「利便性と安全性の調和」では、ウォッチガード・テクノロジー・ジャパン システムエンジニア部 部長 猪股修氏が登壇。「シーンごとに異なる最適なセキュリティ対策とは」と題し、テレワークにおけるセキュリティを中心に、状況に応じて最適な対策を実現するソリューションや、その仕組みについて解説した。

  • ウォッチガード・テクノロジー・ジャパン システムエンジニア部 部長 猪股修氏

    ウォッチガード・テクノロジー・ジャパン システムエンジニア部 部長 猪股修氏

シチュエーションごとに異なる「最適なセキュリティ対策」

いずれの企業でも働き方改革の取り組みが進む昨今、在宅勤務やサテライトオフィスの利用も増え、働く場所の選択肢は大きく広がっている。こうした流れに対応していく上で、エンドポイントのセキュリティ対策を一層強化する必要があることは言うまでもない。

一方、オフィスに出社して働くことが全くなくなるわけではないため、社内ネットワークを前提としたセキュリティは維持しつつ、必要に応じて社外からVPN接続で社内ネットワークに接続するケースや、ゼロトラストなアプローチについて検討しなければならないシーンも増えている。

こうした背景を踏まえ、猪股氏は「ウォッチガードでは、ゲートウェイセキュリティやテレワークセキュリティをベースに、包括的なソリューションを提供することに力を入れている」と語る。

UTM/NGFW分野で知られる同社だが、近年はゲートウェイ/ネットワークセキュリティ製品だけでなく、クラウドセキュリティやエンドポイントセキュリティといった分野でもソリューションを展開しており、高度化する脅威に対し、企業が包括的に対応するための支援を行っている。

猪股氏は、同社の製品ポートフォリオを「ネットワーク」「セキュアWi-Fi」「エンドポイントセキュリティ」「多要素認証」の4つのカテゴリーに分類し、それぞれの製品の概要や特徴、導入メリットを紹介していった。

ベストオブブリードで真の多層防御を実現する「Firebox」

まず、既存の社内ネットワーク環境を保護・強化するために展開しているのが、UTM機能を搭載したゲートウェイ製品「Firebox」だ。

小規模オフィス/ホームオフィス向けの「T20」から、大規模エンタープライズ/データセンター向け「M4800/M5800」まで、規模別に6カテゴリーでモデルが用意されており、本社/拠点を問わず、さまざまな環境で利用できる。さらに、仮想アプライアンス「FireboxV & Cloud」を利用すれば、AWS(Amazon Web Services)やMicrosoft Azure、VMwareクラウド環境でのUTM利用も可能だ。

「ウォッチガードのUTMは、最良のものを組み合わせたベストオブブリードのセキュリティを実現するのが特徴です。例えば、標的型攻撃対策サンドボックス(APTBlocker)には『Lastline/VMware』、迷惑メール対策(Spamblocker)は『proofpoint』、インテリジェントアンチウイルスには『Cylance/Blackberry』を採用しています。専用の製品を組み合わせることで、真の多層防御を提供します」(猪股氏)

こうした仕組みにより、ネットワーク内部への侵入を技術的に阻止する入口対策から、端末で脅威が実行されても未然に感染を防止する内部対策、外部への不正な通信を検知/遮断する出口対策までを1つのUTMで実施することが可能となる。また、その過程で収集されたデータはクラウド共通基盤上に集約され、「WacthGuard Cloud Visibility」機能を通じてログやレポートとして可視化される。

猪股氏によると、ウォッチガードが国内に設置したFireboxから収集した情報を分析したところ、44%が既知のマルウェアで、残りの56%がゼロデイ攻撃などの恐れのある未知のマルウェアだったという。Fireboxに備わるCylance/BlackberryやLastline/VMwareは、こうしたゼロデイマルウェアの検知レイヤーとして機能するわけだ。また、DNSフィルリング(DNSWatch)機能を用いることで、フィッシングサイトやC&Cサイトといった悪意のある外部Webサイトへの通信をDNS変更によって遮断することも可能だ。

また、セキュアWi-Fiでは、Fireboxを搭載したクラウド管理型のワイヤレスアクセスポイントを提供する。同アクセスポイントはVPN機能も備えているため、「セキュリティを確保した状態で、会社支給端末を社内利用から社外持ち出し用に切り替えて利用する」といった柔軟な使い方を実現することができる。

EPP+EDR製品とフィッシング対策製品でエンドポイントを守る

テレワーク対応を視野に入れたエンドポイントセキュリティ製品として提供しているのが「Passport」だ。

Passportは、EPP(Endpoint Protection Platform)+EDR(Endpoint Detection and Response)製品の「WatchGuard EPDR」、フィッシング対策製品の「DNSWatchGO」、多要素認証・シングルサインオン製品の「AuthPoint」という3つのエンドポイントセキュリティ製品をパッケージ化したソリューションである。

ゼロデイを含む未知のマルウェアが増加すると、従来のようなシグネチャベースのアンチウイルス対策だけでは攻撃を防ぎきれない。そこで重要になるのがEPPやEDRだ。EPPは、既知のマルウェアを含めてエンドポイント上のプラットフォームで脅威に対抗するもの、EDRは侵入したマルウェアやランサムウェアの振る舞いを常時監視し、異常が発見されたら自動レスポンスによる自動保護を行うものだ。

「WatchGuard EPDRは、EPPとEDRを統合した『EPDR』という単一のソリューションとして脅威に対抗します。実行されている全てのプロセスを100%検出・分類化し、脅威や異常なプロセスはゼロトラストによって修復や停止処理を実施することで、PCを保護します」(猪股氏)

一方、DNSWatchGOは、エンドポイント上で名前解決の仕組みを活用して、フィッシングサイトやC&Cサイトへのアクセスを防ぐ製品だ。テレワークが増加したことで、端末の乗っ取りや、端末からネットワークへの侵入、ドライブバイダウンロードなどの被害を受けるリスクも高まっている。DNSWatchGOを利用すると、名前解決時にクラウドインテリジェンスと照合し、一致したらアクセスをブロックするといったことが可能だ。

また、多要素認証・シングルサインオンを実現するのがAuthPointである。テレワークの増加により、業務用端末が社外に持ち出される機会が増え、パスワード情報の盗難/漏えいリスクも高まっている。盗まれたパスワード情報は悪用されやすく、それがいつどう使われたか検知することも難しい。企業にとって「最も脆弱なセキュリティ」の一つだと言えるだろう。

猪股氏は「サイバー攻撃の種類で一番多いのはアカウント情報の漏えい。AuthPointは、認証を強化することでテレワーク時のパスワード漏えいのリスクを低減する」と説明し、AuthPointの主な利用ケースとして、SaaSを利用する際の多要素認証やシングルサインオン、リモートアクセスVPNを利用する際の認証の強化、PCログオン認証における不正ログインの防止などを挙げた。

*  *  *

講演で語られたように、多様な働き方の広がりに伴い、企業は従来型のネットワークセキュリティだけでなく、エンドポイントのセキュリティを強化し、ビジネスシーンに応じて最適なセキュリティ対策を講じていく必要に迫られている。

その解決策として、猪股氏は「Fireboxによるネットワーク脅威保護、EPDRによる『マルウェアの検知・保護』、DNSWatchGOによる『DNSレベルでの出口対策の強化とPCの保護』、AuthPointによる『ログイン認証の保護』を組み合わせることで実現できる」と強調し、講演を締めくくった。

[PR]提供:ウォッチガード・テクノロジー・ジャパン