閉じる

AIが防ぐ未来の情報漏えい 内部不正対策の新常識とは
損失額4億円越えの情報漏えい事件は日常的に起こりうる!内部不正を主とした被害事例を元に、情報の流出経路を分析し、効率的な監視ポイントをご紹介します。
AIが防ぐ未来の情報漏えい 内部不正対策の新常識とは
資料をメールで受け取る

SASEとは

SASEとは

2020年、新型コロナウイルスの蔓延によってテレワークを導入する企業が増加しました。それと同時に、急速に普及したのがクラウドを使ったサービスです。クラウドを活用することで様々なデバイスでどこにいてもサービスを利用できるようになりました。しかし、それに伴って新たなセキュリティリスクが生まれ、サイバー攻撃も増加し、これまでとは異なる考え方のセキュリティ対策の必要性が大きく増してきました。そこで今回はクラウドに則した新たなセキュリティのフレームワークである「SASE(サシー)」について解説していきます。

SASEとは

SASE(Secure Access Service Edge)とは、IT分野を中心に調査・助言を行う米国のGartner社が2019年に公開した新たなセキュリティのフレームワークのことです。SASEは、ネットワークとセキュリティの機能を1つのクラウドサービスとして包括的に提供するアーキテクチャで、安全で効率的なネットワーク環境の利用を可能にするものです。SASEの採用によって、従業員がどこで業務をしていても社内と同じような強固なセキュリティ環境を提供できるようになります。さらには、通信の検査や可視化・管理が可能になり、セキュリティ強化とともに企業の生産性向上も実現できます。
新型コロナウイルスの影響によって、テレワークをはじめとしたDXが推進されるようになった現在、このSASEはなくてはならないものになってきています。ではまず、SASEが前提とする「クラウド」について、その特徴と現在の利用状況を紹介していきます。

SASEとは

クラウドとは

クラウドとは、ユーザーがソフトウェアやサーバーなどのオンプレミスのシステムを使用せずに、インターネットを介してサービスを利用できる形態のことを指します。従来の利用形態では、専用のハードウェアの購入やソフトウェアのインストールが必要でした。しかし、クラウドでは提供元が管理するソフトウェアやデータを、利用者が手元のモバイル端末やPCでサービスとして利用できる点が大きな特徴です。GmailやYahoo!メールなどのWebメールサービスやMicrosoftのMicrosoft365などが一般にSaaSと呼ばれるクラウドサービスとして挙げられます。

利用状況

新型コロナウイルス感染拡大の影響により、世界全体でクラウドの利用率が急速に増加しました。米国調査会社のSynergy Research Groupが公表した調査結果によると、2020年度第3四半期にクラウドサービスへの支出が大幅増加しており、世界全体でオンプレミスからクラウドへの移行が進められていることが分かります。日本においても、企業のIT部門責任者の約78%が「新型コロナウイルスによってクラウドの利用が加速した」と回答しているという結果が、トレンドマイクロ社の調査によって明らかになっています。

SASE誕生の背景

SASEがうまれた社会的な背景として、主に2つの要因が考えられます。

ハブ・アンド・スポークモデルとその限界

SASEというフレームワークが誕生するまで、ハブ・アンド・スポークと呼ばれるセキュリティモデルが主流でした。ハブ・アンド・スポークモデルとは、クラウドへの通信を含む全ての通信をハブと呼ばれる中心拠点の本社やデータセンターなどに全て集約して、そこで通信を監視・制御するセキュリティモデルのことです。これにより一箇所で統合的なセキュリティを提供でき、運用管理の負担を抑えることができていました。しかし、このモデルは、オンプレミスのシステム環境を前提としており、守るべきものは社内にあり、社外は危険という認識の下で対策を行うフレームワークであるため、テレワークの浸透とクラウドの利用が進む現在では、セキュリティ上問題があります。さらに、SaaSなどのクラウドサービス利用の拡大とテレワークの増加により、社外からVPN通信で企業内ネットワークに接続し、そこからインターネットを利用するため、企業のインターネット回線へのアクセスが集中し、接続不可や遅延が発生する、などの問題も生じるようになりました。

クラウドのリスク

次に挙げられるのがクラウドを利用する際のリスクです。クラウドでは様々なサービスが提供されていますが、クラウド事業者によってセキュリティポリシーが異なるため、上記のハブ・アンド・スポークモデルではアプリケーションごとに異なるポリシーを適用させる必要があります。それにより管理・運用コストが増大したり、ネットワーク帯域をひっ迫して接続遅延が発生したりといった問題が生じるリスクがあります。さらには、セキュリティポリシーの個別設定が外部からの侵入の穴をつくり、セキュリティリスクを増大させる可能性もあるのです。

SASEの仕組みとメリット

SASEの仕組みとメリット

仕組み

SASEは様々な機能を持ち合わせていますが、主にSD-WAN、SWG、CASB、ZTNA、FWaaSを中心機能として包含しています。では、それぞれの機能を紹介していきます。

SD-WAN

SD-WAN(Software-Defined Wide Area Network)とは、ネットワーク機器の設定や動作をソフトウェアによって制御するSDN(Software-Defined Networking)の技術をWANに適用したものです。クラウド接続や拠点間接続を安全に行い、ネットワークを一元管理して運用管理を効率化することができます。さらに、特定のアプリケーションやクラウドについては直接インターネットからアクセスさせる「ローカルブレイクアウト(インターネットブレイクアウトともいう)」も実現でき、パフォーマンスが向上してネットワーク機器の負荷も軽減します。

SWG

SWG(Secure Web Gateway)とは、クラウド型のプロキシの役割を担う仕組みのことです。エンドユーザーによる通信を監視して、不審なIPアドレスやURLを発見したらブロックしてくれるようになっています。SWGは他にもサンドボックスやマルウェア検出などの複数の機能を有しています。

CASB

CASB(Cloud Access Security Broker)とは「キャスビー」と呼ばれているソリューションのことです。ユーザーが利用する複数のクラウドサービスを監視・制御し、利用状況を可視化する機能があります。ユーザーが利用するクラウドサービスとプロバイダーとの間に設置してデータの暗号化やログの取得なども行うことができ、クラウドの不正利用による情報漏洩を防ぐことが可能になります。

ZTNA

ZTNA(Zero Trust Network Access)とは「ゼロトラスト」と呼ばれる考え方を取り入れたソリューションのことです。ゼロトラストとは、「信用ゼロで何も信頼しない」ことを前提にセキュリティ対策を講じる考え方のことです。従来は、ネットワークの内側に守るべきものがあり外側が危険という認識が一般的でしたが、クラウドの普及によって内外の境界の意味合いが薄れつつあります。このような状況から、ZTNAはゼロトラストを前提としてデータやファイルへのアクセスを一元管理し、ユーザーが端末からアクセス要求をするごとにアクセスポイントと呼ばれる仲介システムを経由して端末のセキュリティ検証を行います。ゼロトラストを前提としているため強固なセキュリティを実現できるだけでなく、管理の一元化により管理者の負担も軽減できるというメリットがあります。さらに、主要なZTNAベンダーは世界各地に多数のアクセスポイントを有しているため、ユーザーがリモートアクセス要求を行った際には最寄りのアクセスポイントに自動的に誘導します。そのため、VPN利用時と比べて全体の通信距離が最適化され、通信を効率化することができます。

FWaaS

FWaaS(Firewall as a service)とは、クラウド資産に向けたファイヤーウォールでクラウドファイヤーウォールとも呼ばれているものです。クラウドのインフラストラクチャやアプリケーションの周りにファイヤーウォールを設置します。クラウド資産を外部空間から境界線(エッジ)で防御する機能はまさにSASEの代表例と言うことができます。

メリット

SASEの特徴はいくつか挙げられますが、簡潔にまとめると「ネットワークセキュリティ機能(SWG、CASB、FWaaS、ZTNAなど)とSD-WAN機能を組み合わせて、ユーザーやデバイスにクラウドによる安全なアクセスを提供する、クラウドに最適化された統合的なアーキテクチャ」であるとGartner社によって定義づけられています。では、SASE導入による具体的なメリットを紹介します。

DX推進

以前から話題となっていたDX(デジタルトランスフォーメーション)が、新型コロナウイルスの影響によるテレワーク化を機に、さらに加速し始めました。クラウドサービスの利用が大前提となるDXですが、クラウドに対する基本的なリテラシーやセキュリティの知識がないまま導入してしまうと、サイバー攻撃の標的になってしまう可能性が非常に高くなります。DXによるニューノーマルな環境に適応し、クラウドを安全に使いこなさなければならない状況において、ゼロトラストを前提に強固なセキュリティ対策を実現するSASEは大きな助けになります。SASEに沿ったセキュリティの構築をすることで、安全かつ最適にDXを推し進めることが可能になります。

個別ポリシーの一元化

クラウドはサービスごとに異なったポリシーが適用されるため包括的な管理ができず、運用コストの増加やセキュリティリスクの増大といった課題がありました。SASEは複数のクラウドサービスを一元化したセキュリティポリシーで包括的に管理することができるので、情報システムの運用負荷軽減やセキュリティ強化を実現できます。

快適なネットワーク回線

ハブ・アンド・スポーク型では通信を中心拠点に集約して管理していたので、クラウド化やリモート接続の増加による通信量の増加や、サテライトオフィスや海外拠点からの接続により、インターネット回線の遅延や、VPNのセッション過多という課題がありました。SASEは各拠点やリモートからインターネットに直接アクセスさせることで、帯域の利用やセッション数の課題を解消できるので、ネットワーク通信において遅延のリスクを低減することができます。さらに、SASEはクラウドで提供されるためトラフィック量の増加に柔軟に対応しやすいことも、ネットワーク遅延の低減に繋がります。

コスト削減

ZTNAによる通信の最適化やWANの帯域利用の効率化によって通信コストを抑えることができるだけでなく、個々のプロバイダーから提供されていたセキュリティサービスを統合することでベンダーの数自体を減らせることも大きなコスト削減に繋がります。

SASE検討時の注意事項

SASE検討時の注意事項

部署・部門間の協力

まず、部署によって異なるネットワーク環境やセキュリティを構築している場合、それらを統合させる必要があります。そのため導入の際には、部署間が連携してシステム構成や移行計画を検討することが必要です。さらに、SASEは従来のネットワークとセキュリティのサービスを統合するため、組織のセキュリティ担当者だけではSASEの検討は困難です。そこで、ネットワーク担当者と協力し、ネットワークとセキュリティの両方からのアプローチで検討することが必要不可欠です。

自社に合ったタイプ選び

SASEには主にファイヤーウォール型、SD-WAN型、プロキシ型の3タイプがあります。リモート環境構築による制御機能が必要な場合はファイヤーウォール型かSD-WAN型が必要ですが、そうでなければルーティング設定が不要なプロキシ型にするなど、自社の環境に合わせたタイプのSASEを検討することが重要です。

既存ツールの把握と理解

SASEを適用する際、ただツールを導入すれば良いという訳ではありません。SASEを正しく効果的に適用させるには、ネットワークとセキュリティ両方のリテラシーを持った上で、自社の使っているツールやアプリケーションなどを業務内容と照らし合わせて十分に検討することが必要です。それにより本当の意味での強固なセキュリティ構築が可能になります。

まとめ

まとめ

クラウドのような革新的な技術や機能が誕生したり、新型コロナウイルスのような予期せず社会に大きな影響を与える現象が起きたりするたびに、私たちはそれらへの向き合い方を考えて適応して行かなければなりません。今回のSASEは、時代と共に進歩する技術に適応し、安全に使いこなすために必要なフレームワークの一つです。しっかりと知識を身に着けて活用できるようにしましょう。

宮田 昌紀(みやた まさのり)
株式会社 網屋
内部統制コンサルティング シニアマネージャー
宮田 昌紀(みやた まさのり)

網屋入社後、公認情報システム監査.(CISA)として、大手企業の情報セキュリティやITガバナンスのコンサルティング及び内部監査支援業務に携わる。近年は、サイバー対策や働き方改革など、様々な目的に応じたログの可視化や有効活用のためのソリューションコンサルティングにも従事。国内企業に限らず、外資系企業や自治体などへのコンサルティングも展開。

AIが防ぐ未来の情報漏えい 内部不正対策の新常識とは

ホワイトペーパー

AIが防ぐ未来の情報漏えい 内部不正対策の新常識とは

被害事例

流出経路

対策

がわかる!

損失額4億円越えの情報漏えい事件は日常的に起こりうる!内部不正を主とした被害事例を元に、情報の流出経路を分析し、効率的な監視ポイントをご紹介します。

この資料でわかること

  • 内部不正の実態と事例がわかる!
  • 内部不正で重要なセキュリティ対策がわかる!
  • ALogではじめる内部不正に有効なログ活用をご紹介
ページ先頭へ