国産セキュリティで認証から通信まで安全に──新製品「Z-FILTER」で実現するゼロトラスト

「ゼロトラストセキュリティ」とは、その名の通り「全てを信頼せず、あらゆるアクセスを制御して常に安全性を検証する」というセキュリティの考え方・概念そのものを指します。

かつて主流だった、社内と社外をファイアウォールで区切り「内側は安全」とする境界型防御は、クラウドサービスの普及やコロナ禍を契機とした働き方の変化により、もはや限界を迎えています。

情報資産も従業員も、あらゆる場所にいることを前提とした新しい考え方が、ゼロトラストなのです。

一方、「SASE」と「SSE」は、このゼロトラストという概念を実現するための具体的な手段であり、機能で構成されるフレームワークを指します。

SASE（Secure Access Service Edge）は、ネットワーク機能（SD-WANなど）と、後述するSSEのセキュリティ機能をクラウド上で統合して提供する考え方で、場所を問わず、すべてのユーザーとデバイスに一貫したセキュリティポリシーを適用できるのが特徴です。

そしてSSE（Security Service Edge）は、SASEからセキュリティ機能だけを切り出した部分を指します。具体的には、Webアクセスの安全性を確保するSWG（Secure Web Gateway）、クラウドサービスの利用を可視化・制御するCASB（Cloud Access Security Broker）、社内アプリケーションへの安全なアクセスを提供するZTNA（Zero Trust Network Access）などの機能が含まれます。

全社的なネットワーク構成から見直したい場合はSASEが、既存のネットワークは活かしつつセキュリティだけを強化したい場合はSSEが有効です。自社に必要な要素は何かを考えることが、効果的な対策への第一歩となります。

国内の保険代理店様で、VPN（Virtual Private Network）への攻撃を起点にランサムウェアに感染した事例です。攻撃者はVPNサーバーにブルートフォース攻撃で侵入し、そこから社内のファイルサーバーに接続してランサムウェアを実行しました。

VPNは一度接続を許可すると社内ネットワークへ広範囲にアクセスできてしまう危険性があり、外部からの侵入を検知できなかったことが主な原因です。今やアタックサーフェス（攻撃対象領域）となりやすいVPNからの脱却や、MFA（多要素認証）による入り口対策が急務と言えます。

闇サイトなどで不正に入手したIDとパスワードのリストを使い、様々なWebサイトでログインを試みるパスワードリスト攻撃も後を絶ちません。ある事例では、この攻撃によって企業のサイトが侵入され、1万件以上もの顧客アカウント情報が漏洩しました。

使い回されたパスワードが破られれば、簡単に不正ログインを許してしまいます。この事例は、パスワードだけに依存しない多要素認証の重要性を改めて示しています。

あるホテルで、管理サイトにウイルスメールが送られ、ID・パスワードが窃取された事例です。攻撃者はその認証情報で宿泊予約システムに侵入し、旅行者に向けてクレジットカード情報を入力させるフィッシングサイトへのリンクを含んだ偽のメールを送信しました。

これは、ホテルだけでなく、そのサービスを利用するお客様にまで被害が及んだ深刻な事例です。フィッシングサイトへのアクセスをブロックする仕組みと、万が一ID・パスワードが盗まれても侵入を防ぐ多要素認証の組み合わせが不可欠です。

外部からの攻撃だけでなく、内部のリスクにも目を向けなければなりません。大手通信事業者で、元従業員が転職する際に、クラウドサービスを利用して社内の機密情報を大量に持ち出し、転職先で不正利用したという事例がありました。

システム的に機密情報を自由にアップロードできる状態だったことが大きな原因です。このような内部不正には、機密情報の送信を検知・ブロックするDLP（Data Loss Prevention）や、不適切なクラウドサービスの利用を制御するCASBといった対策が有効です。

これらの事例からも分かるように、攻撃手法は多様化しており、従来の境界型防御だけでは対応が困難です。だからこそ、ゼロトラストの概念に基づいた多角的な対策が求められているのです。

マルウェア感染経路の第1位とも言われるVPNには、脆弱性の問題や通信遅延といった限界が顕在化しています。

Z-FILTERのZTNA機能は、通信のたびに認証を行い、ユーザーとデバイスの正当性を都度確認することで安全性を担保します。通常、ZTNAの利用にはIDaaS製品との連携が別途必要ですが、Z-FILTERには弊社のIDaaS製品「StartIn」が統合されているため、社外から社内へのアクセスまで、同一ベンダーのソリューションで完結できるのが大きな強みです。

弊社のWebセキュリティ製品「i-FILTER」で最大の強みといえるのが、ホワイトリスト運用です。危険なサイトをリスト化してブロックするブラックリスト方式とは逆で、弊社のデータベースで安全と確認されたサイトへのアクセスしか許可しないという考え方です。

この方式は、高精度・高網羅率のデータベースがなければ誤検知を多発させてしまいますが、弊社が長年培ってきたデータベース技術により、未知の脅威に対しても極めて高い防御性能を発揮します。Z-FILTERも、導入実績No.1を誇るi-FILTERの基盤をそのまま継承しており、安心してご利用いただけます。

Z-FILTERに統合されたIDaaS「StartIn」は、ワンタイムパスワードや生体認証といった標準的な多要素認証に加え、弊社独自の認証方式を組み合わせることが可能です。

特に特徴的なのが、特許を取得した、位置情報によるアクセス制限です。あらかじめ許可するエリア（例：国内、事業所、自宅など）を登録しておくことで、許可されていないエリアからのログインをブロックできるため、海外からの不正アクセスなどを物理的に防止できます。

また、端末にインストールされた証明書を用いたパスワードレス認証も実現可能です。ID・パスワードを使わない運用にすることで、フィッシングやパスワードリスト攻撃のリスクを根本から排除できます。

その他にも、Z-FILTERはゼロトラスト実現に欠かせない、以下のような機能を網羅しています。

• IPS機能
  許可された通信の中身まで解析し、攻撃の兆候を検知・防御します。

• CASB/DLP機能
  3,000以上のクラウドサービスに対し、「ログインは許可するがファイルアップロードは禁止する」といったアクション単位での柔軟な制御や、機密情報の漏洩防止が可能です。

• レポート機能
  「いつ、誰が、どこで、どのアプリに、どんなデータを送信したか」を詳細なログとして記録・可視化します。ログは標準で1年間保存可能です。