本記事では、境界型防御セキュリティの概要と次世代のセキュリティシステムの魅力、Darktraceの特徴などをご紹介します。自社のネットワークのセキュリティ対策に不安を感じている、システムご担当者様や経営者様に向けて、境界型防御セキュリティの問題点や次世代のセキュリティシステムを導入するメリットをまとめました。
日本では、2020年4月に新型コロナウイルス感染症のまん延防止対策として、緊急事態宣言が発令されました。そこで3つの密(密閉空間、密集場所、密接場面)を避けるために、在宅での勤務が可能な企業はテレワークを導入するよう要請があり、その要請がきっかけでテレワークが急拡大した背景があります。
ここでは、総務省が公表している「テレワークセキュリティに関する実態調査(令和3年度)」と「テレワークセキュリティガイドライン第5版」をもとに、導入の課題点やトラブル事例をご紹介します。
まずは、「テレワークを導入するときに課題となった点」についての質問で挙がった回答を一部抜粋してご紹介します。
【テレワークの導入に当たり課題となった点】
1位:テレワークに必要な端末等の整備(51.9%)
2位:セキュリティの確保(51.6%)
3位:通信環境の整備(44.3%)
(出典:総務省「テレワークセキュリティに関する実態調査(令和3年度)」 )
多くの企業が在宅で使用する端末の整備も課題点としてあげていますが、同じぐらいセキュリティの確保に悩まされたようです。テレワークでは、メールやファイル共有などのクラウドサービスを利用することも多く、セキュリティ対策が不十分なためにトラブルが起きたり、ランサムウェアに感染するなど被害を受ける危険性があります。
では、テレワークでどのようなトラブルが発生しているのか、過去の事例をいくつかあげてみましょう。
・VPN機器の脆弱性の放置
・アクセス権限の設定の不備
・マルウェア感染
・ランサムウェア
・フィッシングメール
・ビジネスメール詐欺(BEC)
・無線LAN利用通信の窃取 など
「VPN機器の脆弱性の放置」に関しては、2020年にVPN機器のIDとパスワードが流出するトラブルが起こりました。日本では40社ほどの企業のVPN機器が攻撃を受け、不正アクセスされています。一部の企業ではサポートが切れたOSを知らず知らずのうちに使っており、なかにはサポート期限切れのOSが危険と認識されていないケースもありました。
また、マルウェア対策は十分にできていると多くの企業が答えていますが、サイバー攻撃は多様化しており、手口や技術も巧妙です。たとえば、近年トレンドになったサイバー攻撃「ランサムウェア」は、2022年上半期だけでも110件を超えており、セキュリティ対策が脆弱な中小企業が被害を受けた実態があります。
フィッシングメール、ビジネスメール詐欺(BEC)などメールサービスを使っての攻撃もトレンドとなっており、テレワークでのセキュリティ対策はさらに重要になっています。
(出典:総務省「テレワークセキュリティガイドライン 第5版(令和3年5月)」)
自社のネットワークのセキュリティ対策では、「境界防御型」のものを導入している企業が多いのではないでしょうか。
境界防御型セキュリティとは、社内のネットワークと社外のネットワークとの境界にセキュリティの壁を作り、社外からの攻撃をブロックすることで境界内の安全を守るシステムです。おもに、不正侵入検知システム(IDS)や不正侵入防御システム(IPS)が防御を行います。具体的には、不正侵入検知システムで不正あるいは異常な通信を検知し、不正侵入防御システムで防御・遮断します。
このIPS/IDSでは、以下のような攻撃に有効と言われています。
・トロイの木馬
・バックドア
・サービス妨害(DoS)/DDoS攻撃
・SYNフラッド攻撃
・バッファオーバーフロー攻撃
境界防御セキュリティでは、トラブルを回避できないケースもあります。境界防御セキュリティの限界と問題点を確認しておきましょう。
テレワークが普及し、社外でクラウドを活用することも増えてきました。それにともなって、システムや端末が境界の外にも広がり、社内と社外の境界があいまいになっています。境界があいまいになると防御が不十分になってしまうため、巧妙なサイバー攻撃だと通過しやすくなります。そして、境界防御型では一度アクセスが許可されてしまうと、システムを守ることが非常に困難になるのです。
境界防御セキュリティは基本的に、境界内の端末やシステム、それを使っているユーザーはすべて信用するということを前提にしているシステムです。それゆえ、内部不正による情報漏洩が起こっても見逃してしまう恐れがあります。また、境界防御セキュリティでは、クラウドやモバイルに対しての保護が十分でないことも問題です。
前述したように、境界防御型セキュリティでは、不正プログラムやサービス妨害、接続要求通信を大量に送ることによってサーバーをダウンさせるSYNフラッド攻撃などをブロックしやすいと言われています。しかし、近年はサイバー攻撃が多様化しており、細かく分類すると30種類以上の手口があります。中には防御型セキュリティで検知できない攻撃もあり、特にSQLインジェクション・クロスサイトスクリプティング型の攻撃は防御が困難だと言われています。
SQLインジェクション・クロスサイトスクリプティング型の攻撃は、データベース言語である「SQL」に不正なコードが組み込まれており、そのコードは複雑で難読です。さらに、マルウェアも日々進化しており、境界防御型セキュリティの検知から逃れる巧妙なマルウェアも出てきています。
さらに、境界防御型セキュリティの強みである 不正侵入検知システム(IDS)を回避するテクニックを既にハッカーは確立しているとも言われています。
このようにサイバー攻撃が巧妙化すると、従来の防御型セキュリティでは守り切れないこともあるのです。
巧妙なサイバー攻撃や内部不正による情報漏洩は、境界防御セキュリティでは防ぐことができない場合もあります。そこで今注目されているのが「ゼロトラスト」の考えに基づいた次世代のセキュリティシステムです。
ゼロトラストは、社内外問わず、すべてのトラフィックを「信用しない」という考え方です。従来は信用できると認定されていたトラフィックも含めてすべてを信用せず、必ず分析・検証を行い、安全性を確認することがゼロトラストセキュリティになります。
ゼロトラストセキュリティでは、次のような導入メリットがあります。
・システムの複雑さの軽減
・セキュリティ性の向上
・データ流出リスクの軽減
・問題発生時の検出時間の短縮
・多様な環境からアクセスできる
ゼロトラストセキュリティでは、「すべてを拒否して例外で許可する」対策が行われるため、セキュリティ性の向上が期待でき、内部不正によるデータ流出リスクも軽減できます。そして、アクセスのたびに認証を行い、リアルタイムでアクセス履歴を残すことによって、検出時間を短縮します。
このように強固な守りができるゼロトラストセキュリティなら、自宅やコワーキングスペースなど社外であっても安全にネットワークにアクセスできるのです。
巧妙化しているサイバー攻撃に対して、より一層セキュリティ対策を強化するための方法として、Darktraceが導入されています。
Darktraceは独自開発のAIによる教師なし機械学習を活用して自社のデジタル環境における通信を漏れなくリアルタイムに可視化することで定常から逸脱する異常な挙動を即座に検知します。外部内部を問わず、クラウドやSaaS、Eメール、IoTデバイス、VPN外のリモートワーク端末も含めてすべての通信を可視化することによって、より強固なセキュリティを構築できます。
Darktrace では、自己学習型AIが常に通信の状況を学習・監視・可視化しています。そのため、以下のような内部脅威の予兆を自律的に検知・遮断し、早期対応が可能です。
・海外拠点での想定外のIT利用
・IoTの活用による想定外の攻撃経路
・コンプライアンス・ポリシーに反するシャドーITの利用
・国内・海外拠点の従業員や出入業者による社内情報への不正アクセス
・内部情報の外部への漏洩
Darktraceは24時間365日、ずっとリアルタイムに作動しています。そして、Darktraceはアラートが異常度に応じて色分けされてビジュアライズされるため、セキュリティの専門知識を持つ人でなくても検証しやすいこともメリットです。また、各アラートの因果関係をAIが自動的に結び付け、日本語のインシデントレポートまで瞬時に自動作成できる機能などにより、企業のセキュリティ人材不足を補うことができます。
テレワークが増えてきた現在、ネットワークに関するトラブルも複数発生しています。従来の境界防御セキュリティ対策では防ぎきれない攻撃もあり、より強固なセキュリティ対策が必要です。ゼロトラストセキュリティとDarktraceを併用することによって、守りが強くなり、さまざまな未知の脅威に迅速に対応することができます。ぜひこの機会に自社のセキュリティ対策を見直して、ゼロトラストセキュリティとDarktraceの導入を検討してみてはいかがでしょうか。
Darktraceに関する詳細の資料はこちら からダウンロードできます。