情シスが多忙だとセキュリティ事故が増える⁉リスクを減らすネットワーク管理法

　昨今、多くの企業がSaaSを始めとする様々クラウドサービスを導入しています。そのため情シスが管理すべきデバイスも、スマートフォンやタブレット、IoTなど多種多様になっています。情シスはこうした新しい取り組みを、これまで担ってきた業務をこなしつつ、対応しなければなりません。

　このような状況では、事業の存続を脅かすセキュリティ事故が起きかねません。企業は何に注意すべきなのでしょうか。

　大企業の情シス100名を対象としたセキュリティ対策の実態調査では、自社で取り組むセキュリティ対策として「ネットワークセキュリティ対策」「セキュリティ管理体制の構築」「セキュリティに関する規定の策定」が上位を占めています。一方で、５人に１人が自社のセキュリティ対策を「不十分」と考えており、そのうち約４割は「セキュリティが後手に回っている」と回答しています。「利用者任せの部分もある」、「古いバージョンのOSを継続利用していること」といった回答も見られています。

　リモートワークへの対応が急がれた2020年〜2023年頃は、セキュリティパッチが未適用のリモートアクセス向けVPN機器の脆弱性を突いた攻撃によって、業務システムが停止する事故が多発しました。

　IPA（情報処理推進機構）が公表している「情報セキュリティ10大脅威 2024 」を見ると、組織における脅威の6位に「不注意による情報漏えい等の被害」、9位に「テレワーク等のニューノーマルな働き方を狙った攻撃」がランクインしています。「不注意による情報漏えい等の被害」は2016年に選出されてから6年連続、「テレワーク等のニューノーマルな働き方を狙った攻撃」は2021年から4年連続で10位以内に選ばれ続けています。

　これらの脅威が依然としてランクインし続ける理由はさまざまありますが、その1つに、情シスが多忙なゆえに、セキュリティ対策に十分な時間を割けていない可能性があります。

　このような状況において、企業の情シスには、既存の管理業務をこなしながら、ビジネス環境の変化に柔軟に対応できるようなセキュリティのアプローチが求められています。その有効な解決策の一つが、「ゼロトラスト」に基づくセキュリティ対策です。

　ゼロトラストは、社内・社外に関係なくITリソースに対するすべてのアクセスを信頼せず、常に検証することで、セキュリティを確保しようとする考え方です（仕組みや概念、実装方法などについては、当社HP にて解説しています）。

　これまで主流だった境界防御型セキュリティでは、サイバー攻撃に備えて、ファイアウォールなどで社内と社外の境界を対策すれば、十分な効果が得られました。しかし、昨今はクラウド導入やリモートワークなどにより自社のデバイスやユーザーが境界の外、つまり社外にも多く点在するようになっています。

　言い換えれば、ユーザー１人ひとりのデバイスやアカウント、利用するアプリケーションごとに社内外の境界がある状態になっています。セキュリティ対策においては、そうしたデバイスやユーザーがどのような環境に置かれているのかを把握し、自社のセキュリティポリシーを適用できる環境を整備・運用しなければなりませんが、それを人の目と手作業で実施することは、現実的ではありません。

　ゼロトラストでは、テクノロジーを活用して、点在する膨大なIT資産へのアクセスを常に認証・認可することで、セキュリティを担保します。環境構築の方法にもよりますが、すべての通信を検証する一元的な仕組みを設けることで、システム全体へのセキュリティポリシーの適用が行いやすくなります。

　この一元的な管理やアクセス制御を担うのが、下図に示すSDP（Software-Defined Perimeter：ソフトウェア定義の境界）という機能です。SDPによって、社内外問わず、ユーザーごとに必要なアプリケーションやサービスへのアクセスを制御することができるようになります。従来のように「このIPアドレスのみ許可する」「この端末のみ許可する」というポリシー設定だけでなく、ID管理（IDaaS）などと連携することで個別のデバイスやアプリケーションの状態や挙動に応じて、アクセス許可や認可を実行できます。

　これにより情シスは、IT資産を把握しやすくなり効率よく管理できるようになるため、運用業務の効率化にもつながります。従来はセキュリティ機器のトラブルが発生した際に現地で原因を究明する必要がありましたが、ゼロトラスト環境があればこれまで人手が掛かっていた部分が効率化でき、運用管理の負担も大きく改善できるようになるでしょう。

　ゼロトラストに取り組みつつ運用管理業務を効率化するために、押さえておくべきポイントが複数あります。本記事では、要素の１つであるネットワークについて考えてみたいと思います。

　ネットワークは管理に手間がかかること、拡張性や柔軟性の確保が難しいことがしばしば課題となりがちです。例えば、全社的にリモートワークを行うために、拠点ごとにVPN機器を設置したり、アプリケーションの利用状況を確認したり、通信障害がでないように運用したりすることは簡単なことではありません。それらを解消するのが、SD-WAN（Software Defined-WAN）です。

　SD-WANは、物理的な機器で構築したWAN をソフトウェアで制御する技術です。拠点間通信やインターネット通信が可視化・制御が可能になるとともに、クラウドUTM（Unified Threat Management：統合脅威管理）やSWG（Secure Web Gateway：クラウド型プロキシ）などとの連携や一元管理ができます。

　SD-WANはゼロトラストに含まれるクラウドセキュリティを強化するフレームワーク「SASE（Secure Access Service Edge）」を構成する要素でもあります。

　SD-WANのインターネットブレイクアウト機能を使うと、拠点や外出先から本社を経由してインターネットに抜けるネットワーク構成でWindows UpdateやOffice製品の通信が遅延してしまう問題にも対処できます。他にも複数の回線を仮想的に1つに束ねて通信を最適化する機能もあり、安定した通信環境を構築できます。

　このようにSD-WANは、ゼロトラストやクラウド利用だけでなく、外出先からの接続やリモートワークなどの働き方の変化に対応できる技術です。情シスはネットワーク管理の作業負荷が軽減され、セキュリティ管理の効率化やリスクの早期撲滅が可能になり、生産性向上のための新たなチャレンジなどにリソースを傾けることができるようになります。他にも通信の遠隔制御など情シス稼働を削減できる機能があります。「情シスが既存業務で手一杯」という企業は、SD-WANおよびゼロトラストセキュリティを検討してみてはいかがでしょうか。