デジタル技術の進展や業務環境の変化によってサイバー攻撃は高度化・巧妙化している。その対策として、ネットワークの保護においても、ファイアウォールやUTMに加え、より高度なソリューションが求められている。この記事では、近年注目されるゼロトラストの考え方を背景に、ゲートウェイセキュリティの在り方について解説する。
ファイアウォールとUTMの違い
近年、高度化が進むサイバー攻撃に対して、企業や組織においては、ネットワークの入り口であるゲートウェイを防御するセキュリティ対策は欠かせないものとなっている。その代表的なソリューションとしては、ファイアウォールやUTM(Unified Threat Management:統合脅威管理)が挙げられる。以下、それぞれの概要を簡単に説明していく。
1)ファイアウォールとは?
不正なアクセスを防御する手段として、ファイアウォールは古くから利用されてきた。「防火壁」と訳されるように、企業の内部ネットワークと外部ネットワークの境界に設置し、不正なアクセスを遮断するものだ。この境界は「ゲートウェイ」とも呼ばれ、送受信されるアクセスを監視する役割を担う。従来のファイアウォールはIPアドレスやポート番号をもとに通信を制御していたが、近年はアプリケーション単位での管理が可能な製品も登場している。具体的には、以下のような種類のファイアウォールが提供されている。
・パケットフィルタリング型
パケットとは、通信されるデータを一定の長さで区切ったものであり、送信元や宛先の情報が付加されている。この種類のファイアウォールでは、送信元のIPアドレスやポート番号、あるいは宛先情報のルールを事前に指定し、特定のパケットを遮断できる。
アプリケーションレベルゲートウェイ型
HTTP、FTP、SMTPといったアプリケーションやプロトコル単位で、許可・遮断する通信を制御する。パケットの中身を検証して不正なアクセスを遮断できるため、パケットフィルタリング型では検知の難しい攻撃にも対応可能だ。また、さらに多くのアプリケーションを制御できる次世代型ファイアウォールと呼ばれる製品も登場している。
サーキットレベルゲートウェイ型
パケットフィルタリング型の通信制御に加え、トランスポート層での管理を行う。特定のシステムやアプリケーションのみの通信に限定して、通信の許可・遮断の設定が可能になる。いずれのアプリケーションプロトコルにも適用できるので、設定が容易というメリットがある。
2)UTMとは?
UTMはマルウェア対策から不正侵入防御、さらにはVPN(Virtual Private Network)といった機能までを1つの製品に統合したものだ。ファイアウォールやIDS(Intrusion Detection System:不正侵入検知システム) / IPS(Intrusion Prevention System:不正侵入防止システム)などの機能が含まれる製品も多く、複数のセキュリティ機能を一元的に提供できるのが特長と言える。UTMが提供される仕組みとして、アプライアンス型とクラウド型に分けられる。
・アプライアンス型
社内ネットワークと外部ネットワークの境界に物理的な機器を導入する。複数拠点を抱える企業では、拠点ごとにUTMを設置・設定する必要がある。
・クラウド型
UTMの機能をクラウド上で提供するもので、UTMサービス提供事業者に運用を委託する。ハードウェアの管理工数を削減したり、UTMのログを分析するサービスを利用したりできるのがメリットとされる。
UTMはファイアウォールと近しい効果を発揮するだけではなく、マルウェアやスパムメール対策の機能も有する。そのため、個別にソリューションを導入するよりもコストを抑制できるのがメリットだ。ファイアウォール単体で導入する場合と比べ、UTMは統合的な管理を行うことで、セキュリティレベルの向上が見込める点が大きな違いと言えるだろう。
ゲートウェイセキュリティの重要性
サイバー攻撃の高度化・巧妙化が進んだことで、外部からの侵入を完全に防御するのは現実的ではなくなっている。そのため、侵入されることを前提とした、XDRやEDR(Endpoint Detection and Response)のような素早く検知・対処できるソリューションへの関心が高まっている。ゲートウェイを保護する重要性は変わらないものの、それだけにとどまらない、より包括的なセキュリティの対策が求められるようになった。
そこで、ゼロトラストという新しいセキュリティ概念に注目が集まってきている。近年のIT環境を考慮すると、クラウドやモバイル機器が普及した影響もあり、業務アプリケーションやデータ管理の在り方が多様化してきている。このような変化を背景に、ゼロトラストの考え方では、社内外を問わず、あらゆるアクセスを信頼せずに検証を要するアプローチを採用する。
従来のゲートウェイセキュリティでは、社内外の通信を明確に分けて考える「境界防御モデル」が主流であった。リモートワーク普及の影響などもあり、昨今では社内・社外の境界が曖昧となっており、境界防御モデルだけでは、さまざまな脅威から逃れられなくなっている。そこで、ゼロトラストの考え方に基づいたゲートウェイは、あらゆる通信を監視し、不正な動きを検知する機能が求められるようになったのだ。従来どおり、境界防御の役割を担いながらも、不正な通信の検知に重きが置かれるようになったと言える。
ゼロトラスト実現におけるゲートウェイとエンドポイントの連携
ゼロトラストの実現には、ゲートウェイセキュリティに加え、エンドポイントセキュリティも重要となる。テレワークやBYODの浸透を踏まえ、社内のデータやアプリを扱うデバイス(PCやスマーフォンなど)の多様化が進んでいるからだ。
デバイスはユーザーが直接操作するため、悪意のあるWebサイトやメールからマルウェアに感染するリスクも高い。万一、デバイスがマルウェアに感染してしまうと、社内ネットワークへと感染が広がり、甚大な被害となる恐れがある。このような事態を招かないために、エンドポイント製品は機械学習の仕組みを導入するなど、次世代型の製品へと進化を遂げてきた。
不正な挙動をエンドポイントで検知し、速やかな被害抑制につなげるXDR/EDR製品の導入も進んでいる。XDR/EDRは、ほかのエンドポイント製品と比較すると、対策や復旧に重点が置かれている。従来のエンドポイント製品とXDR/EDRを組み合わせて、不正侵入時の被害を最小限にとどめることが期待される。
ゼロトラストでは、エンドポイントとゲートウェイが協調・連携してセキュリティレベルの向上を図る。例えば、エンドポイントで検知した脅威をゲートウェイと共有し、速やかにゲートウェイでも防御ができるようにする。また、エンドポイントとゲートウェイのログを統合して可視化すれば、未知の脅威を検知できる可能性が高まる。さらに、エンドポイントとVPNを連動させ、端末が常に暗号化通信できるようポリシーを設定する手法も考えられるだろう。
ゼロトラストの考えに基づき、システム全体を安全に運用するには、全体のセキュリティ状況を適切に把握する必要がある。攻撃者から狙われやすい箇所を洗い出し、すでに侵入された脅威がないかを定期的に確認するべきだ。自社のセキュリティ状況を診断するために、以下のようなサービスが提供されている。
脆弱性診断
重要なIT資産が攻撃されるリスクを検証し、セキュリティ強度を確認する。Webサーバーやアプリケーション、ネットワーク機器、ミドルウェアなどが主な対象となり、侵入や情報漏えいといった被害につながる脆弱性がないかを見つけ出す。効率的かつ効果的に脆弱性を発見するため、ツールを使って網羅的な診断を行う場合が多い。
ペネトレーションテスト
実際にサイバー攻撃での使用が想定される手法を用いて、特定のシステムに侵入されて重要な情報資産が侵害されるかどうかなどを検証する。ソーシャルエンジニアリングを含めて、外部から攻撃を受ける場合のシナリオを作成し、想定される脅威への対応状況を確認する。
スレットハンティング
内部ネットワークに侵入したマルウェアを検知・駆除する。未知の攻撃の場合、ウイルス対策ソフトでは検知が難しいため、すでにマルウェアに感染していることを前提として異常な挙動を探し出す。機器のログや通信パケットなどを収集・分析して、脅威を発見する仕組みだ。
先述のとおり、ゼロトラストの考えが広まったとしても、境界防御の重要性が下がったわけではない。むしろ、ファイアウォールが有する不正な通信を遮断する機能に加え、通信を監視する役割が加わったことで、ゲートウェイセキュリティの重要性がより高まっていると考えることもできる。
今後もテクノロジーの進化に合わせて高度化していくサイバー攻撃の動向を踏まえ、ゲートウェイはもちろん、エンドポイントやログ監視を含め、総合的なセキュリティ対策が求められている。