【イベント情報】オンデマンド

<オンデマンドセミナー>解決策は意外とシンプル?クラウド時代の”守り方”

<オンデマンドセミナー>解決策は意外とシンプル?クラウド時代の”守り方”

テレワーク推進やSaaS活用などIT環境の変化によってサイバーセキュリティも高度化しています。そこで、2021年12月21日にWebセミナー「解決策は意外とシンプル?クラウド時代の“守り方”」を開催しました。「SASE(Secure Access Service Edge)」「EDR(Endpoint Detection and Response)」を軸に、VMwareのソリューションによって実現する、シンプルで生産性を向上できるセキュリティの手法を紹介しました。

基調講演:イチから学ぶSASE/EDRとゼロトラスト

株式会社ラック
サイバ―セキュリティサービス統括
デジタルペンテストサービス部長

仲上 竜太 氏

セッション①:EDRで変わるセキュリティ対策の考え方

ヴイエムウェア株式会社
パートナー第二営業本部セキュリティパートナー営業部
パートナービジネスマネージャー

吉田 和希 氏

セッション②:クラウド型セキュリティ「VMware SASE」の全貌

株式会社ネットワールド
SI技術本部
ソリューションアーキテクト課 次長
工藤 真臣

オンデマンドセミナー 視聴お申し込みフォーム
(講演資料も同時にダウンロードいただけます)

新たな脅威に対応するEDR/SASEソリューションを使うことで、DXを促進

基調講演では、株式会社ラック サイバーセキュリティサービス統括 デジタルペンテストサービス部長の仲上竜太氏が登壇。「イチから学ぶSASE/EDRとゼロトラスト」と題して、最近のビジネス環境におけるサイバーセキュリティに必要なSASEとEDRに関して解説しました。

コロナ禍とデジタルトランスフォーメーション(DX)によって、さまざまな場面で働き方が変化しました。オフィスワークはテレワークに変化、物理拠点は縮小、IT資産の場所もオンプレミスからクラウドへ移っています。従来の境界防御型セキュリティでは、インターネットとオフィスネットワークの境界をしっかり守っていればセキュリティが保たれているという大前提がありました。しかし、急激な環境の変化によって、従来オフィスの中に存在していたデータと利用者は、インターネットの外側に分散しています。サイバーセキュリティも、このような状態を基準にして考える必要があります。

サイバー攻撃は、情報窃取を目的したものから、データの暗号化解除に対する身代金要求(ランサムウェア)など、金銭目的の攻撃へシフトしています。攻撃者のモチベーションも高まっており、攻撃のためのエコシステムも構築されています。オフィスのネットワークへ接続するVPN装置の脆弱性を狙ったり、リモートデスクトップから侵入したり、あるいは従業員が会社のデータを会社の管理していないクラウドに保存するなど、従来の境界型防御では防ぎにくい状況となっています。

こうした中でゼロトラストという考え方が浸透しており、クラウド型のセキュリティソリューションが登場しています。特に、分散するエンドポイントを守るために常時監視して脅威の振る舞いを検出、すぐに対処できるようにするEDRの導入が進んでいます。インシデント発生時にその痕跡を探るフォレンジック分析は非常に困難ですが、EDRには、常に状況を記録していますので、早期にインシデントの詳細を把握できるメリットもあります。

ゼロトラストに共通する基本的な考え方と特長

ゼロトラストでは、常に認証する、動的なアクセスコントロールが求められる

エンドポイントをつなぐ経路の保護にはSASEが使われます。その特徴について仲上氏は、「ゼロトラストのインターネット経由での接続を提供する、VPNの代替となるような便利な機能を持っています。危険なサイトや業務に関係ないサイトへのアクセスを禁止したり、ダウンロード時に端末に影響のない環境で実行したり、SaaSの制御をしたり、業務上必要でないプリの通信を止めるような機能が搭載されています」と説明し、今ある脅威に対応できるこれらのソリューションを使うことで、DXに備えたセキュリティを確保できると説明しました。

EDRを使ってIT資産を常に監視・診断することで脅威を封じ込む

続いて、ヴイエムウェア株式会社 パートナー第二営業部本部 セキュリティパートナー営業部 パートナービジネスマネージャーの吉田和希氏が登壇。「EDRで変わるセキュリティ対策の考え方」と題して、「VMware Carbon Black Cloud」の活用と最新セキュリティ対策について紹介しました。

攻撃者は、偵察/侵入、接続の維持/遠隔操作、実行/情報の持ち出しといった手順で攻撃を仕掛け、長い時間をかけ着実にステップを進めていきます。まずはマクロ付きのドキュメントを実行するなど、脆弱性を悪用して侵入します。次に権限を昇格してコマンドを実行し、搾取対象の情報を探索します。最終的にはランサムウェアを実行してファイルを暗号化したり、ファイルを外部に送信したりします。

従来のアンチウイルスで防げるのは、初動のマクロ付きドキュメントの実行、そして最終段階のランサムウェアの実行とファイルの暗号化です。この間の接続の維持/遠隔操作によって探索していく行動については、EDRによって監視・保護できます。アンチウイルスが検知できなかった場合でも、その後の振る舞いをEDRが検知して対処できるのです。

VMware Carbon Black Cloudは、クラウドベースのEDRサービスで、PCやVDI、オンプレミスのサーバー、仮想サーバーなど対象デバイスは多岐にわたり、一つのエージェントで動作します。端末の挙動をすべて記録し、ログの保存期間は30日、90日、180日と需要に応じて選択可能です。管理者は管理コンソールを見ればよいため、調査対象の端末の詳細調査ができます。被害に遭っている端末を見つけたら、GUI操作で被害の封じ込めや復旧も行えます。

Carbon Black Cloud

「攻撃者は最終的にサーバーデバイスを狙っていきます。たとえVDIをリフレッシュしたとしても、サーバーまで侵入されては解決に至りません。VMware Carbon Black Cloudは、デバイスからサーバー端末の全ての行動を記録することができます。これによって、インシデントの深刻化を防ぐといったことが重要となります」(吉田氏)

VMware Carbon Black Cloudは、このようなEDRとしての機能に加え、IT資産の健康診断とも言える情報取得や監査、端末の脆弱性の可視化、組織のポリシーや脅威動向にあわせた柔軟なカスタマイズができるアンチウイルスなどを備えています。吉田氏は、セキュリティ対策強化のため選択肢の一つにしてほしいとアピールしました。

VPNとProxyの代わりとなるVMware SASEとは

ネットワールドのセッションでは、「クラウド型セキュリティ『VMware SASE』の全貌」と題し、ソリューションアーキテクトの工藤真臣がVMware SASEの特徴や導入事例を紹介しました。

VMware SASEは、ユーザーが自宅やオフィスどこからでも安全にアクセスできる環境を実現するマネージドサービスです。拠点間VPNの「VMware SD-WAN」、リモートVPNともいえる「VMware Secure Access」、次世代型Proxy「VMware Cloud Web Security」の3サービスから構成されており、VMware Carbon Black Cloudなどのエンドポイント防御と組み合わせて、ゼロトラスト型セキュリティを包括的にカバーします。

ゼロトラストを実現するVMwareセキュリティ製品とSASEの関係性

VMware SD-WANでは、簡単な初期セットアップやVPN設定など、運用を楽にできるよう配慮されています。それに加えて、アプリケーションの識別や経路選択、アクセス制御、複数の回線の使い分けなども一つの装置で提供しています。これを使うことで、拠点間の経路、特定アプリケーション操作の体感、拠点間接続の回線品質を快適にすることができます。

「回線最適化の機能を使うと、低品質の回線であってもビデオ会議などの重い通信も快適に使えます。また、弊社の拠点から本社へのファイルサーバーへのデータコピーも倍以上速くなりました。時間帯による通信品質の改善も見られました」(工藤)

VMware SD-WANは3000以上のアプリケーションを識別し、アプリケーションごとに通信の優先度が設定されます。例えば、Web会議のような通信の品質が求められるアプリケーションなどが快適に動作するよう自動的に処理されるのです。

VMware SD-WANには、一般的なVPN装置にあるようなクライアント端末からの接続機能が提供されていません。その役割を果たすのがVMware Secure Accessです。これは、デバイス管理ソリューションである「Workspace ONE UEM」に含まれるVPN機能をマネージド化したものです。管理画面から接続先や権限などのポリシーともに設定しておくと、VPNソフトウェアによって自動接続が行われ、アプリケーション単位でのVPN接続が可能となります。

次世代Proxyとも言われているのがVMware Cloud Web Securityで、URLのフィルタリングや、アンチマルウェア、サンドボックスでの安全な実行環境、クラウドサービスの利用状況を可視化・制御できるCASB(Cloud Access Security Broker)などの用途に利用できます。現在、インターネットのトラフィックの9割が暗号化されていると言われています。VMware Cloud Web Securityでは、SSLの暗号を解除して中身をスキャンし、もう一度暗号化して送り直す処理を行います。CASB機能では、SaaSアプリケーションの可視化によってシャドーITを発見・制限可能となります。例えば、SaaSストレージへのアップロードは情報漏洩につながる可能性があるので、ダウンロードのみを認めるなどの設定ができます。ほかにも、Azure ADをはじめとするIDaaSとの連携もサポートします。

工藤は、VMware SASEの紹介のあと、それらの機能を証明するために、在宅ユーザーや本社拠点ユーザーの操作がどうなるのかのデモンストレーションを行いました。そして、ネットワールドではゼロトラスト型セキュリティを実現したいというお客様向けに評価いただく環境やエンジニアによる技術支援の体制を用意していることをアピールしました。

今回ご紹介したソリューションに興味をお持ちいただけましたらぜひ資料をダウンロードください。またご不明点やお困りごとなどございましたお気軽にお問い合わせください。

オンデマンドセミナー お申し込みフォーム
(講演資料も同時にダウンロードいただけます)