「高度化するサイバーセキュリティの最新動向と
ゼロトラストアーキテクチャを合理的に実現する革新的ソリューション」

＜フォーティネット/ FortiGuard Labsについて＞

FortiGuard Labsは、日本をはじめ世界中の当社オフィスを中心に、24時間365日サイバー脅威がいつどこで、どのようなものが起きているか、あるいは起きなくなっているのかをリアルタイムでモニタリングしている。具体的には、世界中で稼働している当社のセキュリティセンサーから来る情報や、さまざまなコミュニティ、オープンソース、各国の政府機関、ソフトウェアベンダー等から得られる情報、あるいはCERTのような情報の収集活動を20年以上行っており、それらをもとにどういった脅威が存在するか、あるいは今後発生しうる脅威やその度合い、サイバー攻撃の目的に応じた必要な情報を、いかに的確かつ迅速に提供することができるかを調査分析する研究機関である。日々私たちがゲリラ豪雨のように世界中に降り注ぐサイバー攻撃にさらされていることをFortiGuard Labsで観測し、処理をして必要な対策として提供するのがフォーティネットのビジネスである。

＜脅威に関する最新動向＞

アメリカのとある機関による、902の金融機関を対象とした脅威動向についての調査によると、新型コロナウイルス感染拡大後、サイバー犯罪の増加を経験していると回答した金融機関が74％にも上った。このようにリスクが高まっている理由の一つに挙げられるのが、リモートワークによって、従業員の働く環境が変わったということだ。いわばこれまで組織のセキュリティの傘に保護されていた環境から端末が外に出ることで、大雨のようなサイバー攻撃に直接さらされるということである。モバイル端末の利用が急速に進み、それらに対する攻撃が増加しているのだ。例えば、不正なアプリを入り口として企業のネットワークに侵入をするという試みが急増し、特に攻撃種別として多いものは、ボットネットの攻撃やランサムウェア、フィッシングである。

2021年5月にFBIから報告された金融機関を装ったスピアフィッシング攻撃の警告においても、フィッシングメールは単なるスパムの類いではなく、受信者自身あるいはツールを使ってフィッシングメールであることの判別が困難なほど高度化しているという事例が報告されている。Eメールによる攻撃がサイバー攻撃の主要戦術となっていることが顕著な数字として表れているのだ。

具体的には、フィッシングを伴う侵害は36％増、ソーシャルエンジニアリングによる詐欺被害は15倍、さらにはビジネスEメール詐欺被害のうち金銭がサイバー攻撃者のもとに渡ってしまったケースが58％もあったということである。

もう一つはランサムウェアである。最新のFortiGuardによるグローバルの脅威動向をまとめたレポートによると、ランサムウェアが現れ始めた2014年の320万件から2桁、3桁の増加幅を示しており、さらに直近約1年間では、ランサムウェアを検出しブロックした数が10倍になっている。ランサムウェアの出現によって、サイバー攻撃者の戦術が様変わりし、それによる影響やインシデントの発生数がこの1年でさらに大きくなっているのである。

最後に、直近のマルウェアの分析に関してご紹介する。前述のFBIの報告における高度なフィッシングを伴う攻撃に利用されたマルウェアと、最近当社で報告した仮想通貨、暗号資産の窃取を狙う攻撃に利用されたマルウェアのサンプルが実際に検知されるまでにどれだけ時間がかかるのかを、70社のアンチウイルスベンダー製品の検出率を比べ調査を行った。結果としては、その検出数が70社中70社とはいかなかった点が一つと、ウイルスが出現してから2、3カ月が経った時点が、検出率、検知率の限度であったという点だ。出現当初の検知率は非常に低く、2、3カ月経過すると半数近くには検知されなくなることがわかった。これはウイルスが高度化していることと同時に、単純なアンチウイルス、単一なソリューションだけではなく、多層防御や複数の攻撃対象領域に対する対策をいかに効果的に織り交ぜるかが必要であるということである。

＜金融業界とゼロトラスト＞

フォーティネットが提供しているゼロトラストアーキテクチャ、ゼロトラストネットワークアクセス、そしてクラウド対応のネットワークセキュリティ基盤について紹介する。

金融業界のネットワーク、インフラは基幹系と店舗ネットワークが分離されており、セキュリティレベルが非常に高いインフラといえるが、昨今では分離されたネットワークに対してもマルウェア、脅威が侵入するといった例が報告されており、ゼロトラストのアプローチが求められつつある。また、内部不正による情報漏えい、クラウドサービスの利用増加、テレワーク、そしてFinTechサービスの拡充などがゼロトラスト原則の必要な背景として挙げられる。

＜ゼロトラストアーキテクチャ＞

ゼロトラスト原則がそもそも市場に出てきた背景としては、デジタル変革、DXの影響により、テレワーク推進やIoTデバイスの活用、また外部リソースの活用など、ネットワークのエッジが、爆発的に増えているということがある。さらに、インフラのアーキテクチャの変化も挙げられる。今までは境界型セキュリティで保護できる環境であったが、昨今は、アプリケーションやデータが点在しネットワークにエッジが増えたということがいえる。 　ゼロトラスト原則の要点をまとめると、1つ目は、アクセス主体であるユーザー、デバイスに対して継続的に認証と検証を行っていくこと、２つ目に、アクセス主体に対してアクセス権は最小限にすること、そして、情報漏えいを想定し、ネットワークやインフラ、セキュリティの環境を見直す必要があるということである。

＜ゼロトラストネットワークアクセス（ZTNA）の解説＞

ゼロトラストネットワークアクセス、ZTNAの解説をしていく。アクセスを行う主体（ユーザー、デバイス）を検証、認証する仕組みとして、二要素認証のFortiTokenやポスチャーチェックを行うFortiClientがある。そして、ポリシーを決定するポイントとしては、FortiClient EMS/Cloud、ポリシーの適用ポイントとしては、次世代ファイアーウォールであるFortiGateがある

＜ZTNAの特徴＞

1つ目は、デバイス認証ができる点である。FortiClient EMSもしくはCloudが認証局になりデバイス単位で証明書を発行し、唯一無二のデバイス認証ができるキーが付与されることで、アクセス主体であるデバイスが正しいデバイスかどうかといったことを検証する。そして、2つ目がユーザー認証。LDAPやRadius、SAMLなどの認証基盤を連携することで、既存のインフラをうまく活用しながら、認証レベルを上げることが可能だ。そして3つ目は、デバイスポスチャーチェックである。正しいデバイス、ユーザーであっても、アンチウイルスが起動されていないなど脆弱性を有する状態ではないか、まで確認できる。さらに、認証検証レベルを上げるだけではなく、一般的なVPNとは異なり、アプリケーション自体はアクセスプロキシの背後に隠れる為、どういったアプリケーションを使用しているかという情報は外部に見えない為、攻撃対象領域を減らすことができるのだ。

＜クラウドのネットワークセキュリティ基盤＞

最後に、クラウド導入の3段階とネットワークセキュリティ基盤についてお話をする。

Phase1のデータセンター等にあるリソースをクラウドに移行していくという段階において、クラウド・プロバイダーが提供するマネージド・ネットワークサービス経由で接続をする場合、利用や運用が容易である一方で、異なるクラウドやオンプレミスのネットワークと接続する際、セキュリティの考え方の統一が難しいという点や、クラウド間をまたぐオーケストレーションがないといった制限事項を考慮する必要がある。

Phase2のクラウドの適応範囲を広げていく段階においては、SD-WANのハブをクラウド環境にも設置することで、クラウド内にリソースが点在していても、データセンター、オフィス等から最適な経路でアクセスをすることができ、効率的にルーティングをすることが可能になる。

Phase 3においては、ハイブリッドクラウドもしくはマルチクラウドを想定したセキュアSD-WANに加えて、ファブリックコネクタの使用を提案する。当社のファブリックコネクタを使用した場合、万が一クラウド上でのIPアドレスが変わった場合も追従してセキュリティポリシーを適用する事が可能である。クラウドや既存の認証基盤と連携する場合にも、コネクタの活用が可能な為、既存の資産とのつなぎ込み、ゼロトラストに移行する際もこのようなコネクタを使用し、移行を進めていただきたい。

＜まとめ＞

1つ目、ゼロトラストアーキテクチャには検証、最小限のアクセスの実現、そして暗黙の信頼の排除というものが重要であるということ。次に、リモートアクセスの仕組みをVPNからZTNAに移行をすることで、継続的な検証と、最小限のアクセス許可を可能にする。最後に、ハイブリッドクラウドやマルチクラウドに移行した場合、それぞれの利用を想定したセキュリティ基盤、ネットワーク基盤を構築し、デジタル変革を進めていくことが必要だ。

◆講演企業情報
フォーティネットジャパン株式会社：https://www.fortinet.com/jp