Bizコンパス

セキュリティガバナンス確立に不可欠な仕組みとは?
2016.04.13

セキュアゲートウェイ最新動向第2回

セキュリティガバナンス確立に不可欠な仕組みとは?

著者 Bizコンパス編集部

 プロキシやファイアウォールをオンプレミスで運用する、旧来のインターネット接続環境(ゲートウェイ)。そのような環境を見直し、この領域においてもクラウドにシフトする企業が増え始めています。背景にはさまざまな理由がありますが、特にポイントとなっているのがセキュリティとガバナンスの強化です。ここでは、インターネットゲートウェイをクラウド化するメリットを解説していきます。

 

企業がインターネットゲートウェイを見直す理由

 さまざまなWebサイトへのアクセスやメールの送受信、あるいは企業間取引など、いまやインターネットはさまざまな用途で使われており、ビジネスにおいて欠かせないインフラとなっています。昨今、このインターネットに接続するための環境を見直す動きが多くの企業に広まりつつあります。

 そのきっかけとして挙げられるのは、Office 365やGoogle Appsに代表されるクラウドサービスの導入です。メールやグループウェア、あるいは音声や映像によるリアルタイムコミュニケーションなど、さまざまな機能を備えているこれらのサービスを導入することで、インターネット接続に利用している回線の帯域幅は相応に消費されます。もし帯域幅に余裕がなければ、レスポンスの悪化などが生じてしまい、業務に悪影響を及ぼしてしまうことになります。またインターネット接続回線が1本しかない場合、災害時にこれらのサービスを利用できなくなるリスクが高まり、業務継続に課題を残すことになるでしょう。

 SaaS以外にも、インターネットはさまざまな用途で使われています。従業員がWebサイトを参照する際はもちろんですが、他拠点とのインターネットVPNでの接続や取引先との商取引、あるいは在庫情報の共有とそれに伴う受発注の自動化など、社外との連携においてインターネットが使われることもあるでしょう。

さまざまな用途で活用されているインターネット

 大規模な情報漏えい事件がたびたび発生するなど、多くの企業にとってセキュリティ強化の意識が高まっていることも、インターネットゲートウェイを見直す理由として挙げられます。社内PCを遠隔操作するマルウェアの利用、あるいはサーバーの脆弱性を狙った不正アクセスなどの攻撃は、その多くが経路としてインターネットを利用しているからです。

 そこで対策として使われているのが、ファイアウォールIDSIPS、あるいはゲートウェイ型のウイルス対策ソリューションなどといったセキュリティ装置です。しかし攻撃手法が進化し続けている今、これらのセキュリティ装置を導入しただけでは安全を確保することは難しいのが現状です。これらの背景から、インターネットと社内ネットワークの接点となる、ゲートウェイ、そしてセキュリティ対策を抜本的に見直そうという流れになるわけです。

 

意外と負担が大きいインターネットゲートウェイの運用

 グローバルでのガバナンス強化も、インターネットゲートウェイを考える上で重要な観点となります。たとえば海外子会社の拠点からインターネットに接続する際、それぞれのローカルキャリアが提供しているインターネット接続サービスを利用することは珍しくありません。ただし日本と比べると不安定だったり、また十分なセキュリティ対策が実施されないまま接続されていたりする拠点が多いようです。このような状況を放置すれば、セキュリティ上のリスクにつながるだけでなく、ガバナンス面においても見過ごせない問題となるでしょう。

 また、インターネットゲートウェイの運用が負担となっている企業も少なくないようです。インターネット接続回線とゲートウェイなどと呼ばれる宅内機器があれば済む家庭内のインターネット接続環境とは異なり、企業ではプロキシやファイアウォール、IDS/IPSといったセキュリティ装置など、さまざまな機器を組み合わせて運用しています。インターネットに障害が発生すれば業務に大きな影響が生じるため、これらを適切にメンテナンスする必要があるほか、保守期限切れによるリプレースなどの作業も当然発生します。

 このように複数の機器を使っている場合、問題が生じたときの切り分けも容易ではありません。仮に原因を特定できたとしても、それぞれ適切な問い合わせ窓口に連絡する必要があるなど、管理者の負担は決して小さくないでしょう。

 クラウドサービスの利用も、インターネット接続におけるガバナンスに影響します。内部ネットワークからインターネットへの通信においては、ファイアウォールやプロキシを利用し、外部に接続できるプロトコル(ポート)をHTTP/HTTPSのみに絞り、それ以外のプロトコルの通信を制限する形が一般的です。このため、HTTP/HTTPS以外のプロトコルを使うクラウドサービスを利用する際にはファイアウォールやプロキシの設定を変更する必要が生じますが、ガバナンスやセキュリティに配慮しつつ外部との通信を許可する設定を適切に行うのは容易ではありません。

 こうしたインターネットゲートウェイにまつわるさまざまな課題の解決策として、昨今広まり始めているのがクラウドの活用です。具体的な構成としては、VPNサービスを利用してクラウドに接続、そこからインターネットに抜ける回線を用意するという形です。

インターネットGW(ゲートウェイ)のクラウド化

 

セキュリティ装置をオンデマンドで利用できるNFV

 このような構成を採ることで、インターネットゲートウェイにまつわるさまざまな課題を解決することが可能なります。まずインターネット接続回線の問題ですが、クラウドサービスによっては多様なインターネット接続オプションが用意されているため、用途に応じて選択することが可能なほか、帯域の変更も容易に行えます。このためトラフィック量をチェックし、帯域幅が不十分と判断すれば即座に帯域を拡張するといった対応を行うことができます。こうした柔軟性を確保できることは、インターネットの重要性がますます高まっている現状において、大きな意味を持つのではないでしょうか。

 クラウドサービスに接続する際に利用するVPNサービスによっては、NFVと呼ばれる仕組みを用い、オンデマンドで必要なセキュリティ装置を導入できることもポイントでしょう。NFVとはネットワーク機器やセキュリティ装置を仮想化したものであり、物理的な機器よりも短時間で導入できるというメリットがあります。またクラウドサービスでサーバーを利用するのと同様、セキュリティ装置を資産として持つ必要がないといったメリットも見逃せません。

 たとえばNTTコミュニケーションズの「Enterprise Cloud」に接続するネットワークとして利用できる「Arcstar Universal One」では、ファイアウォール機能や不正侵入防止機能などを備えた「セキュアインターネットゲートウェイ」などの機能をアドバンストオプションとして提供しています。こうしたサービスを利用すれば、ファイアウォールなどを物理的な機器として購入する必要がなく、必要なときに必要な期間だけ使うことができます。

 日本では多くの企業がプロキシを利用し、そこでURLフィルタリングコンテンツフィルタリングなどを行い、危険なWebサイトへのアクセスを制限したり、業務に不要なコンテンツへのアクセスを遮断したりしています。このプロキシを同じクラウドの仮想サーバー上で運用すれば、オンプレミスで運用していた場合と同様のセキュリティ対策が可能です。

 さらに、クラウドに接続するVPNサービスからクラウドサービス、そしてクラウド上で利用できるインターネット回線を含め、すべて1つのベンダーに集約すれば、運用負荷の軽減にもつながるでしょう。トラブルが発生した際、ユーザー企業側で問題の切り分けを行う必要がなくなるほか、問い合わせ窓口を一元化することができるため、ベンダーやサービス提供事業者との問い合わせなどで生じる負担も大幅に軽減できるためです。

 

グローバルでのガバナンス強化にも有効

 クラウドを活用したインターネットゲートウェイの統合は、グローバルにおけるガバナンスの強化にも有効です。セキュリティ対策が不十分な状態の海外拠点を踏み台として使い、VPNを通して日本本社のサーバーを攻撃するといったシナリオも十分に考えられます。もちろん、拠点ごとにセキュリティ対策を適切に実施すればよいわけですが、情報システム部門がなければ適切に運用することは困難であり、コスト負担も増大してしまいます。

 また、M&Aや海外進出による拠点の増加などの理由から、継ぎはぎだらけとなったネットワークの運用もコスト負担やセキュリティリスクの増大につながるでしょう。それぞれの海外拠点が勝手にインターネットに接続しているような状況は、適切なコストコントロールも不可能であり、また外部から侵入できる“穴”が増えることになるため、セキュリティ面においても望ましくありません。

 そこで海外子会社の拠点からはVPNサービスでクラウドにのみ接続し、そこに構築したインターネットゲートウェイを利用するといった構成にします。この場合、各拠点はVPNに接続するだけで済み、クラウド上で集中的にセキュリティ対策を講じることができるため、セキュリティおよびガバナンスの双方を強化することにつながります。

 もちろん、世界中の拠点のインターネット向けのトラフィックを1箇所に集約して制御するのは、ネットワーク遅延の問題などから現実的には困難です。そこで東南アジアやEUなどといった地域単位で、インターネットゲートウェイを構築することが一般的です。こうした形でも、拠点ごと個別にインターネットに接続するよりも管理負担は大幅に軽減できます。

 

インターネットゲートウェイの一元化でセキュリティレベルを向上

 クラウドを活用したインターネットゲートウェイの集約は、国内拠点のセキュリティおよびガバナンス強化においても有効でしょう。特に日本では、高品質なインターネット接続回線が低価格で利用できるサービスが数多くありますが、前述した海外拠点と同様、適切なセキュリティ対策を実施せず、無造作に各拠点からインターネットに接続しているような状況では、全体を見据えたリスクコントロールは困難です。また、運用管理の負担も増加してしまうでしょう。そこでVPNサービスとクラウドサービスを活用し、インターネットへの出口を一本化するという構成にするのです。

 セキュリティの強化を意識するのであれば、ラックの「JSOC マネージド・セキュリティ・サービス」やIBMの「マネージド・セキュリティ・サービス」、NTTコミュニケーションズの「WideAngle マネージドセキュリティサービス」の活用を検討したいところです。

 セキュリティ対策を適切に実施するためには、各セキュリティ装置から出力されるログをチェックし、その内容に応じて対策を講じるといった活動が欠かせません。しかし出力されるログの数は膨大であり、自社でそれをすべてチェックし、必要な対策を講じるのは難しいという企業がほとんどではないでしょうか。

 そこで活用したいのが外部のマネージドサービスであり、セキュリティに関する業務の一部をプロフェッショナルにアウトソースするという手段です。ファイアウォールやゲートウェイ型のウイルス対策ソリューションでは十分に安全を確保できないという現状を考えると、こうしたサービスの活用は必須と言えるのではないでしょうか。

グローバル化に伴うITリスクを最小化するセキュリティサービス

 アウトソースの観点で言えば、インターネットゲートウェイを含むインフラの運用をまるごと任せられる、運用アウトソーシングサービスの活用も有効でしょう。特にグローバルに拠点がまたがる場合、運用管理にかかわる負担は極めて大きくなります。もちろん各拠点でIT担当者を配置するといった方法もありますが、国や地域によってはITに精通した人材を新たに獲得するのはなかなか困難でしょう。こういった場面において、インターネットゲートウェイからVPNサービス、クラウド、セキュリティの運用を一元的に任せられる、グローバルに対応したアウトソーシングサービスは有効ではないでしょうか。

運用アウトソーシングサービス

 

 次回は、インターネットゲートウェイにおけるセキュリティ対策でも、特に対応が難しいと言われているDDoS攻撃への対策について解説していきます。

※掲載されている内容は公開日時点のものです。
※掲載されているサービスの名称、内容及び条件は、改善などのために予告なく変更することがあります。

 

関連する事例記事はこちらからご覧になれます

IT事例ライブラリー

SHARE

あなたへのおすすめ

クラウドはセキュリティ対策の切り札にもなる

2015.11.04

情報セキュリティ対策の最新事情第1回

クラウドはセキュリティ対策の切り札にもなる

インターネット環境のクラウド化のメリットとは

2014.04.23

セキュアゲートウェイ最新動向第1回

インターネット環境のクラウド化のメリットとは

シヤチハタの事例に学ぶ海外拠点の通信環境最適化

2015.02.13

グローバルビジネスの課題・ネットワーク整備を遂行

シヤチハタの事例に学ぶ海外拠点の通信環境最適化

NFV活用によりIT基盤のフットワークを軽やかに!

2015.08.05

知らないと損!クラウド時代のネットワーク事情第1回

NFV活用によりIT基盤のフットワークを軽やかに!

企業のセキュリティ対策は“アウトソース”がカギ

2019.08.02

セキュリティリソースの不足をいかに補うべきか?第3回

企業のセキュリティ対策は“アウトソース”がカギ

終らないアラート対応に終焉を、ServiceNowとTenableが打ち出す脆弱性管理とは

2019.07.31

DXを加速させるITシステムの運用改革第9回

終らないアラート対応に終焉を、ServiceNowとTenableが打ち出す脆弱性管理とは

2020年、日本はサイバー攻撃の舞台となる? 今から始めるセキュリティ対策

2019.06.05

デジタル化の“第一歩”の踏み出し方後編

2020年、日本はサイバー攻撃の舞台となる? 今から始めるセキュリティ対策

フォーティネットに聞く、2019年版サイバー攻撃の防ぎ方

2019.05.17

セキュリティ対策に求められる新たな視点第5回

フォーティネットに聞く、2019年版サイバー攻撃の防ぎ方

あらゆるリスクを無害化する、「最強のセキュリティ対策」とは

2019.04.24

セキュリティ対策に求められる新たな視点第4回

あらゆるリスクを無害化する、「最強のセキュリティ対策」とは

みずほ情報総研が目指す、環境変化に即応可能なIT

2019.04.10

ビジネススピードを加速するIT基盤第20回

みずほ情報総研が目指す、環境変化に即応可能なIT

SD-LANソリューションを活用して高知工科大学が構築した「学内LAN」とは

2019.04.05

セキュリティ対策に求められる新たな視点 第3回

SD-LANソリューションを活用して高知工科大学が構築した「学内LAN」とは

大手旅行会社も採用する次世代型リモートアクセス、アカマイ「EAA」とは

2019.03.27

セキュアなリモートアクセス環境を構築する手法

大手旅行会社も採用する次世代型リモートアクセス、アカマイ「EAA」とは