Netskope Japan

クラウド通信を可視化し、制御する
ネットワークセキュリティの新標準

デジタル化の進展に伴い、クラウドの利用がますます広がりを見せている。
オンプレミスと組み合わせたハイブリッド化、複数のクラウドを適材適所で使い分けるマルチクラウド化を選択する企業も多い。
こうしたクラウドシフトにより、サイバーセキュリティーに大きな変化が生じている。
従来のネットワークセキュリティー製品では、脅威リスクへの対応が難しくなっているからだ。
Netskope Japanの講演では、ネットワークセキュリティーの課題とその有効な対応策が示された。

クラウドが“元凶”の
マルウエア侵入が拡大

Netskope Japan株式会社 シニアセールスエンジニア 小林 宏光氏
Netskope Japan株式会社
シニアセールスエンジニア
小林 宏光
 ビジネスのデジタル化にとって、パブリッククラウドは欠かせないインフラである。うまく活用すれば、最新デジタル技術の活用が進み、顧客やパートナーとのつながりも強化され、イノベーティブな活動が加速する。その一方で、新たなリスクも高まっている。クラウドからダウンロードされ、組織に侵入するマルウエアが増加しているのだ。

 セキュリティベンダーのNetskopeがグローバルユーザー数百万人の過去1年間(2021年4月1日から2022年3月31日)のマルウエアダウンロード傾向を調査した結果(Cloud and Threat Report)によると、ダウンロードされたマルウエア全体の約半分にあたる47%がクラウドサービスをソースとするものだったという(図1)。  脅威の侵入を検知する対策は多くの企業が実施しているはずだ。それなのになぜ侵入されてしまうのか。原因の1つがクラウドサービスの特性にある。

 例えば、Googleサービスは自社も外部のパートナー企業も個人契約のサービスも、ポータルのURLは同じものだ。業務に欠かせないクラウドサービスであるため、URLフィルタリングやセキュアWebゲートウエイのポリシーはこのアクセスを許可する。だが、フィルタリングでは通信の中身まではわからない。この盲点を突いて、クラウドアクセス時に攻撃の契機を与えてしまい、最終的にマルウエアがダウンロードされてしまう恐れがある。

 「従来のURLフィルタリングやセキュアWebゲートウエイ製品では十分なクラウドセキュリティーを確保することが難しい」とNetskope Japanの小林 宏光氏は警鐘を鳴らす。

 特に個人契約のSaaSはリスクが高い。会社のセキュリティポリシーの管理が行き届かず、無防備に近いからだ。クラウドの通信にもリスクがある。インターネットサービスを提供する仕組みは、以前のOSIプロトコルから現在はHTTPSに進化した。OSIプロトコルのレイヤ7以下は全部同じWeb/HTTP通信なのに対し、クラウドサービスはOSIプロトコル外の“レイヤ8”でHTTPやHTMLで記述されたWebアプリケーションAPIなどの“コンテキスト”を用いて提供される。「レイヤ7までを守備範囲とする従来のファイアウオール製品では、クラウド通信を可視化できないのです」と小林氏は訴える。

クラウドとユーザーを守る
「SSE」が重要に

 こうした現状を踏まえ、新たなセキュリティフレームワークが注目されている。ガートナーが提唱する「SSE(セキュリティサービスエッジ)」である。同じくガートナーが提唱したネットワークセキュリティモデル「SASE(Secure Access Service Edge)」を構成する要素の1つで、セキュアWebゲートウエイ、CASB(クラウドアクセスセキュリティブローカー)、ゼロトラストネットワークなどを組み合わせ、ユーザーとクラウドの脅威軽減を目指す。

 NetskopeでもこのSSE製品の提供に注力している。ガートナーによる2022年のSSEのマジック・クアドラントでリーダーの1社に位置付けられた。同社の「Netskope SSEソリューション」(以下、Netskope SSE)は、ガートナーが提唱するSSE要件を網羅する多彩な機能を実装している(図2)。  中でも大きな特徴といえるのが、クラウドの可視化と制御が可能なことである。これを支えるのが「Cloud XD」だ。「あらゆるクラウドの『レイヤ8』でのHTTPS通信を可視化し、データの中身まで詳細に分析できます」と小林氏は強みを述べる。

 クラウドを利用するユーザーの操作も制御可能だ。さらには同じクラウドサービスの個別契約サービスを識別するインスタンス制御機能も豊富に提供されている。クラウドへのアクセスは、各アプリの独自コンテンツを解析し識別する「インスタンス識別」、ログイン時のメールアドレスのドメイン部を識別する「ログインドメイン識別」、テナント単位でアクセスを制御する「Tenant Restriction」の3つのインスタンス判別機能で柔軟に制御できる。ユーザー単位やアクセスするアプリケーション単位で「閲覧のみ」「共有可能」「ダウンロード可能」などの条件を設定し、ユーザー操作をきめ細かく制御することも可能だ。

 Microsoft 365のセキュリティー強化に有効な機能もある。それがSSLインスペクションだ。Microsoft 365通信をSSLインスペクションなしで利用するとマルウエアは素通りしてしまう。エンドポイントセキュリティーが手薄な社外での利用には特に注意が必要である。「Microsoft 365の利用にSSLインスペクションを使うことで、マルウエアの検知が可能になる。Netskope SSEの導入によって、Microsoft 365通信の選択肢を増やすことができます」と小林氏は述べる。

多彩な脅威防御で
サイバーキルチェーンを実現

 クラウドはビジネスのあらゆるシーンで使われている。高度化する脅威に対処するためには「サイバーキルチェーン」による多段の対策が欠かせない。「早く検知し、早く対処することが重要なのです。Netskope SSEはクラウドの可視化に加え、実効性の高い脅威防御機能も豊富に実装しています」(小林氏)。

 高度な検知・防御力を実現するのがファストスキャン、ディープスキャン、振る舞い解析による「マルチエンジン」だ。「ファストスキャンはシグネチャベースの静的解析で既知の脅威を高速に検知します。ディープスキャンは機械学習によるディープラーニングやサンドボックス解析を行い、未知の脅威やゼロデイ攻撃を検知します。さらにファイルやユーザー操作に対して振る舞い解析を行い、悪意のある挙動やユーザーの不審な操作などを早期に検知し、リスクを未然に防ぎます」と小林氏は説明する。

 この脅威防御をベースに悪意のあるOfficeドキュメントを検知するのが「Netskope Office Classifier」だ。独自の機械学習とヒューリスティック分析により、静的解析やシグネチャベースの脅威防御をすり抜ける悪意のあるコードを99.9%以上の検出率で検知するという。クラウド通信の保護には「Netskope Cloud Firewall」が有効だ。すべてのアウトバウンド・ポートとプロトコルに対応したネットワークセキュリティーを提供する。クラウドのコマンドコントロール系通信も制御できる。

 Webサイトを無害化するブラウザ分離機能「Remote Browser Isolation」(以下、RBI)もある。仮想環境上でWebコンテンツを実行し、リスクのあるコードを除去。無害化された安全な画像イメージをクライアント端末に表示する。従来のセキュアWebゲートウエイは既知の悪意あるWebサイトへのアクセスをブロックし、安全なWebサイトのみアクセスを許可する。それでも脅威が混入するリスクは拭えず、ユーザーのWebサイト利用も制限される。「RBIを使えば、潜在的な脅威リスクを解消し、制限も不要になり、業務への影響を回避できます」と小林氏はメリットを述べる。

 さらに注目すべきはNetskope製品だけでなく、他社セキュリティー製品との連携も実現している点だ。「Cloud Threat Exchange」はNetskopeおよび他社の脅威インテリジェンスを共有し、ほぼリアルタイムで情報を同期する機能。ネットワークセキュリティーを拡張させ、SASEの実現につなげることもできる。「最新かつグローバルな“面展開”で守りを強化し、脅威の無効化を促進します」(小林氏)。

 企業のIT戦略はクラウド利用が前提となっている。そのクラウドを安全に使いこなすためには、対象のコンテンツやユーザーをきちんとスキャンし、制御する必要がある。SSEの要件を満たす脅威防御の実装も欠かせない。Netskope SSEはこの対策をリードする有力なソリューションの1つといえるだろう。
セキュリティマネジメント Summit 2021 Winter ~ウィズコロナ時代にサイバーリスクとどう向き合うか、先進企業の事例に学ぶ~
関連リンク
お問い合わせ
Netskope Japan株式会社 URL:https://www.netskope.com/jp/contact-us