ITが社会のインフラとして確立され、仕事や私たちの日常生活になくてはならないものになりました。IT技術が進化していくことは、セキュリティリスクが増加することを意味します。最新のネットワーク技術の一つである、SD-WANにおいても同様です。最近のITシステムの潜在的な一般的なセキュリティリスクだけでなく、SD-WAN特有のリスクというものも存在します。SD-WANを導入する時には、セキュリティリスクについても把握しておき、運用を始める時にはセキュリティ対策まで実施できるような体制を整えておく必要があります。本記事では、最近のセキュリティ事情はもちろん、SD-WANを利用する際に考慮すべきセキュリティリスクとその対策を紹介します。
最近のサイバーセキュリティ事故
サイバーセキュリティ事故の発生件数とその被害金額は年々増えています。総務省の公開情報によると、セキュリティ事故発生時の平均被害額は年間で4億円にもなるとの調査結果があることか、他人事と考えずに十分な対策を実施することが必要であることを示しています。被害を受けたときの金額も大きいのですが、それよりも大きな問題は会社や個人のブランド評価が大きく下がることです。顧客の信頼を失ってしまうと、その後のビジネスにとても大きな影響を与えます。攻撃自体の被害が大きくなかったとしても、それが報道されてしまうこと顧客が離れてしまい、その結果、売上が激減してしまい、ビジネス継続が難しくなる、ということが実際に起こっています。そのためにも、日頃から十分な対策を行っておくことが大切です。
攻撃者であるハッカー側の技術力も年々高くなってきていますし、攻撃手口も巧妙になっています。単独犯でなく組織的に攻撃するケースも増えてきており、単純にコンピュータをハッキングするだけではなく、人間の心理や行動パターンを巧みに利用することで目的達成のためにいろいろな攻撃をしてきます。
最近発生した大きなセキュリティ事故としては、
昨今のサイバーセキュリティ事故一例
・2020年12月:決済サービスのサーバに不正侵入され、2000万件の個人情報が流出・2021年2月:転職エージェントのシステムで、21万人の個人情報に不正アクセスされる
・2021年5月:マッチングアプリシステムに不正アクセスされ、171万件強の個人情報が流出
など、簡単に調べるだけでも数え切れないほど見つかります。特に、東京オリンピック開催時には、大会に関連するシステムに対して合計で4億5000万件のサイバー攻撃があったこともわかっています。
万全なセキュリティ対策を行う、となった場合、必要な金額に上限はありません。セキュリティポリシーの策定からパソコンやサーバーに対する設定作業など、実施可能な対策は数限りなくあります。しかし、サイバー攻撃による被害の最大額が5000万円と算出された会社が、セキュリティ対策に1億円掛けることは得策とは言えません。セキュリティ対策をIT部門が主体になって取り組んでいる組織がよく見られますが、どこまでの対策が必要なのか、どういった被害が想定され、どこまでの被害は許容しても良いのか、などビジネスの観点で検討すべきことはたくさんあり、IT部門だけで決定できる部分は限られています。
セキュリティ対策というものは、トップダウンで、会社の役員クラスのメンバーが主体となって、どこまで対策を実施するかを検討し、決定したうえで取り組むことが必要です。
SD-WAN利用に伴うサイバーセキュリティリスク
SD-WANは比較的新しい技術であるため、セキュリティ攻撃についても事前に想定して作られているため、最初からいくつかの対応策が用意されています。しかし、攻撃者側のレベルも年々上がっているため、どのようなリスクがあるのかを理解しておくことが大切です。便利であるということは、同時にセキュリティリスクも大きい、ということが基本的な考え方である、ということを知っておいてください。
SD-WANの利用に限らず、セキュリティレベルの高さ、というものは「そのシステムの中で最も弱い部分と同じレベル」と考えられます。拠点Aでセキュリティレベルの高いシステムを導入していたとしても、拠点Bではなんのセキュリティ対策も取っていない、となると、そのシステムや会社全体のセキュリティレベルは拠点Bの「低いセキュリティ水準」、ということになってしまいます。ハッカーは、セキュリティレベルが低く、弱いところを念入りに調査して、そのようなところを攻撃してきます。
次に、SD-WANに存在する代表的なセキュリティリスクを3つ紹介します。
- 通信ルートが今までのルートと大きく変わることによってセキュリティ観点でのチェックポイントが変わる
- 通信が自動化されることにより技術的な理解が不足する
- 通信が可視化されることにより早まった安心感とセキュリティ機能の誤認識
それぞれ詳しく解説します。
通信のルートが今までのルートと大きく変わることによってセキュリティ観点でのチェックポイントが変わる
今までの企業ネットワークでは、すべての拠点から発信される通信は、まず基幹ネットワークを経由させてからインターネットに通信させるのが一般的でした。そのため、特定のデータセンターだけにセキュリティ監視ポイントを設置しておけば、すべての通信を監視することができていました。
SD-WANが導入されると、各拠点から発信される通信はデータセンターを経由せず、直接インターネットへ通信されるようになります。そうすると、これまでの監視ポイントを経由しなくなってしまうため、拠点内でセキュリティ問題が発生した時に検知することができなくなってしまいます。
通信の可視化による早まった安心感とセキュリティ機能の誤認識
SD-WANを利用すると、アプリケーションレベルで通信の利用状況を把握できるので、十分に情報を取得できており、セキュリティ対策ができていると感じてしまいます。しかし実際には、あくまで通信を可視化できているだけで、何も対策しない状態では不正な通信も許可してしまいます。また、SD-WANに備えられているセキュリティ機能も、管理者が理解しないまま導入しているケースが存在します。セキュリティ機能は理解しなくとも、設計・構築することが可能であるためです。導入後も適切なセキュリティ設定がなされていないままのSD-WANシステムは攻撃者にとって格好の的となってしまいます。
通信が自動化されることにより技術的な理解が不足する
SD-WANを導入すると、ゼロタッチプロビジョニングなどが簡単にセットアップできるようになるため、簡単に要件を満たす通信経路を実装することができます。
今までの形式のネットワークについてあまり知識がないエンジニアが管理者になってしまうと、この通信が起こっているときは物理的にどのようなルートを通ってきているのか、論理的に、どのような判断に基づいてその経路になるのか、どのような順番で通信パケットのやりとりがされているのかなど、基本的なネットワーク技術がない状態で運用することになる、となります。
攻撃者は、そのような細かいところに存在する脆弱性を突いて攻撃をしてくるため、スキルが低い担当者による運用を続けていくと、トラブルシューティングができず、セキュリティリスクが高い状態となってしまいます。
SD-WANのセキュリティ対策
ここでは、前のページで紹介したSD-WANに潜むセキュリティリスクを減らす方法を紹介したいと思います。あくまで一つの例として紹介するだけなので、自社の環境に当てはめて良いかどうかについては、導入した時の影響やコストなど総合的に判断していただきたいと思います。なお、前に書いたように、セキュリティ対策はシステム全体に対してまんべんなく行うことを意識してください。
まず対策してもらいたいこととしては、セキュリティ監視をするポイントを各拠点からインターネットに接続するための出口に設置してください。各拠点からインターネットに直接通信するところにセキュリティ監視できるような構成にすることが必須です。今までのネットワークからSD-WANへ切り替える時には、ビジネスに必要な通信要件だけでなく、セキュリティ的な観点でも再度見直しを行い、改めて必要な体制を整えることを実施してください。
SD-WANの運用を開始してからでよいので、導入したSD-WANソリューションに準備されているセキュリティ対策機能についても理解する時間を確保してください。大まかなセキュリティ対策は導入時点で対応可能ですし、むしろ、導入時点で対応すべきなのですが、実際に運用を開始してからでないと発見できないこともあります。細部までチェックし、自社の環境に当てはまる設定にすることで、ハッカーが攻撃してくる脆弱性を減らすことが可能となります。
また、運用担当者になってもらう人材に対してのスキル教育も継続していくことが必要です。SD-WANを導入することにより、たとえネットワークスキルが低かったとしても運用者となることは可能であり、それに伴い運用コストを減らすことができることは事実です。しかし、万が一、セキュリティインシデントが発生した時や、セキュリティの問題ではなく通常のネットワーク関係のトラブルが発生した時に、基本的な仕組みを理解していない場合は対応不足があったり対応遅れが生じてしまいますし、被害が大きくなってしまう場合もあります。セキュリティのエキスパートでないといけない、ということは全くありませんが、特にネットワークに関してはセキュリティが関係する範囲が大きいので、少なくとも、今、自社のネットワークで何が起きているのかを理解することができるように運用者のスキルを高く保てるようにしてください。
なお、技術的な教育をするだけではなく、昨今のセキュリティ事情や攻撃手法など、教養的な知識についても定期的、また継続的に学ぶようにするとより安心して運用することができます。
まとめ
いかがでしたでしょうか?今回はSD-WANのセキュリティ対策について紹介しました。今やサイバー攻撃自体がビジネスになっており、攻撃者たちは組織的に、利益を得るために設備や人材などの為に多くの資金を投資してサイバー攻撃を行っています。一昔前のような、愉快犯による単独攻撃だけではなくなっており、その数は少なくなっています。また、攻撃の目的も、金銭や個人情報を盗むだけではなく、政治的な背景やハクティビズムなども幅広く存在します。
攻撃に対抗するためには、対策する側としてもある程度必要な資金を投資する必要があります。必要に応じてセキュリティ監視サービスを利用することを検討してください。セキュリティソリューションは導入して終わり、というわけではなく、SD-WANを含む既に導入しているソリューションの設定の変更や構成の見直しなど現時点で対策可能なことから実施していくことが重要です。
コメント