ITが社会基盤として定着し、ビジネスや日常生活に欠かせない存在になって久しいです。技術の発展には、セキュリティリスクが常に伴っています。最新のネットワーク技術の一つである、SD-WANも例外ではありません。昨今のITシステムに潜む一般的なセキュリティリスクだけでなく、SD-WAN特有のリスクも存在します。SD-WANを導入するにおいてはセキュリティリスクを理解し、運用時に対策まで実施できるよう体制を整えておく必要があります。本記事では、昨今のセキュリティ事情をはじめ、SD-WANを利用する際に潜むセキュリティリスクとその対策を紹介します。
昨今のサイバーセキュリティ事故
サイバーセキュリティ事故が発生するリスクとその被害は年々増加傾向にあります。総務省が公開している情報によると、事故が発生したときの平均被害額は年間で4億円にもなるとの調査結果があり、普段から十分な対策が必要であることを示唆しています。
被害を受けたときの金額も大きいですが、それに加えてブランド評価も大きく下がることも大きな問題です。顧客の信頼を失った状態ではその後のビジネス継続に大きな影響を与えます。攻撃によって受けた被害は大きくないけれども、それが報道されたことにより顧客が離れ、売上が立たなくなり、ビジネス継続が難しくなる、ということも十分に起こり得ます。日頃から十分な対策を行っておくことが必要です。
ハッカーの技術力も年々高くなってきており、攻撃手口も巧妙なものになっています。単体でなく組織的に行われる攻撃も増えてきており、単純にコンピュータをハックするだけでなく、人間の心理や行動を巧みに利用することで目的達成のために様々な攻撃を試みます。
最近発生した大きなセキュリティ事故としては、
など、簡単に調べるだけで数え切れないほど見つかります。また、東京オリンピックでは大会に関連するシステムに対して計4億5000万件のサイバー攻撃が検知されていたこともわかっています。
セキュリティ対策をする上で必要な金額に上限はありません。ポリシーの策定から実機への設定まで、可能な施策は天井なくあります。しかし、例えばサイバー攻撃による被害の最大額が5000万円のシステムや企業に1億円掛けて対策をすることは必要とは言えません。セキュリティ対策をIT部門が主体になって取り組んでいる組織がよく見られますが、どのレベルでの対策が必要なのか、どういったケースが考えられてどこまでの被害は許容できるのかなどビジネスの観点で検討すべき事柄がいくつもあり、IT部門で意思決定できる部分は限定的です。
セキュリティ対策はトップダウンで、役員レベルの人物が主体となって、どこまで行うのかを意思決定し取り組むべきです。
SD-WAN利用に伴うサイバーセキュリティリスク
比較的新しい技術であるSD-WANは、セキュリティ攻撃をあらかじめ想定した設計がなされており、最初からいくつかの対策が組み込まれています。しかし、攻撃者のレベルも上昇傾向にあり、どのようなリスクが存在するのかを把握しておくことが重要です。利便性が高いほど、セキュリティリスクも大きくなるのが原則である、ということを認識しましょう。
SD-WANの利用に限らず、セキュリティレベルの高さは「そのシステムの中で最も弱い部分と同じレベル」と評価されます。拠点Aで強固なセキュリティシステムを実装していたとしても、拠点Bでなんの対策も取っていなければ、そのシステムや企業のセキュリティレベルは拠点Bの水準、ということになります。ハッカーが攻撃してくるのは、常に弱いところを念入りに調査してくるためです。
ここでは、SD-WANに潜む代表的なセキュリティリスクとして3つ紹介します。
通信の経路が従来のネットワークと大きく変わることによるセキュリティチェックポイントの変化
通信の自動化による技術的な理解の不足
通信の可視化による早まった安心感とセキュリティ機能の誤認識
それぞれ詳しく解説いたします。
通信の経路が従来のネットワークと大きく変わることによる、
セキュリティチェックポイントの変化
従来の企業ネットワークでは、すべての拠点で発生する通信を、一度基幹ネットワークを経由させてからインターネットへアクセスさせるのが一般的でした。このため、特定のデータセンターにセキュリティ監視ポイントを用意しておけば、すべての通信を監視することができました。
SD-WANを利用するようになると、各拠点からの通信は直接インターネットへ抜けるほうが一般的な方法になります。これまでの監視ポイントを経由しなくなるため、拠点内でセキュリティインシデントが発生した際に検知することができなくなります。
通信の可視化による早まった安心感とセキュリティ機能の誤認識
SD-WANを利用すると、アプリケーションレベルで通信の利用状況を把握できるので、十分に情報を取得できており、セキュリティ対策ができていると感じてしまいます。しかし実際には、あくまで通信を可視化できているだけで、何も対策しない状態では不正な通信も許可してしまいます。また、SD-WANに備えられているセキュリティ機能も、管理者が理解しないまま導入しているケースが存在します。セキュリティ機能は理解しなくとも、設計・構築することが可能であるためです。導入後も適切なセキュリティ設定がなされていないままのSD-WANシステムは攻撃者にとって格好の的です。
通信の自動化による技術的な理解の不足
SD-WANを導入すると、ゼロタッチプロビジョニングも含めて簡単にセットアプできるため、容易に要件を満たす通信経路を実装することができます。
もし従来形式のネットワークに馴染みがないエンジニアが管理を担当していると、この通信が起こっているときには物理的にどの経路を通っているのか、論理的にはどのように判断されてその経路になるのか、どのような順番でパケットがやりとりされているのかなど、基本的なレベルの技術力がないまま運用をすることになります。
攻撃者は、そういった細かなところに潜む抜け穴を突いて攻撃をしてくるので、理解が浅い担当者が状態的に運用することはトラブルシュートもできず、リスクが高い状態といえます。
SD-WANのセキュリティ対策
ここでは、前項で紹介したSD-WANに潜むセキュリティリスクを軽減する方法を紹介します。あくまで一例としての紹介なので、実装するかどうかは自社の環境に適用したときの影響やコストも含めて総合的に判断してください。尚、前述の通り、対策はシステム全体でまんべんなく行うことを意識してください。
まず、セキュリティ監視をするポイントを各拠点からの出口に設置することです。各拠点から直接インターネットに抜ける通信にもセキュリティ監視を適用できるような構成にすることが必要です。従来のネットワークからSD-WANへ切り替える際には、ビジネスに必要な通信要件だけでなく、セキュリティ的な観点でも再設計し、改めて必要な体制を整えるべきです。
運用が始まったあとでもよいので、導入したSD-WANソリューションに搭載されているセキュリティ対策機能についても理解するタスクを設けましょう。大まかな設計は導入時点でも可能ですし、導入時点で対応すべきですが、実際に動かしてから出ないと見えてこない部分もあります。細かなところまでチェックし、自社環境に適した設定にすることで、ハッカーが入り込む穴を減らすことができます。
また、運用を担当する人材の技術教育も怠らずに継続すべきです。SD-WANの利用により、技術スキルが低くても実運用は可能で、それに乗じることで担当者にかかるコストを減らすことができることは事実です。ですが一方でセキュリティインシデントが発生した際や、セキュリティに関わらずネットワーク関連のトラブルが発生した際に、根本的な仕組みを理解できていない状態では対応に遅れを取りますし、インシデントの被害が大きくなる可能性も潜みます。もちろん、セキュリティ対応のエキスパートである必要は全くありませんが、特にネットワークに関してはセキュリティ対応における割合が大きいので、最低限ネットワーク上で何が起きているのかは理解できるよう、運用者の技術スキルは高く保つ方針を出すことが望ましいです。
尚、技術教育だけでなく、もし可能なのであれば昨今のセキュリティ事情や攻撃手法など、教養的な知識についても定期的に学ぶ機会があるとより安心して運用できるでしょう。
まとめ
いかがでしたか?今回はSD-WANのセキュリティ対策を紹介しました。サイバー攻撃はビジネスとして成り立っており、攻撃者たちは組織的に、利益を出すために設備や人材など多くの資金を投資して活動しています。一昔前のような、愉快犯による単独攻撃だけではなくなっています。また、攻撃の目的も、金銭や幸甚情報の窃取だけでなく、政治的な背景やハクティビズムなど幅広く存在します。
攻撃に屈しないためには、対策する側としても必要な資金は投資して活動する必要があります。必要に応じてセキュリティ監視サービスの利用も検討するべきでしょう。セキュリティソリューションを導入して終わり、というわけではなく、SD-WANを含む既に導入済みのソリューション内でも設定の変更や構成の見直しなどできる対策を施していくことが重要です。
「SD-WAN」導入をご検討中の方へ。
・SD-WANの検討、設計、構築、から運用まで。エクシオグループのご提供サービス詳細はこちらから。
https://www.exeo.co.jp/jigyou/ni-server/sd-wansolution.html
※エクシオグループ(株) はDXナビを運営する (株) サン・プラニング・システムズのグループ会社です
