クラウドの普及によって変わるセキュリティの「境界防御」|サイバーセキュリティ.com

クラウドの普及によって変わるセキュリティの「境界防御」



現在の情報セキュリティにおけるネットワーク防御の基本的な考え方に「境界防御(Perimeter Defense)」、あるいは「多重境界防御(Defense in Depth)」というものがあります。

境界防御(多重境界防御)とは

これは、ネットワーク上の外部からの悪意ある攻撃に対して、内部のネットワークとの境目(境界)に障壁を作ることで、攻撃を阻み内部ネットワークの安全性を保つというものです。基本的には企業や組織のITインフラは、現在この考え方に立って設計されています。

例えば、社内には安全なネットワークがあり、その中にファイルサーバやイントラネットサーバ、各種業務系アプリケーションサーバなどが設置されています。そこから社外のインターネット環境に出るところにファイアウォールが設置され、外部からの不正なアクセスや攻撃をすべて防御し、内部ネットワークを安全に保つ仕組みになっています。さらには、それと併せて各サーバやシステムごとにセキュリティ対策ソフトウェアなどを導入し、ネットワーク防御との2本立てて行うケースが一般的です。

これをまとめると以下のようになります。

従来の2つの「防御」

  1. ネットワーク上にファイアウォールを設置し防御
  2. 各サーバにセキュリティ対策ソフトウェアを導入し防御

ここで取り上げている「境界防御」とはもちろん1のことで、従来は専らこれらの二点を主眼としてセキュリティ対策が行われてきました。

しかし、最近はクラウドサービスと呼ばれるインターネット経由でのメールや業務サービスなどのWebブラウザを介した利用を行うケースが多くなってきています。筆者が勤める企業でも、海外拠点含めてメールはすべて大手ITベンダーが提供するクラウドサービスを活用しています。

このようなクラウドサービスの利用が急速に進んでいる背景としては、自社内にサーバを設置する必要がないため運用面でのコストとリスクを低減することが出来ることが挙げられます。その反面、従来はブラウザによるインターネットアクセス以外はメールや業務サービスなどほとんどが社内ネットワークで完結していたものが、様々な業務がインターネット経由でクラウドサービスを活用して行われるようになってきています。

つまり、従来とは比較にならないような様々な情報が外部と内部のネットワーク間でやりとりされるのです。
そうなると、従来からの「境界防御」で防ぐには通信プロトコルが多岐にわたり複雑になりすぎてしまいます。

今求められる「防御」とは?

もう1つクラウド時代の大きな特徴は、内部ネットワークを介さずに直接スマートフォンやタブレットなどでインターネット経由からクラウドサービスを利用するという形が一般的となっていることです。

そうすると従来からの「外部」と「内部」を分ける「境界防御」という考え方自体が成立しなくなってしまいます。つまり、クラウド時代には「境界防御」は以下の二点から、成立しないものとなっているのです。

  • 様々なデータが頻繁に内部と外部を行き来する
  • スマートフォンのように直接インターネット経由でのサービス利用が普及している

では、「境界防御」が効かないとなれば、私たちはどのようなセキュリティ対策で自分を守ればよいのでしょうか。

「境界防御」が意味をなさないとなれば、結局端末側の防御力を高めることになります。端末側の防御を高めるためには、従来から言われてきた「怪しいサイトは見ない」「ウィルス対策ソフトを導入する」などの対策を確実に行うことが必要です。

また、それとは別にハードウェア側で防御を行う方法も研究が進められています。CPUベンダーのIntelでは膨大なセキュリティ関連情報をビッグデータとして活用し、解析を進めた上で脅威を可視化するプロジェクトを進めていますが、この情報を活用してハードウェアのチップセットに脆弱な情報を検知する仕組みを実装できないか研究を進めています。


SNSでもご購読できます。