■今回のセキュリティ事故:
社員数およそ2500名の中堅物流企業・H社では、社内からのWebアクセスのセキュリティ対策として、次世代ファイアウォール(NGFW)が内蔵するWebプロキシ機能を利用していた。H社の社内ネットワークに接続したクライアントは、PCでもスマートフォンでも自動的にプロキシ設定がなされ、プロキシ経由でなければWebにはアクセスできない。
ただし近年は、社内でSaaSやビデオ会議の利用が増加し、朝の始業時や夕方といった利用のピーク時にネットワークパフォーマンスが低下していた。特に問題だったのが、暗号化されたSSL/TLS通信(HTTPS通信)の処理と、セッション数の増加である。
NGFWが備えるアンチウイルス、Webフィルタリング、IPS(侵入防御システム)などのセキュリティを完全に機能させるためには、プロキシでいったんトラフィックの暗号化を解除(復号)し、検査したうえで再暗号化する必要がある。しかし、NGFWにとってこれは非常に負荷の大きい処理だ。また、SaaSアプリケーションは同時に多数のセッションを確立するものが多く、これも負荷を与える。H社が導入しているNGFWでは、こうした処理負荷に耐えきれず、パフォーマンス低下の大きな原因となっていた。
多くの社員から不満の声が上がりはじめたことから、H社の情報システム部門ではNGFWを上位モデルにリプレースし、この問題を解決する方針を決めた。ただし、NGFWのリプレースは高額であり、来年度のIT予算執行を待つ必要があるため、ひとまず次善の策として、検査するSSL/TLS通信の対象を一部のクラウドサービスだけに絞り込み、処理負荷を軽くして運用を続けることにした。
そんな中で事故が起きた。ある社員が昼休みに業務PCでSNSにアクセスし、表示された広告バナーをクリックしたところ、「ウイルス感染!」という警告画面が表示された。あわてた社員が、画面の指示通りに“ウイルス削除ツール”をダウンロード、実行したところ、本当にランサムウェアに感染してしまったのだ。
実は、社員がクリックした広告バナーは偽物、「ウイルス感染!」という警告も偽物、もちろん“ウイルス削除ツール”も偽物で、ランサムウェアを実行させるための“攻撃者の罠”だった。不幸中の幸いで、PC上のアンチウイルスソフトがランサムウェアの不審なふるまいを検知し、数十秒後にブロックしたため、社内に被害が拡大することはなかった。それでも、PC上にあった社員の業務ファイルの多くが失われてしまった。
情報システム部門の担当者が調べたところ、攻撃者のサイトにはHTTPSでアクセスするようになっており、ランサムウェアはその暗号化トラフィックにまぎれてNGFWのセキュリティチェックを回避していた。やはり、すべてのWebトラフィックを検査しておくべきだったのだが、やむを得ない事情もあった。……この事故は、どうやったら防げたのだろうか?
※このストーリーはフィクションです。実在する組織や人物とは関係ありません。
Webプロキシから「セキュアWebゲートウェイ(SWG)」への進化
Webプロキシは、企業や組織のネットワークゲートウェイに設置されるセキュリティ技術のひとつだ、企業ネットワーク内のクライアント(PCやスマートフォン)と、インターネット上のWebサーバーの中間で、通信を仲介する役割を果たす(proxyは本来「代理人」という意味)。その歴史は古く、インターネットが普及し始めた1990年代から広く利用されている。
Webプロキシが登場したころの目的は、「Webコンテンツのキャッシュによる通信高速化」や「社外(インターネット)からの不正アクセスの防止」というシンプルなものだった。しかし、プロキシを使えば「Webアクセスのトラフィックを中間で検査できる」メリットがあることから、そこに高度なセキュリティ機能が追加されていく。現在では「セキュアWebゲートウェイ(SWG)」と呼ばれるようになっている。
SWGは、Webプロキシにさまざまなセキュリティ機能が統合されたものだ。一般的には、「Webフィルタリング」「マルウェア検知」「アプリケーション制御」「DLP(データ漏洩防止)」といった機能が統合されている。SWGを通過するWebトラフィックをすべて監視し、セキュリティチェックを行って、リスクの高い通信を検知/警告/ブロックする仕組みだ。
大規模なネットワークであればSWG専用機(アプライアンス)が利用されるが、中規模以下の場合は、SWGの機能を統合したNGFWを導入しているケースが多い。SWGは“Webアクセス専門”のセキュリティ、NGFWは幅広く“ネットワークトラフィック一般のセキュリティ”という違いがある。中小規模のオフィスであれば、NGFW 1台に統合されたもののほうが、運用管理のコストや手間を抑えられて便利だろう。
暗号化トラフィックを検査する「SSLインスペクション」が必須に
ただし、SWGにおいては近年、大きな課題が生じている。今回取り上げた事故にもある「SSL/TLSトラフィック(HTTPSトラフィック)の増加」と「TCPセッション数の増加」を主な原因とする、「アクセスパフォーマンスの低下」だ。
暗号化されたトラフィックの内容を検査するには、いったん暗号化を解除(復号)し、検査したのちに再び暗号化して送信する必要がある。「SSLインスペクション」と呼ばれるこの処理は、ハードウェア的に復号/再暗号化の計算負荷が高く、スループットの大きな低下につながる。
NGFWのカタログを見ると、SSLインスペクションを有効にした場合の「SSLインスペクションスループット」が記載されているが、通常時(SSLインスペクションなしの通信)と比べると、スループットの数字が“10分の1以下”ということもある。つまり、それだけSSLインスペクションの処理負荷は高いというわけだ。
Webサイト/Webサービス側でHTTPSの利用が一般的になったことで、SSLインスペクションの処理がボトルネックとなり、Webアクセスのパフォーマンス低下に悩んでいる企業は多いだろう。
こうしたパフォーマンス低下を回避するため、SSLインスペクションの適用対象を一部のトラフィックだけに限定したり、完全に無効にしたりする運用も行われているようだ。この場合、対象外の暗号化トラフィックには簡単なセキュリティチェックしか行えず、ほとんど“素通し”の状態になってしまう。
その結果生じるのが、今回取り上げたような、暗号化トラフィックを“隠れみの”にしてマルウェアなどの脅威が侵入する事故である。すでに、サイバー攻撃の大半がHTTPS通信を使うようになっており、Webトラフィックを検査なしで素通りさせるのは非常に危険だ。
もうひとつの課題として、近年増加している「リモートワークへの対応」もある。オフィス内にいる場合は拠点のネットワークゲートウェイを経由するため、Webプロキシ(SWG、NGFW)のセキュリティが適用されるが、社外でのリモートワーク時にはこれが使えない。セキュリティ脅威が高まっている現在、こちらも“素通し”ではリスクが高いので、何らかの対策を取るべきだろう。
「SSLトラフィックの速度低下」「リモートワークの増加」にどう対応?
それでは、こうした課題をどう解決したらよいのだろうか。まずは、「SSLインスペクションスループットが足りない」という課題から考えてみよう。
解決策のひとつは、H社が検討していたように「NGFWそのものを上位モデルにリプレースする」方法だ。通常、NGFWは処理できるスループットに対応したモデルやライセンスが用意されており、上位モデルにすればSSLインスペクションのスループットも向上する。ただし、上位モデルになるほど価格が跳ね上がる傾向があり、「現在のNGFWの数倍」といった高額な投資になる可能性も覚悟しなければならない。また、NGFWの多くは同時に処理できるセッション数の制限が大きく、利用するユーザー数によってはかなり上位のモデルへのリプレースが必要になることもある。
もうひとつの解決策は「高速なSSLインスペクションができるSWG専用製品の導入」だ。既存のNGFWも引き続き利用しながら、WebトラフィックはすべてSWG側で処理する。Webアクセスのセキュリティに特化したSWGは、SSLインスペクションスループットが同等のNGFWと比べて安価であり、導入コストを抑えられる可能性が高い。ただし、この場合はNGFWとSWGの両方を運用管理することになる点が課題だ。
他方で、リモートワーク時のセキュリティにはどんな解決策があるだろうか。効率的な方法としては「クラウドサービスの活用」がある。クラウドで提供されているSWGのサービスを利用すれば、在宅勤務でも出張先でも、社員がどこにいてもSWGを経由させることでWebトラフィックを保護できる。もっとも、こちらもNGFWとの“二重管理”となる点には注意が必要だ。
暗号化トラフィックも高速に処理、クラウドにも対応する「FortiProxy」
フォーティネットの「FortiProxy」は、上述した解決策をすべて兼ね備えたSWG製品である。アンチウイルス、Webフィルタリング(URL、DNS)、IPS、サンドボックス、DLPといった標準的なWebセキュリティ機能に加えて、次のような高度な機能/特徴も持っている。
■「FortiProxy」の特徴的な機能
・専用チップ(ASIC)による高速なSSLインスペクション
・ハイブリッド構成(オンプレミス/クラウド)対応
・ビデオ/画像フィルタリング
・詳細なアプリケーション制御
・FortiGateやセキュリティファブリックとの連携
SSLインスペクションでは、FortiProxy(ハードウェアアプライアンス)が内蔵する専用ASIC(セキュリティ専用プロセッサー)を用いて、トラフィックの復号/再暗号化を高速に処理する。最大15GbpsのSSLインスペクションスループットが実現するので、すべてのトラフィックを検査することができる。
拠点設置のハードウェアアプライアンスだけでなく、パブリッククラウドに仮想マシンとして展開することも可能だ(AWSやAzureではマーケットプレイスからも入手できる)。オンプレミス/クラウドのFortiProxyは一元的な管理や監視が可能であるため、面倒な“二重管理”にもならない。
Webフィルタリングでは、FortiGuard Labsが提供する脅威の最新情報に基づくURLフィルタリング、DNSフィルタリングに加えて、「ビデオや画像のフィルタリング」というユニークな機能も備えているる。これは、AIがコンテンツ内容を分析してカテゴリなどを判断するもので、たとえば「YouTubeへのアクセスは許可するが、業務に関係のないビデオ(例:エンタメ、スポーツ、ポルノなど)の視聴はブロック」といった設定ができる。画像も同様で、Webページに不適切な画像が含まれていたら、その画像だけを非表示にする。
アプリケーション制御も詳細な設定が可能だ。たとえば「SNSへのアクセス(閲覧)は許可するが、投稿は禁止」「このカテゴリのサイトからのダウンロードは禁止」といった具合だ。これはユーザー/グループ単位での制御ができるので、業務上で必要な社員だけに利用を許可しつつ、それ以外は禁止するという運用ができる。
もちろんFortiProxyは、FortiGateやサンドボックス、FortyAnalyzerなどとも連携できるようになっている。たとえばFortiGateと連携させて、WebアクセストラフィックだけをFortiProxyにオフロードするかたちで運用することが可能だ。運用管理や分析も一元化することができ、効率的にWebアクセスのセキュリティレベルを向上させることが可能になる。
現在では、業務のなかでSaaSの利用が増え、Webへのアクセスでは「快適さ」と「安全さ(セキュリティ)」を両立させることが不可欠になっている。特にある程度規模の大きな組織では、その実現のためにFortiProxyは有効な選択肢になるだろう。
■セキュリティ事故、その後日談:
H社ではセキュリティ事故の発生を受け、あらためて、SSL/TLSトラフィックを含むすべてのWebアクセスにセキュリティ検査をかける方針を決定した。
この方針を実現するために、予定していたNGFWのリプレースを中止して、新たにFortiProxyを導入することにした。既存のNGFWは引き続き利用しつつ、FortiProxyでSSLインスペクションを実行して、Webアクセスに各種セキュリティを適用するという役割分担だ。
もっとも、マルチベンダー構成では運用管理の手間がかかるため、近い将来、NGFWはFortiGateにリプレースする計画だ。そうすれば、FortiAnalyzerを通じて、Web経由の脅威の状況から、社員によるリスクの高いWebアクセスの実態までが一元的に情報分析できるようになる。社員に快適なWebアクセス環境を提供しつつ、セキュリティレベル向上の取り組みも進められると考えている。
コメント