SASEのエンドポイント保護とセキュアリモートアクセス

2023.05.08

2023年4月27日、Stefan Schachinger

セキュア・アクセス・サービス・エッジ（SASE）に関するこれまでの深堀りブログでは、SD-WANなどの接続性、ファイアウォール・アズ・ア・サービス（FWaaS）やセキュア Web ゲートウェイ（SWG）が提供するセキュリティ機能などについて紹介しました。今回は、SASE 環境におけるエンドポイント保護について紹介します。

ご記憶にあるとおり、 SASE のコンセプトは、ネットワーク（WAN エッジ）とセキュリティ（セキュリティサービスエッジ）のコンポーネントを統合するものです。この記事では、リモートアクセス、ZTNA（ゼロトラスト・ネットワークアクセス）、および SIA（セキュアインターネットアクセス）を取り上げます。これらは SASE の展開に密接に関係しており、通常、エンドポイントソフトウェアコンポーネントが関与しています。

ここでは、SASEのネットワークとセキュリティのコンポーネントを簡単に紹介します。

*SASE*
WAN エッジ	セキュリティサービスエッジ
SD-WAN	FWaaS
前方誤り訂正	ZTNA
ルーティング	VPN
最適経路指定	CASB
トラフィックフェイルオーバー	SWG
…	SIA

お気づきの通り、SASE プラットフォームに含まれるセキュリティ機能のほとんどは、かつて別の製品として展開されていたものです。これは、ここ数年の要件やユースケースの変化による自然ななりゆきです。メインオフィスとデータセンターが真ん中にある城と堀のようなアーキテクチャでは、もはや十分ではありません。ペリメーターは消え去ったか、あるいはソフトウェアで定義されるようになりました。しかし、ひとつだけ非常に簡単になったことがあります。これまでは FTP や SSH などのさまざまなネットワーク・プロトコルが使われていましたが、現在ではエンドユーザーのトラフィックはほとんどすべて Web ベースになっています。Microsoft 365のような一般に公開されているサービスでも、イントラネットのような社内のプライベートなリソースでも、使用されているプロトコルはほぼ常に HTTPS です。

パンデミックによるロックダウンで働き方が変化したことで、それまで見過ごされていた脆弱性が露呈しました。エンドポイントでの保護が十分でなく、ビジネスネットワーク VPN 上で会社のリソースへの無制限の信頼とアクセスが行われていたのです。この２つの条件が、多要素認証（MFA）の欠如やパスワードのセキュリティの低さと組み合わさると、致命的なことになりかねません。脅威者は、技術的な脆弱性を容易に利用したり、ソーシャルエンジニアリング攻撃を使って、被害者のネットワークやワークロードにアクセスすることができます。

セキュアインターネットアクセス (SIA)

SIAは、セキュア Web ゲートウェイ（SWG）をエンドポイントに拡張したものです。SWG クラウドサービスが提供する詳細な Web トラフィック検査は、トラフィックのバックホールやリダイレクトを伴いますが、それらが常に必要というわけではありません。エンドポイントに Web セキュリティ機能を追加することで、この追加ステップを回避できます。これにより、クラウドに置いてある大がかりなツールを持ち出さずとも、デバイスが Web トラフィックについて簡単な判断を下すことができます。たとえば、シンプルな DNS ベースのフィルタリングを使用することで、禁止されていたり不要だったりする Web カテゴリをそれ以上検査することなく直ちにブロックできます。規制や企業のコンプライアンス、企業倫理や行動規範に抵触するコンテンツや、悪意があるとして知られている Web サイトなどが考えられます。このフィルタリングは、すでにデバイス上にあり、コマンド＆コントロールサーバーに電話をかけようとする悪意のあるソフトウェアの「発信」をブロックすることもできます。この種のトラフィックは、エンドポイントでブロックできるのですから検査のためにわざわざクラウドに送信しなければならない理由はありません。

一方、信頼できるアプリもあります。なかには、トラフィックがリダイレクトされ、直接のブレイクアウトが必要な場合はうまく機能しないものも少なくありません。Microsoft 365 は、詳細な Web トラフィック検査が不要といえる例の１つです。アプリケーションに接続する前に Microsoft 365 のトラフィックを SWG に誘導すると、パフォーマンスも低下する可能性があります。このシナリオでは、エンドポイントセキュリティで十分な場合があるため、SWG のクラウド検査を回避することができます。

また、その中間のカテゴリーとして、ユーザーのアクセスは許可されているが、IT 部門が SSL 検査による完全な検査を希望するウェブサイトがあります。SSL 検査が必要なのは、ほとんどの Web トラフィックが暗号化されているためであることを念頭に置いておいてください。SSL 検査を行わない SWG 検査は、セキュリティ要件を満たすことはできません。

許可されていて、なおかつ完全な検査が必要な Web トラフィックこそが、SWG と SIA にぴったりのユースケースです。この２つのコンポーネントは、禁止されてはいないが、悪意のあるコンテンツのあるリスクを含む Web トラフィックを保護するために、うまく連携して動作します。

リモートアクセスとゼロトラスト・ネットワークアクセス (ZTNA)

ほとんどのユーザートラフィックが Web ベースであることの利点は、最新の ZTNA ソリューションで多くの VPN 接続を置き換えられる点です。アクセス制限なしにデバイスをローカルネットワークに橋渡しするレガシー VPN ソリューションとは異なり、ZTNA はユーザーを個々のアプリケーションに接続することができます。これがセキュリティの観点から見た ZTNA の利点ですが、ZTNA が従来の VPN を急速に置き換えている本当の理由は、優れたユーザー体験にあります。社内ネットワークへのリモート接続がどれほど面倒だったか、皆さんよく覚えているでしょう。複数の VPN ハブに接続しなければならなかった場合はなおさらです。

ZTNA を使えば、ルーティングの問題、再接続、終わりのないパスワード入力はすべて解消されます。優れた ZTNA ソリューションは、ユーザーが企業サイトから接続しているか、リモートから接続しているかを区別せず、デバイスのポスチャーチェックによって常にコンプライアンスを強化します。VPN 接続を ZTNA に置き換えることで、企業は無制限の暗黙の信頼から、継続的なセキュリティポスチャーの評価へと移行します。また、シンプルでシームレスな機能により、ユーザーエクスペリエンスを向上させます。

だからといって、VPN が安全な接続を提供できないといっているのではありません。Barracuda CloudGen Firewall をはじめとするソリューションは、同等のセキュリティで VPN 接続を提供するように設定できます。ただ、ZTNA はより便利なオプションですし、クラウドおよびローカルワークロードの優先リモートアクセスソリューションであるべきでしょう。適切に構成された VPN は、ルーティング接続を必要とする特殊なプロトコルなどのコーナーケースに対して安全なソリューションとなり得ます。このような場合は、粒度の細かいアクセス制御リスト（ACL）による追加のセキュリティ検査が必須となります。

なぜこれが重要なのか

攻撃者の立場で考えてみましょう。あなたがシステムに侵入しようとしているとして、ネットワークが終了したり、鍵のかかったドアにぶつかったりする前に、どこまで侵入できるでしょうか。ノンストップ攻撃や有名なセキュリティインシデント、特に安全でないリモートアクセスも含めて考えてみると、残念ながら答えは「金庫に直行」です。つまり、サイバー犯罪から身を守るには、セキュリティを見直す必要があるのです。ZTNA と SIA は、より大局的に見た際の２つの重要なパーツです。この２つを組み合わせれば、組織は必要なところ、つまりエッジでセキュリティを実装できるのです。