Special
» 2018年11月05日 10時00分 公開

個別ユーザーの悩みに対処する:機能評価に自信を見せる、国産のトータルクラウドセキュリティ製品「Gresシリーズ」

クラウド上で自社サービスを展開する際、クラウド内部で動作する自社アプリケーションや仮想マシンのセキュリティ維持はユーザーの責任だ。手放しで運用することはできない。そのためには次世代ファイアウォール(NGFW)やサンドボックス、アプリケーションファイアウォール(WAF)をクラウド環境上やその経路に設置する手法が望ましい。グレスアベイルはこれら3製品を国内で自社開発し、ユーザーに提供している。海外ベンダーの製品と比較してどのような特徴があるのだろうか。

[PR/@IT]
PR

軽視されがちなクラウドセキュリティ対策

 デジタル変革の推進が目覚ましい現在、迅速な製品開発や市場対応、事業拡大に合わせたインフラ整備などのニーズから、サービスのクラウド対応を最優先する「クラウドファースト」が、もはや日常となりつつある。だが、これまで課題とされてきたサイバーセキュリティに対する不安は引き続きクラウド環境上に存在している。パブリッククラウドやクラウド上のサービスの活用がますます進む中、これは大きな問題である。

 クラウド事業者はクラウドプラットフォームの安定稼働を担保する。このため、クラウド選定時に信頼や実績の厚い事業者を選べばプラットフォームの稼働には不安がほとんど残らない。

 だが、プラットフォームへのネットワークアクセスや「アプリケーション」、アプリケーションの「設定」「アップデート」「運用管理」は、基本的に利用者側の責任だ。このような「責任共有モデル」は大手クラウド事業者の大半が採用している。このため、例えばプラットフォーム上に立ち上げた仮想サーバのOSやソフトウェアの更新を怠り、何らかのセキュリティ侵害が発生した場合、管理者権限を持つ利用者の責任となる。

 「サーバやネットワーク機器が物理的に確認できるオンプレミス環境では、セキュリティ対策を進めようという意識が強くありました。しかし、クラウド上のものは目視で確認できない上、その対策ポイントも分かりづらい。その結果、セキュリティが必要という意識が希薄になりがちです」。グレスアベイル、代表取締役社長の澤井祐史氏はこのように指摘する。

グレスアベイル、代表取締役社長の澤井祐史氏

 「クラウド上で運用されることも多くなっているWebサイトを例に挙げると、国内には何百万というビジネスサイトがありながら、Webアプリケーションファイアウォール(WAF)が採用されているものは、2万サイトもないのではないでしょうか。クラウド上のシステムに対するセキュリティの重要性が認識されていない一つの例です」(澤井氏)

 ではどのようなクラウドセキュリティ対策が必要なのか。主要なソリューションは3つあるだろう。WAFの他に、次世代ファイアウォールと、サンドボックスだ。実際、クラウドに対応するこのようなソリューションを多くのベンダーが提供している。だが、問題は「どれか一つ導入すれば解決する」と考えてしまうことだと澤井氏は言う。

 「サイバー攻撃は、ポートスキャンなどの偵察行為から始まり、脆弱(ぜいじゃく)性や設定ミスなどの不備を見つけた後に侵入へと進みます。その後、検知をかいくぐりながら機密情報などを窃取するという、複数のプロセスを踏みます。『ただポートを監視していればよい、正規の通信をチェックしていればよい』という考え方では、攻撃がすり抜けてしまう可能性があります」(澤井氏)

クラウド環境へのサイバー攻撃対策にどのようなセキュリティサービスを置くか

 だが、複数のソリューションを個別に導入し、対策しようとすると、導入コストはもちろん、運用管理の負担が大きい。

 こうした課題に応えるのが、グレスアベイルが自社開発する国産クラウドセキュリティ製品だ。次世代ファイアウォール「GresShield」、クラウド型WAFサービス「GresCloudWAF」、サンドボックスソリューション「GresSandbox」の3製品は導入した顧客からの評価が特に高いという。

グレスアベイルが提供する3製品の役割 GresShieldとGresSandboxは設定により連携動作できる。GresCloudWAFはWebサービスに残る脆弱性や設定ミスを狙う攻撃をブロックする

 1つ目のGresShieldは、ポート番号やプロトコルを識別し、アプリケーションレベルでの制御を実現する次世代ファイアウォール製品だ。IPS/IDS機能、アンチウイルス機能、VPN機能、URLフィルタリング機能も備える。

 特筆すべきは、IoTへの対応だ。IoTではHTTPの他、MQTT(Message Queuing Telemetry Transport)やXMPP(Extensible Messaging and Presence Protocol)、CoAP(Constrained Application Protocol)などの通信プロトコルを使用する場合がある。グレスアベイルは必要に応じて、IoT機器をユーザーから借り受けて通信を分析、識別、制御できるようカスタマイズを続けてきた。

 2つ目のGresCloudWAFは、Webアプリケーションに残っているかもしれない既知の脆弱性や、それを突く攻撃をシグネチャや通信の振る舞いなどで判定し、ブロックすることで攻撃を防ぐ。もちろん、プロトコル違反やパラメーター改ざんなどの検知の他、ホワイトリスト運用による検知と防御にも対応する。クレジットカード番号やマイナンバーなどの個人情報をプロキシベースでチェックし、外部に漏れないよう未然に防ぐことも可能だ。

インタフェースが分かりやすくてシンプル

 GresCloudWAFの特徴として、管理画面のユーザーインタフェースが非常に分かりやすい点が挙がる。

GresCloudWAFの管理画面 オン/オフで必要な機能だけを選択しやすい

 システムインテグレーターにWAFの運用管理を任せた場合は問題になりにくいものの、さまざまな理由から自社で運用管理を進めたい場合、複雑なUIでは理解が進まず、支障を来す。そこでGresCloudWAFではUIを極力簡素化した。例えばポリシー画面では、選択肢のうち、必要なものだけをオン/オフで設定すればよい。セキュリティ対策に必要なシグネチャもクラウドベースですぐに追加される。ユーザーに求めるのはシグネチャをやはりオン/オフで選択するだけだ。

GresCloudWAFのホーム画面 ホーム画面では攻撃元や攻撃元IPアドレスのグラフ、攻撃トップ10を表示できる

 GresCloudWAFのホーム画面では「機密情報漏えい」「データ漏えい」「SQLエラー漏えい・Java漏えい」といった具合に分かりやすく項目を一覧でき、オン/オフで簡単に設定できる。サブ項目では、「クレジットカードナンバー」「法人番号」「社会保険番号」をオン/オフで設定可能だ。

グレスアベイル、ソリューション事業部事業部長の根岸寛徳氏

 「製品によっては、『プロトコルのヘッダのうち、このパラメーターの値を変更』といったように、プロでなければ使いこなせないものもあります。GresCloudWAFにもシグネチャやルールをユーザーが追加できるようにしていますが、複雑さを極力廃し、誰にとっても使いやすい画面を目指しました」(グレスアベイル ソリューション事業部 事業部長の根岸寛徳氏)

 技術用語や項目の複雑さに引っ張られることなく、自社に最適な設定を明確に見極めることができ、見直しや修正も簡単にできる。これはセキュリティ対策を“運用”する上で、とても重要なポイントである。

シグネチャベースで検知できないマルウェアはサンドボックスで

 同社の3番目の製品であるGresSandboxは、シグネチャベースでは検知しきれないマルウェアを解析する機能を備える。具体的にはネットワークから送信されたマルウェアをサンドボックス解析で検知する。サンドボックス解析はGresSandboxのシステム上に用意された隔離された仮想環境の中で、対象ファイルを疑似的に動作させ、その振る舞いを検査することで、悪意のないファイルかどうかを判定する仕組みである。これにより、未知の攻撃に対する防御を実現できる。

 GresShieldとGresSandboxは、オプションによって連携できる。例えばGresShieldからGresSandboxへ自動的にアップロードされた検体を、解析後にシグネチャとしてGresShieldに配信するといった動作が可能だ。同じ検体が次にGresShieldを通過しようとしたときは、即、遮断できる。

近くで支援できる国産の強みと性能の高さで評価上昇

 グレスアベイルの何よりの強みは、セキュリティ製品を国内で自社開発していることだ。海外ベンダーで日本支社を置く企業も多いが、輸入や販売、営業を主な業務としており、機能の拡張やユーザー個別の課題解決を求めて交渉しても要望が通るまでに時間がかかる。

 その点、グレスアベイルであれば近い距離でサポートでき、ニーズをくみ上げるスピードも速い。GresShieldの特徴としてIoT機器の通信制御への対応について前述した。これはグレスアベイルがユーザーに対していかに寄り添い支援しているかが分かる好例の一つといえる。

 国内で開発し、サポートできるという特徴は、ユーザーにとってメリットがあるだけではない。システムインテグレーターを含む販売代理店にとっても、反応が鈍い海外ベンダーよりも迅速に対応してくれる国産ベンダーの方が、ユーザーへの提案がしやすく、課題解決に時間を要しない“優良製品”だ。

 「次世代ファイアウォール(NGFW)やWAF、サンドボックスのそれぞれで、業界トップの競合社があります。しかし、3社のトップベンダーは全て異なりますから、異なる製品をそれぞれで導入することになるでしょう。こうなると、製品のライフサイクルがベンダーによって異なることから、運用面や資産管理の観点で複雑になりがちです。弊社製品であればそうした問題はありませんし、一元的に3つのソリューションを管理できます」(澤井氏)

 グレスアベイルの特徴は必要なクラウドセキュリティ製品がそろっており、対応が早いことだ。だが、それだけではない。機能面、性能面でも高い評価を得ていると澤井氏は言う。「ある海外ベンダーと競合したとき、評価版でユーザーに性能や機能を検証してもらいました。その結果、通信負荷テストで最も遅延の影響を受けず、肝心のサイバー攻撃検知率でも最も高い評価となりました。また、機能面だけではなく、当社の柔軟な対応が付加価値として評価され、導入された案件もあります」。ユーザーエクスペリエンスを損なわない、安心安全を提供するセキュリティソリューションとして、ユーザーの満足度も高い。

 「ユーザーによっては、現在導入している他社のWAFが本当に機能しているかどうか、当社の初回無償版の脆弱性診断サービスで検証してくださる方もあります。WAFの強度が期待通りではないことが判明し、弊社のGresCloudWAFを提案、導入いただいたケースもあります」(澤井氏)

 この他、同社は24時間365日のリアルタイム監視や分析を提供する「SOCサービス」や、マルウェア解析やフォレンジック調査などに対応する「アナリスト分析サービス」、高度な検査技術を身に付けたホワイトハッカーが対応する「脆弱性診断サービス」など、日々のセキュリティ運用を支援する各種サービスを提供している。

 グレスアベイルはクラウド環境におけるセキュリティ対策のプロフェッショナルとして、製品・サービスを提供している。クラウド環境でのシステム運用を検討している場合や、専任のセキュリティ担当者が存在しない企業や組織は同社のソリューションを活用することをお勧めしたい。

関連資料

次世代クラウドセキュリティ対策ソリューション Gresシリーズ

Copyright © ITmedia, Inc. All Rights Reserved.


提供:株式会社グレスアベイル
アイティメディア営業企画/制作:@IT 編集部/掲載内容有効期限:2018年12月4日

RSSについて

アイティメディアIDについて

メールマガジン登録

@ITのメールマガジンは、 もちろん、すべて無料です。ぜひメールマガジンをご購読ください。