クラウドセキュリティソリューション

今求められているセキュリティ対策とは?

近年、働き方の自由化が進んだことやテレワークや在宅勤務の導入が急速に普及しています。オフィス以外の場所での勤務を認めたり、データをクラウド上に置いて利用する等、仕事の進め方が従来とは変わってきました。

「データの持ち出しは禁止」「仕事はオフィスに用意されたネットワーク環境で行うもの」であった時代には、社内と社外の境界にファイアウォールを設置して社内ネットワーク内のデータや端末の安全を確保していましたが、「データはクラウド上に保存」「仕事は自宅やサテライトオフィスからでも可能」な状況においてはその境界が薄れつつあります。

従来のセキュリティ対策との違い

その境界を前提とした外部からの攻撃を防ぐ従来型のセキュリティ設計のままでは、リモートアクセスの自由度を下げてしまいますが、利用者の利便性を重視すると「防御」や「保護」を目的としたセキュリティ対策が不十分になってしまうという課題があります。どのようにユーザー利便性と安全性を両立するか、多くの企業が苦慮しています。

利用者の利便性とセキュリティ対策の両方を実現するためには、従来のように社外/社内という境界で分けるのではなく、守るべきものは「データ」であり「情報」であるということに焦点をおき、ゼロトラストセキュリティの観点でセキュリティ対策を行うことが重要になってきています。

ゼロトラストセキュリティとは

ゼロトラストとは「何も信頼しない」を前提に対策をするセキュリティの考え方です。従来、企業ネットワークはファイアウォールの『壁』に守られ、その壁の中は信頼できる安全な場所=聖域と考えられてきました。しかしデバイスの多様化や高性能化と企業のクラウド利用が進み、聖域の外側で業務を遂行できる状況が生まれます。政府の「働き方改革推進」により聖域は徐々に重要性を失い、2020年初めにはCOVID-19の蔓延によるテレワークの急増で企業ネットワークのファイアウォールは従来の役割を失いました。

このようにファイアウォールの外側にも守るべき情報が点在するようになり、内と外の境界があいまいになったことで、全ての通信を信頼しない前提でセキュリティ対策をしていくゼロトラストの考え方が広まってきました。

情報処理推進機構(IPA)が発表した「情報セキュリティ10大脅威 2024※」では、依然として「ランサムウェアによる被害」が1位となっています。また、2位も去年と変わらず「サプライチェーンの弱点を悪用した攻撃」となっており、特定の組織を狙ったセキュリティ攻撃が引き続き重大な脅威として挙げられています。

順位 被害内容(組織) 前年順位
1位 ランサムウェアによる被害 1位
2位 サプライチェーンの弱点を悪用した攻撃 2位
3位 内部不正による情報漏えい等の被害 4位
4位 標的型攻撃による機密情報の窃取 3位
5位 修正プログラムの公開前を狙う攻撃(ゼロデイ攻撃) 6位
6位 不注意による情報漏えい等の被害 9位
7位 脆弱性対策情報の公開に伴う悪用増加 8位
8位 ビジネスメール詐欺による金銭被害 7位
9位 テレワーク等のニューノーマルな働き方を狙った攻撃 5位
10位 犯罪のビジネス化(アンダーグラウンドサービス) 10位

出典:IPA 独立行政法人 情報処理推進機構「情報セキュリティ10大脅威 2024

※「情報セキュリティ10大脅威 2024」は、IPAが2023年に発生したセキュリティ事故や攻撃の状況等から脅威候補を選定し、情報セキュリティ分野の研究者、企業の実務担当者など約200名のメンバーで構成する「10大脅威選考会」の投票を経て決定したものです。

セキュリティ課題別 製品・サービス

ここでは、よくある課題別に主な製品・サービスをご紹介します。
各用語の説明については、「セキュリティ用語集」をご覧ください。

社外からの不正アクセス対策

WAF、DDoS対策

  • Cloudflare
  • Microsoft Azure DDos Protection
  • Microsoft Azure Webアプリケーションファイアウォール

Web無害化、メール防御

SSO、多要素認証

脅威検知・対策統合管理

  • Microsoft Defender for Cloud
  • Microsoft Defender for Endpoint

ID統合管理

  • Microsoft Azure Active Directory Premium

エンドポイントセキュリティスイート

  • Microsoft Enterprise Mobility + Security

暗号化証明書管理

  • Microsoft Azure Key Vault

パスワード管理

社内ネットワークへの安全なアクセスの実現

社内ネットワークへの安全なアクセス

DNSセキュリティ 

VPN 

ファイアウォール 

  • Microsoft Azure Firewall

ネットワークインフラの監視運用

ネットワークインフラの監視運用

脆弱性診断 

  • Tenable 

SIEM 

  • Microsoft Azure Sentinel

クラウドセキュリティソリューションについて問い合わせる

セキュリティ対策例

ここでは、具体的なセキュリティ被害例と対策の一例をご紹介します。

ケース1:社内システムへの不正アクセス/不正侵入による情報漏洩

被害内容

  1. 脆弱なWebサイトからID/PWが流出し、​ 社内システムに不正アクセスされ機密情報が漏洩​
  2. 簡単なパスワードが総当たり攻撃で突破され、​ 機密情報が漏洩

case7-before.png

対策方法

《利用テクノロジー》シングルサインオン(SSO)、多要素認証(MFA)、パスワード管理​
《対策概要》SSO対応サービスはOktaでログインし、非対応サービスはDashlaneでPW情報を管理。さらにOktaへのログインは多要素認証を実施し、成りすましによる不正ログインを防止。

case7-after.png

利用ツール・製品概要

メーカー名 製品/サービス名 主な機能
Okta Okta SSO、多要素認証、プロビジョニング
Dashlane Dashlane パスワード管理、ダークウェブへの漏洩監視

ケース2-①:社内システムへの不正アクセスによる情報漏洩

被害内容

在宅勤務時など社外から社内システムにアクセスする際のセキュリティが不十分であったため、不正なユーザが社内システムにアクセスして機密情報を抜き取るという情報漏洩が発生した。

case1-before.png

対策方法

《利用テクノロジー》クラウド型リモートアクセスサービス/Secure Web Gateway
《対策概要》従来型のVPN装置(ハードウェア)を必要としない、Cloudflareのサーバを介する仕組みを導入することで、安全なリモートアクセスを実現した。社内システムだけでなく、外部インターネットにアクセスする際にもフィルタリング等を行って安全を確保。

case1-after.png

利用ツール・製品概要

メーカー名 製品/サービス名 主な機能
Cloudflare Cloudflare Zero Trust(Cloudflare Access+Cloudflare Gateway) リモートアクセス機能、Secure Web Gateway

ケース2-②:社内システムへの不正アクセスによる情報漏洩

被害内容

従来のVPNでは、一度接続すると誰でも社内リソースにアクセスできてしまう。接続後はデバイスの状態に変化があってもわからない、ユーザーが何をしているかが把握できない。

case2-②-before.png

対策方法

《利用テクノロジー》クラウド型リモートアクセスサービス
《対策概要》FortiSASEでは、OSのバージョンや脆弱性の有無などのデバイスチェックのほか、アプリケーション単位でのアクセスコントロールや通信先の把握など、ユーザーアクティビティの監視と制御により安全なリモートアクセスが可能となる。

case2-②-after.png

利用ツール・製品概要

メーカー名 製品/サービス名 主な機能
Fortinet FortiSASE リモートアクセス機能、Secure Web Gateway

ケース3:メール添付ファイルによるウイルス感染

被害内容

日ごろ関わりのある組織や人物を装った巧妙な電子メールに、セミナーの案内状などと称したウイルス付きドキュメントファイルが添付されていた。ファイルを開封することで端末がウィルスに感染し、そこから個人情報流出へと発展した。

case2-before.png

  1. 外部から悪意のある添付ファイル付きメールを受信
  2. 添付ファイルを開くことで端末がウィルス感染

対策方法

《利用テクノロジー》Isolation(分離)テクノロジー/メール版
《対策概要》添付ファイルの安全な実行、および ダウンロードを提供。
添付ファイルは無害化されて HTML ラッピングの形で受信し、端末上での直接実行を防ぐ。
無害化するため、実行しても安全なドキュメント閲覧を提供し、また PDF 無害化ファイルでのダウンロードも可能。

case3-after.png

利用ツール・製品概要

メーカー名 製品/サービス名 主な機能
Menlo Security MENLO-SECURE-OFFICE-365 または MENLO-SECURE-GSUITE Email 添付ファイル分離/無害化

ケース4:Web閲覧によるウイルス感染

被害内容

業務上、世界中のWebサイトにアクセスして広く情報を収集する必要があり、Flashを使うWebサイトは閲覧を禁止するなどのウイルス対策は行っていた。抜本的な対策をしない限りマルウェア感染は時間の問題であると危機感を抱いていたところ、マルウェアの侵入を防ぎきれずウイルスに感染してしまった。

case3-before.png

  1. クライアントからWebサイトヘアクセス
  2. クライアントのブラウザでアクティブコンテンツを実行・結果表示

対策方法

《利用テクノロジー》Isolation(分離)テクノロジー/Web版
《対策概要》原則全てのWebサイトをアイソレーション処理し、攻撃を端末に到達させない安全なWeb閲覧を実現。従来のリスト運用で影響が多い「感染リスク」や「業務中断」をWebアイソレーションで対応。既存のブラウザで利用できるため、生産性やユーザエクスペリエンスを低下させず安全なWebブラウジング環境を実現。

case4-after.png

利用ツール・製品概要

メーカー名 製品/サービス名 主な機能
Menlo Security Protect+ Basicほか Web分離/無害化

ケース5:Webサーバへの攻撃による機密情報流出

被害内容

Webサーバに不正アクセスされ、登録ユーザのメールアドレス情報等が盗まれた。盗まれたメールアドレス宛に迷惑メールが届いたことで判明。

case4-before.png

対策方法

《利用テクノロジー》WAF(Web Application Firewall)
《対策概要》ウェブアプリケーションの脆弱性を悪用した攻撃からウェブアプリケーションを保護するセキュリティ対策。SQLインジェクション、 クロスサイトスクリプティング(XSS)、ゼロデイ攻撃等からWebサイトを保護する。

case4-after.png

利用ツール・製品概要

メーカー名 製品/サービス名 主な機能
Cloudflare Cloudflareエンタープライズプラン CDN/Webセキュリティ(WAF、DDoS攻撃対策)

ケース6:フィッシングメールによる情報漏えい

被害内容

組織内の関係者に、偽サイトへ誘導する不審なメールが一斉に届いた。UTMにて送信元の受信拒否、メール内のURLアクセスをブロックするも、アカウント情報が窃取されていたことがその後判明。外部にメールが不正に転送されていたことで、個人情報の流出につながった。

case5-before.png

  1. フィッシングメールのURLをクリック
  2. 悪意のあるサイトに、個人情報を入力することで情報流出

対策方法

《利用テクノロジー》Isolation(分離)テクノロジー/メール版
《対策概要》》“うっかり” クリックしても書き込み禁止 (Read-Only) モードで安全な Webサイト閲覧を提供。URLリンクの危険度判定に応じて、異なるアクションで対応可能    (Read-Write / Read-Only / Block)。改ざんされた一般 Webサイト閲覧を含め、Webサイトに潜む悪性スクリプトはブラウザ上で実行されない。時間差攻撃でURLリンク先が後から悪意のあるサイトに変化したとしても、 読み込み時にサイト判定。

case6-after.png

    利用ツール・製品概要

    メーカー名 製品/サービス名 主な機能
    Menlo Security MENLO-SECURE-OFFICE-365 または MENLO-SECURE-GSUITE Email URLリンク書き換え、書き戻し

    ケース7:サーバへのDDoS攻撃による接続障害

    被害内容

    ECサイトやゲームなどの商用サーバに対して大量のデータを送り付けるDDos攻撃によってサーバがダウンしたことで、ユーザがログインできなくなったり、接続エラーが発生するなど、機会損失に伴う売上減少と顧客満足度の低下を招いた。

    case6-before.png

      対策方法

      《利用テクノロジー》CDN(Content Delivery Network)
      《対策概要》コンテンツを高速で、安定して配信するために使われる仕組みを導入。 Webサイトのコンテンツを複数のサーバにキャッシュさせておき、大量のアクセスがあってもキャッシュしたCDNサーバーから安定して高速にコンテンツを配信できるよう対策を行った。

      case6-after.png

      利用ツール・製品概要

      メーカー名 製品/サービス名 主な機能
      Cloudflare Cloudflareエンタープライズプラン CDN/Webセキュリティ(WAF、DDoS攻撃対策)

      ケース8:認証情報窃取による不正侵入

      被害内容

      AitM攻撃(Adversary in the middle)とは、従来の偽のログインページに誘導して認証情報を盗み出すフィッシング攻撃とは異なり、本物のログインページを用いて、認証を通過した状態のデータ(セッションCookie)を盗み出す。Cookie情報を盗むためSSO、MFAを導入しただけでは防げない。

      case8-before.png

      対策方法

      《利用テクノロジー》パスワードレス認証、フィッシング耐性MFA
      《対策概要》公開鍵暗号方式を用いた認証技術・パスキーによる認証で、ユーザーとオリジンサーバでやりとりされるのは、ユーザーのデバイスの秘密鍵で署名された署名データとなるため、攻撃者はCookie情報を盗むことが出来ない。

      case8-after.png

      利用ツール・製品概要

      メーカー名 製品/サービス名 主な機能
      Beyond Identity  Beyond Identity  パスワードレス認証、フィッシング耐性MFA

      ケース9:従来のセキュリティでは防御出来ない未知のマルウェア攻撃の被害

      被害内容

      デバイスがオフィス以外に持ち出されるようになったが、従来のEPP(Endpoint Protection Platform)では、デバイスへの既知のマルウェアやウイルスはブロックできるが、ゼロデイ攻撃やファイルレス攻撃には対応しにくい。

      case9-before.png

      対策方法

      《利用テクノロジー》EDR (Endpoint Detection and Response) 
      《対策概要》高度化するサイバー攻撃に対しては、侵入前に防ぐことに加えて侵入された後にその被害を以下に抑えるかということが重要となる。EDRはエンドポイントでの不審な活動や攻撃を検出して、その後の封じ込め・復旧対応を支援する。

      case9-after.png

      利用ツール・製品概要

      メーカー名 製品/サービス名 主な機能
      Fortinet FortiEDR EDR

      クラウドセキュリティソリューションについて問い合わせる

      セキュリティ用語集

      2FA:2-Factor Authentication

      2要素認証。パスワードでの認証に加えて、ユーザーが所有しているモノ(スマホ、ワンタイムパスワード等)またはユーザー本人の身体的特徴(顔認証、指紋認証等)による認証を組み合わせて行う認証。複数を組み合わせて行う認証に関してはMFAを参照。

      CASB:Cloud Access Security Broker

      従業員のクラウドサービス利用状況を監視し、適切なセキュリティ対策を行う仕組み。「可視化」「コンプライアンス」「データセキュリティ」「脅威防御」の4機能で構成される。シャドーITへの対策の1つ。クラウドサービスのリスクを評価し、利用を監視・可視化するのが主目的であり、通信のブロック等は行わない為、webフィルタリングとの併用が効果的。

      CSPM:Cloud Security Posture Management

      クラウドセキュリティ動態管理。クラウドサービスを利用する際、設定ミスや管理不備によって情報漏洩インシデントやサイバー攻撃が発生しないよう、IaaS/PaaS基盤の設定をAPI連携で継続的に自動でチェックする仕組み。

      EDR:Endpoint Detection and Response

      PC、スマホ、サーバー等のユーザーが利用するエンドポイントデバイスを対象に、不審な動作を監視します。不審な動作を検知すると権利者へ通知し、迅速な対応を行えるよう支援する仕組み。

      MFA:Multi-Factor Authentication

      多要素認証。パスワードでの認証に加えて、ユーザーが所有しているモノ(スマホ、ワンタイムパスワード等)やユーザー本人の身体的特徴(顔認証、指紋認証等)による認証の中から複数を組み合わせて行う認証。

      SASE(サシ―):Secure Access Service Edge

      経路・システムの種類を問わず、すべてのEdge(場所、モバイル、PC、Cloud)に安全なネットワークアクセス環境を提供する仕組み。

      SD-WAN:Software Defined-Wide Area Network

      SDNの技術を、WANの管理・制御に適用したもの。「ゼロタッチプロビジョニング」「高可用性ハイブリッドWANの実現」「アプリケーションや回線品質に基づくWAN経路の制御」といった要件を備えているものが多いが、ベンダーによって実装している機能や実現方法は異なる。

      SIEM(シーム):Security Information and Event Management

      ファイアウォールやIDS/IPS、プロキシ等から出力されるさまざまなログやデータをため込むデータベース。目的に応じた的確な自動監視用のクエリーをつくることで、サイバー攻撃やウイルス感染などのインシデントを検知する監視基盤になる。SOC運営を高度化させるために必要なツール。

      SOAR(ソアー):Security Orchestration, Automation and Response

      SOC運用を支援する製品。システム連携・オートメーション化・ワークフロー機能を提供し、セキュリティ運用の自動化や効率化を実現する。

      SSO:Single Sign On

      システム利用開始時に1度ユーザー認証(ログイン)を行うと、その後複数のシステムを利用開始する際に、都度認証を行う必要がない仕組み。

      SWG:Secure Web Gateway

      URLフィルタリング、アンチウイルス、サンドボックスなどの機能をクラウド型で提供するサービス。従来のオンプレ型プロキシでは社内ネットワークからのweb通信のみの制御しかできず、在宅・モバイルワークの普及により多くのリモートワーカーのアクセス管理を対応できなくなった部分を補う仕組み。クラウド型で提供されるURLフィルタで、安全でないと判断したアクセス先へのアクセスを遮断する。

      VPN:Virtual Private Network

      インターネットとプライベートネットワークとの境界に配置していた、インターネット回線を利用して社外からプライベートネットワークにアクセスするための仮想の専用線。

      WAF(ワフ):Web Application Firewall

      Webアプリケーションの脆弱性を悪用した攻撃からWebサイトを保護する。ネットワークレイヤーレベルで防御するファイアウォールと異なり、HTTP/HTTPS通信内の不正通信を検出防御する仕組み。(SQLインジェクション・クロスサイトスクリプティング対策)

      関連コラム

      もっと見る

      Related information

      製品・サービス

      インターネット分離・無害化ソリューション:Menlo Security

      Menlo Securityは、特許取得済みのIsolationテクノロジーを使い、Webやメール経由の脅威を排除するSa...

      ネットワーク/回線 セキュリティ
      製品・サービス

      高パフォーマンス&セキュアなCDNサービス:Cloudflare

      CloudflareのCDNはウェブサービスの高速化だけでなく、DDos攻撃の緩和やWAF等、サイバー攻撃から守るクラウド...

      ネットワーク/回線 セキュリティ クラウド
      製品・サービス

      Ciscoソリューション セキュリティ

      5G/ローカル5G ストレージ ネットワーク/回線
      製品・サービス

      Fortinet

      MKIは、セキュリティ対策の世界的大手フォーティネットが提供する、インターネットゲートウェイに必要な機能を一台で実現する「...

      セキュリティ ネットワーク/回線 Wi-Fi
      製品・サービス

      Dashlane:企業向けパスワードマネジメントシステム

      三井情報は日本で唯一の代理店として安心簡単なパスワードマネージャーDashlaneを販売し、導入から運用まで支援しています...

      セキュリティ クラウド
      製品・サービス

      Okta:ゼロトラストセキュリティを実現するためのIDaaS

      Oktaは、ゼロトラストセキュリティを実現するためのIDaaSです。三井情報はOktaの導入から運用まで支援しています。

      セキュリティ クラウド
      製品・サービス

      Box:法人向けファイル共有基盤

      Boxは、世界中の企業で利用されているコンテンツ管理プラットフォームです。 社内外のコラボレーションに加えて、セキュリティ...

      ストレージ クラウド 情報共有
      製品・サービス

      MKI-Acme Network eVOluter

      M-ANVOは、回線からSDN/SD-WAN、クラウドセキュリティ、Voice、IoT等を自動化、運用支援/保守/監視まで...

      ネットワーク/回線