独自のブロックリストを活用、ラックの監視サービスがサプライチェーンリスクを減らす

製品やサービスを世に届ける過程においてセキュリティインシデントが発生し、製品製造過程が停止したりサービスの提供が停止したりするなどのサプライチェーンリスクが叫ばれて久しく、事業継続計画（BCP）を含めたリスクマネジメントを行うことが欠かせないものとなっています。

いわゆるサプライチェーンリスクマネジメント（SCRM）として、昨今はサプライチェーンにおけるIT化の促進や取り扱うコンテンツのデータ化に加え、セキュリティ上のリスク顕在化やインシデントを含む問題が発生した際の責任範囲が明確でないなどの課題が指摘されています。

セキュリティ対策機能を持つ製品を入れていても、リソースやコストの面から「セキュリティ担当者の有無」「インシデント対応体制の有無」などが組織によってバラバラだということも少なくありません。

サプライチェーンリスクに対応するセキュリティ対策製品は数多くあり、JSOCでもマネージド・セキュリティサービス（MSS）を提供しておりますが、今回は、これまで一部のお客様に対し限定的にサービス提供を行ってきた、基幹ネットワークから拠点ネットワークまで幅広くカバーし、拠点間通信なども含めて対応できるFortinet社の次世代ファイアウォールFortiGate製品を用いた監視サービスの拡充（MSSサービスとThreat Intelligenceサービス連携対応）と期待される効果についてご紹介します。

すでに顕在化している脅威

サプライチェーンリスクは、IPAが公開している「情報セキュリティ10大脅威 2022」で、組織における脅威の3位にランクインし、2021年も4位でした。2019年初登場後、4年連続ランクインするなど継続して上位にランクインしています。

※ 情報セキュリティ10大脅威 2022：IPA 独立行政法人 情報処理推進機構

被害事例を見ても、子会社や海外拠点を狙った攻撃などセキュリティ対策への投資や体制が弱くなりがちな箇所が狙われるなど、攻撃者に侵入口として扱われて被害が拡大するというケースが報告されています。

また、自組織でセキュリティを考慮した体制が取りにくい場合などは、業務委託も選択肢に入ってくると思われます。その際は、委託先が意識的にセキュリティ対策を打てるように、契約書や仕様書などに実施すべきセキュリティ対策やインシデント発生時の初動対応などを明記し、運用するように努めることが推奨されています。しかし、委託内容がインシデント対応を想定した具体的な内容に落とし込まれていなかったことで、初動が遅れ、被害が拡大したなどのケースが見受けられています。

被害の拡大を抑えるために、インシデント対応では特に初動が重要です。上記のように、業務委託先への具体的な対応指示などがおろそかになっている場合や、セキュリティ対策製品を入れているだけで対応体制がない場合には「気が付いたら被害が広がってどうしようもない状況になっていた」ことで、適切な初動対応が行えず、後手に回り、甚大な被害をもたらす結果になりかねません。

高くなりがちなセキュリティ対応コスト

初動対応と体制整備を重要視する場合、一方で対応コストがどうしても課題となります。規模の小さな拠点などは、専任担当者を付けられるケースの方が珍しく、システム管理部門がセキュリティ対応も兼務せざるを得ない状況も少なくありません。

セキュリティ対応製品は、「導入して完了」ではなく、発生するアラートの確認と対応、そして誤検知や過検知を低減するための適切なチューニングを継続する必要があります。

インシデントは24時間365日いつ発生するかわかりません。常時対応する体制を組もうとすれば、それだけでセキュリティ対策予算をオーバーなんていうこともザラですので、必然的にコストメリットを踏まえて対応してくれるアウトソース先を選定することになっていきます。

導入しやすいFortiGateとコストパフォーマンスの高さが光るIPS監視

小規模拠点などで重視されるのは、セキュリティ対策製品としての機能はもちろん、「導入のしやすさ」「コストメリット」「運用の容易さ」などが挙げられます。その点において、Fortinet社のFortiGateはエントリーレベルの製品であっても、業界トップクラスの脅威保護機能、IPSec VPNなどの拠点間通信接続機能、製品負荷が高くなりがちなSSLインスペクションを利用しても高いパフォーマンスを発揮してくれる性能から、コストパフォーマンスが良く非常に多くの環境へ導入されています。

また、大規模環境にも対応できるハイパフォーマンス製品もラインナップされていることから、スケーリングや拠点間通信のしやすさも備えています。

脆弱性対応としてコストパフォーマンスの良いIPS

今でこそ、EDR（Endpoint Detection and Response）や、MDM（Mobile Device Management）、SASE（Secure Access Service Edge）といったポリシー検証をベースとしたアプローチのセキュリティと、それらを組み合わせたゼロトラストといった考え方が浸透し始めています。しかし、全拠点に導入するためには膨大なコストが掛かるため、現実的でないケースもあるでしょう。

そのため、満たしておくべきベースラインとしてのセキュリティ対策として、ゲートウェイ部分においてインバウンド・アウトバウンド両面でカバーでき、インライン通信（拠点間通信）も含めたネットワーク監視をカバーできる侵入検知システムとしてのIntrusion Prevention System（IPS）は、非常にコストパフォーマンスが高いものです。日々公開される脆弱性に対応するための検知・防御ルールが提供され、監視対象となるネットワークに連なる通信から、悪意ある通信を検知・遮断できます。

ゼロトラストの観点からいくと、機能的に物足りない面があるのは確かです。しかしながら、コストが限られた環境におけるソリューションとしては、高い実績と効果が見込めます。Webサーバとアプリケーションのみという環境であれば、ピンポイントで守るWAF（Web Application Firewall）のほうが有効に働くこともありますが、様々なデバイスが接続され、多様な通信が流れる環境においては、被害を発生させやすい脆弱性を狙った攻撃に対するアプローチとして、IPSは費用対効果の高いものとなっています。

ラックの「JSOC マネージド・セキュリティ・サービス（MSS）」では、ラックのセキュリティアナリストによる高品質な分析に加え、独自の検知防御ルールである「JSIG」をIPS向けに提供することで、そのカバー領域を広げることが可能です。

WAFのようなWebサーバを狙った攻撃にピンポイントで対応するものや、C2サーバなどインターネット側への不審な通信を見つけ出すことを目的に、常に更新を続けています。また、インシデントと判断された場合には即時通報しますので、初動対応を早める効果もあります。

冒頭に記載しましたが、大規模（他拠点監視）である、広帯域（複数NW統合）であるといった特徴を持つ企業向けにはもちろん、小規模な拠点単位でFortiGateなどのセキュリティ製品を利用されている環境で、高い導入効果を見込めるサービスです。

JSOC MSSは製品自体の稼働監視にも標準で対応し、監視レポートも発行（月次）します。加えて、インシデントに関するお問い合わせにも対応します。監視状況はWebポータルで24時間365日確認できます。

適切なチューニングを継続して実施するための要員の育成や維持・管理体制などにかかるコストを考えると、高度な分析と実績に基づいた独自の検知防御ルールを用いて、継続的に最適化する監視サービスの利用には、コストメリットだけではない効果が期待できます。

サプライチェーンリスク対策としてのJLIST

ファイアウォールについても、過去のIPアドレス、ポート番号といった限定的なアクセス制御の機能だけでなく、通信種別ごとにきめ細やかにアクセス制御できるようになります。また、高レイヤーの通信に対応できるようになった次世代ファイアウォールによって、通信内容を識別した形で分析できるなど幅広くカバーします。

主に日本国内で確認した脅威情報をもとにブロック・検知リスト化し提供するJLIST

ラックでは、Emotetをはじめとしたマルウェア攻撃やランサムウェアなどの最新の攻撃に対応し、特に日本固有の脅威や日本で流行する脅威に対応するための情報を独自の国産ブロックリスト「JLIST」として、サービス提供しています。

FortiGateはオプションサービスとして、JLISTに対応できます。拠点設置に用いられるようなエントリークラスのFortiGateであってもJLISTを使用できます。

JSOCの監視サービスや、MDR（マネージド・ディテクション・アンド・レスポンス）、研究開発部門の研究過程で得られた脅威情報を含め、お客様から共有された防御実績・検知実績のある有害情報をJLISTに組み込むことで、特定のお客様で発生したサイバー攻撃が他のお客様で発生してしまわないように、先回りして防御します。これは、業界を問わず広くサービスを提供しているラックならではのサプライチェーンリスク対策の1つといえるでしょう。

いわゆる脅威情報（Threat Intelligence）について、組織や拠点ごとの導入だとコストメリットが見出しにくいケースが多いですが、FortiGateとJSOC監視サービスの組み合わせであれば、製品機能を用いてJLISTと連動できるため、比較的低コストで運用できます。

最後に

多様なデバイスがインターネットを経由して通信する環境が広がり続ける中、掛けられるリソースやコストに余裕がある場合は、様々なセキュリティソリューションを組み合わせて対策を高度化していくことが望ましいでしょう。

しかしながら、リソースが限られ、コストメリットを意識する必要がある場合には、コストパフォーマンスが高く、幅広くネットワークをカバーできるIPSの有用性を生かしたいところです。維持コストを低減しながら、高機能化も実現できるアウトソースの有効性について、JSIG、JLISTを交えたJSOC監視サービスを紹介しながら、解説しました。