【住友商事×SCSK】SASEが解決したセキュリティ・ガバナンス向上計画とは?海外拠点を結ぶネットワーク刷新プロジェクト!
- SASE
- 導入事例
- クラウド
- ../../../article/2024/06/prismaaccess.html

DX化やクラウド利用の増加、リモートワークの定着などによってネットワークの通信量が増大し、それと比例してセキュリティリスクも高まる中、どのように快適でセキュアなネットワークを構築するのか、効率よく運用できる仕組みをつくるのか、が企業にとって大きな問題となっています。
そんな中、ネットワークとセキュリティの両方に対応し、ネットワークの統合運用管理と高度なセキュリティを実現する「SD-Branch」という最新技術が注目されています。IT管理者が簡単に企業全体のネットワークおよびセキュリティの状態を把握し、最適な業務環境の実現を支援するSD-Branchとは、一体どういうものなのでしょうか。
今回は、統合ネットワークセキュリティ製品を開発し、セキュリティ市場のリーディングカンパニーとして知られるフォーティネット社の日本法人、フォーティネットジャパン合同会社の登坂氏、そしてSCSKの担当者に、巧妙化するサイバー攻撃の最新状況と、その解決策としてのSD-BranchおよびSD-Branchを実現するソリューション「FortiGate」について詳しく聞きました。
目次
![]() フォーティネットジャパン合同会社 マーケティング本部 フィールドCISO - エンタープライズ 登坂 恒夫 氏 |
![]() SCSK株式会社 プロダクト・サービス事業グループ ネットワークセキュリティ事業本部 セキュリティプロダクト第一部 副部長 FortinetNSE1~7 Fortinet Certified Solution Specialist OT Security 碓井 雄一郎 |
―― 昨今のセキュリティトレンドについて教えてください
登坂氏 近年、さまざまな要因によってセキュリティリスクが高まっていますが、その一つとして環境要因が挙げられます。日本政府が推し進めているDX化に対応すべく、業界や会社規模に関わらず、今やあらゆる企業がさまざまな業務にITを用いています。
ITニーズの増加に伴ってクラウドやSaaSアプリケーションの選択肢が増えたこと、またリモートワークが定着したことも、より一層、ネットワークの攻撃リスクを高めています。あらゆる場所(デバイス)からあらゆるアプリケーションに繋がるようになるためです。2026年までには、エッジネットワークに関連したセキュリティインシデントが90%の企業で発生するという予測結果も出ています。
ユーザー・デバイス・アプリケーションの増加によるネットワーク脅威の高まり
別の背景として、サイバー攻撃の手法が増加・高度化しているという技術的な要因もあります。新しいマルウェアが続々と開発され、ランサムウェアギャングと呼ばれるサイバー犯罪組織も増えています。また、AIの活用によってサイバー攻撃の速度や精度が高まっており、攻撃を見破ったり防いだりすることが難しくなっているのです。
―― 具体的にどのようなサイバー脅威があるのでしょうか?
登坂氏 例えば、生成AIを悪用した「WormGPT」などのジェイルブレイク生成AIがあります。通常、生成AIにはガードレールと呼ばれる入力と出力を監視するアルゴリズムが組み込まれており、悪質な命令には応じない(回答しない)仕組みによって悪用を防いでいます。しかし、そうした防御策を突破(=ジェイルブレイク)することで、ビジネスメール詐欺などでより高度ななりすましが行われ、ランサムウェアに感染するといった被害が報告されています。
さらに「ラテラルムーブメント(水平展開)」によって被害が拡大する恐れがあります。ラテラルムーブメントとは、侵入したマルウェアがネットワーク内を徐々に移動し、ほかのシステムに影響範囲を拡大する行為を指します。例えばメールが感染経路の場合、社外やリモートワークでは必ずしも企業のネットワークの出入口(一般的にはUTM(Unified Threat Management))を通らず、PCへの侵入を許してしまう可能性があります。仮にUTMを経由しても、近年では悪質なマルウェアが検知をすり抜け、社内に侵入するケースも報告されています。すると感染したPCは周りのシステムを検索し、感染を拡大するための活動を開始します。つまり、エンドポイントで知らない間に被害が拡大してしまうのです。
メールが感染経路のラテラルムーブメントの例
こうした背景から、拠点のエンドポイントを含めたネットワークを常に監視し、脅威はできるだけ発生源で食い止められるような、ゼロトラストに基づいたセキュリティを実現することが重要になっています。
―― ゼロトラストについてよく耳にしますが、企業は実際どういった課題を抱えているのでしょうか?
碓井 よく耳にする課題は大きく3つ、そもそもネットワーク全体を可視化できていない、多様化するサイバー脅威にどう対策すれば分からない、IT管理者不足、といったものがあります。
企業が抱える課題
―― それぞれについて詳しく教えてください
碓井 登坂さんもおっしゃったように、多くのSaaSアプリケーションをはじめ、テレワークやWeb会議の利用頻度が高まったことで、ITの利用環境が複雑化・多様化しています。通信量の増大はセキュリティという側面だけでなく、ネットワーク遅延などの業務面の問題にもなっている一方で、ネットワークの状態を適切に監視し、最適に運用する難易度は上がっています。
さらに、多様化・巧妙化するサイバー脅威に対して、予算の問題もあり、それぞれをどのレベルまで対策すべきか分からないという声も多くあります。ゼロトラストの観点から、今やファイアウォールやIPアドレスの制御だけでは脅威を防ぎきれず、アプリケーションレイヤまで監視しなければいけません。ネットワーク構成が複雑になる中、それらを網羅した適切なセキュリティ対策を末端まで施すことは非常に困難となっています。
加えて、IT担当者の不足も課題です。支店などの小規模拠点はなかなか人員を割けずに管理者不足に陥りがちです。本社側でも、多くの拠点のネットワーク構成や使用状況までを全て把握することは難しく、設定変更や機器の追加導入、トラブル対応が難しくなっています。
このように、IT環境の多様化とサイバー脅威の増加から管理者の負担はますます増え、ネットワーク運用をよりセキュアに、より簡易に管理できる仕組みが求められています。
―― そこで注目されているのが「SD-Branch」なのですね?
碓井 はい、その通りです。SD-Branchとは、Software-Defined Branchの略で、支社や拠点内部を含めた、企業に関わるネットワーク全体を効率よく管理するためのアーキテクチャです。SD-WAN(Software-Defined Wide Area Network)に加え、SD-LAN(Software-Defined Local Area Network)、それからセキュリティ機能を全てソフトウェアで統合制御できる仕組みを意味します。
SD-BranchはもともとSD-WANの進化系として登場した概念ですが、SD-WANが本社と支社の間の通信を最適化するための仕組みであるのに対し、SD-Branchはその対象を支社(拠点)内部のネットワークも含め、さらにセキュリティも一元管理できるという大きな違いがあります。
SD-WAN |
SD-Branch |
---|---|
|
|
SD-WANとSD-Branchの違い
―― SD-Branchによってどんなことができるのでしょうか?
碓井 先ほど述べた通り、SD-Branchでは、さまざまなネットワークとセキュリティの設定・運用をソフトウェアによって統合制御することが可能になります。従来、LANやWANといったネットワークの設定はスイッチやルーター、ゲートウェイ機器等で行い、セキュリティならファイアウォールやコントローラー、Webフィルタリング等で設定するといったように、その目的に応じて、機器を個別に制御する必要がありました。するとIT担当者の運用工数がかかってしまうのに加え、ネットワークおよびセキュリティの全体像が把握しづらく、快適で安全な業務環境を担保することが難しくなってしまいます。
SD-Branchによって、ネットワーク管理を一元化することで、ネットワークトラブルの原因究明と対策をスムーズに行ったり、新しい拠点のネットワークを迅速に展開したりといったことが可能になります。また、全社に対して一貫したセキュリティポリシーを適用することでサイバー攻撃のリスクを最小限に抑えられるほか、これら全ての運用を効率化できることが大きなメリットです。
―― 「FortiGate」について教えてください
登坂氏 FortiGateは、UTM機能を持ったゲートウェイ機器です。開発元のフォーティネットは統合ネットワークセキュリティ市場のリーディングカンパニーであり、セキュリティアプライアンスの出荷台数は世界No.1のシェア(※)を誇っています。
※フォーティネット、セキュリティアプライアンスの出荷台数で9年連続首位に(大手調査会社調べ) (fortinet.com)
FortiGateの機能
FortiGateはゲートウェイに加え、VPN(Virtual Private Network)およびバーチャルドメイン(部署ごとなど、別々のネットワークとして管理するためにドメインを仮想的に複数に分割するもの)といったネットワーク機能を持っています。さらにUTMとして、ファイアウォールやIPS/IDS、Webフィルタリング、アンチウイルス、アンチスパムなどの多様なセキュリティ機能を有しており、セキュアなネットワークを構築するための重要なソリューションとなっています。
FortiGateは単体でも、インターネットと企業ネットワークの「境界」で通信を適切に制御し、サイバー脅威を検知・防御することが可能です。しかしこれまでお話しした通り、ゼロトラストに対応するには「エンドポイント」までしっかりと統合管理し、何か問題があった際にはエンドポイント側で素早く対応できるSD-Branchが必要です。そこで私たちは、FortiGateを使った「セキュアSD-Branch」をおすすめしています。
―― FortiGateはどのようにSD-Branchを実現するのでしょうか?
FortiGateによるセキュアSD-Branch
碓井 FortiGateでは、「FortiSwitch」や「FortiAP」といったフォーティネットが提供するスイッチおよびアクセスポイントを接続することによって、セキュアSD-Branchを構成します。具体的には、FortiGateと各種ネットワーク機器を「FortiLink」(汎用プロトコルを使用)で接続します。するとFortiGateの一つの管理画面でスイッチとアクセスポイントを制御、設定、管理できるようになるため、ネットワーク全体を一元管理できます。同時に、そのネットワークを流れるトラフィックがセキュリティの検査対象になり、FortiGateが持つUTMのさまざまなセキュリティ機能をネットワーク配下にある端末一つ一つにまで拡張することが可能となります。
FortiGateの管理画面
そのため、エンドポイントでのマルウェア感染およびラテラルムーブメントを、FortiGateが置かれるネットワークの境界線に到達する前にいち早く検知し、対処することができるようになります。
―― FortiGateの「セキュアSD-Branch」ならではの強みは何でしょうか?
碓井 FortiGateはセキュアSD-Branchを標準機能として搭載しているので、SD-Branchのために新たに費用がかかるということはありません。また、日本語の分かりやすいGUIでセキュリティ設定を含めたネットワーク全体の可視化と一元管理ができ、IT担当者の運用負担がぐんと減るため、システムの導入から運用に至る費用を削減できます。
SD-Branchと一口に言っても、特にセキュリティ機能についてはどこまで対応できるかがメーカーによってバラバラです。FortiGateではUTMのさまざまなセキュリティ機能を備えているほか、工場などで使われるOTプロトコルにも対応しています。最近注目を集めるOTセキュリティをはじめ、企業の幅広いニーズにも応えられると確信しています。
―― 最後に、SCSKの今後の取り組みについて教えてください
碓井 SCSKは、2008年からフォーティネット製品の取り扱いを開始し、国内でもトップレベルのセールス実績を誇っています。これまで培った専門スキルによって、セキュリティ脅威のアセスメントを通したご提案から、手厚い技術支援と保守体制で企業のニーズに幅広くお応えします。
最近では、クラウドシフトやOTセキュリティなどのトレンドに関するお問い合わせをいただくことも増え、SD-Branchがより求められるようになってきたと感じています。既にフォーティネット製品を導入されている企業はもちろん、他社製品をお使いの場合でも、SCSKではマルチベンダ対応のエンジニアが多いため、現在の(他のベンダーの)環境からの移行も安心してお任せいただけます。
セキュリティおよびネットワークの運用管理、ゼロトラストへの対応にお悩みの方は、まずはお気軽にご相談ください。