カードセキュリティ最新情報, カードセキュリティPCI DSS, トップページ用注目ニュース, ペイメントニュース, ペイメント新着情報

FireMon/KIS Security、NSPM（Network Security Policy Management）プラットフォームによるカードインフラネットワークのセキュリティ管理と運用（上）

2022年3月8日8:00

コロナ時代の環境変化によって、ネットワークインフラにおけるセキュリティ面の運用・管理はさらに重要度を増している。NSPM（Network Security Policy Management）の考えに基づくプラットフォーム「FireMon」は、複数メーカーのファイアウォールやスイッチ、クラウド環境でのACL管理を一元的に行い、ネットワーク全体のセキュリティポリシーの把握や変更履歴管理などを一手に担うことによって、セキュリティの課題を解決する。（2022年2月10日開催「ペイメントカード・セキュリティフォーラム2022」より）

FireMon,LLC.、KIS Security株式会社
KIS Security株式会社取締役崎山秀文氏／取締役　北本雅也氏

NSPMでNO.1シェアの「FireMon」
日本初の導入事例が間もなく誕生

インターネットをはじめとするネットワークについては、さまざまな新しい脅威に対応する新しい機器が導入されています。その運用におけるセキュリティ対策として、ワールドワイドではNSPM（Network Security Policy Management）の利用が進んでいますが、日本ではまだあまり利用されていないのが実情です。昨今は、サイバー攻撃が増え、そのタイプも多様化していますので、今後日本でもNSPMのニーズが高まるものと見ています。

KIS Securityはコロナ禍の真っただ中の2021年4月に、鉄鋼会社、精密機器メーカーなどでセキュリティに関する自社開発および海外製品を取り扱ってきた経験を持つメンバーが集まって設立した会社です。セキュリティソリューションとして、「FireMon」のほかにも、フィッシングメールに対する訓練サービスなどを提供しています。

製品製造元のFireMon社について簡単にご紹介いたします。2001年設立のアメリカの会社で、「FireMon」は70カ国・1,700社に導入されており、NSPMのカテゴリでNO.1のシェアをとっています。官公庁や多くのグローバル企業でも採用されています。「FireMon」は、数多くの企業の製品とAPI連携をして、ネットワークのセキュリティを管理します。日本での導入はこれからですが、先日、900台以上のデバイスを管理している企業が採用を決定し、カットオーバーに向けてシステム構築を進めている最中です。

ネットワーク管理者が抱える課題は、複雑化、設定ミスのリスク、スピードアップの大きく3つあると考えています。課題の解決にあたり、運用を重視したい運用管理部門と、セキュリティを第一に考えるセキュリティ部門の意見が対立してなかなかうまくいかないという企業が多いように見受けられます。「FireMon」はこのような悩みの解決にも役立つのではないかと思っております。

「FireMon」は複数メーカーの物理/仮想/クラウド、ファイアウォール/スイッチのACL（Access Control List）一元管理が可能で、ネットワーク全体のセキュリティポリシーを把握・管理できます。また、さまざまなメーカーのさまざまなバージョンのOSをサポートできるのが特徴です。適切なルールを推奨してくれるルールレコメンド機能などもあります。最大の特徴はコンプライアンス対策の部分ですが、PCI DSSに準拠しているかどうかのチェックはもちろん、社内ルールのセキュリティ基準に合ったルールが設定されているかといったところまでチェックできます。日本で先駆けて採用を決めていただいた先ほどの企業も、この点を高く評価してくださっています。

ルールをデバイスに落とし込み
ネットワーク全体のセキュリティを確保

NSPMはNetwork Security Policy Management（ネットワークセキュリティポリシー管理）の略称です。企業がネットワークの中でデータ資産を保護するという目的を達成するために、何を許可するか、あるいは許可しないかというきちんとしたセキュリティポリシーを作って、管理するデバイスに落とし込み、ネットワーク全体のセキュリティを確保していくという手法です。

たとえばルータやファイアウォールにもACLというルールがあります。このルールに、ポリシーを落とし込んでいきます。具体的には、誰が、どこから、どこへ、どんなサービスで、接続する/拒否するといったルールを設定するわけです。

管理者の方は実感していただけると思いますが、企業が大きくなって、従業員やデバイスが増えたり、ロケーションが増えたり、事業カテゴリが増えたりすると、当然管理するべきセキュリティポリシーも増えます。これを簡素化・効率化して時間・労力を削減したいということを、皆様はお考えだと思います。NSPMを支援する「FireMon」は、それを実現する製品だと考えています。

多様なネットワーク、多様なデバイスを
変更履歴を含めて一元的に管理

運用課題の具体例を挙げてみたいと思います。他拠点、マルチベンダーで、1,000台を超えるファイアウォールデバイスを管理している場合の課題を、10点ほど書き出してみました。これらの課題は、総合管理対策、コンプライアンス対策、自動運用対策の部分に分けられます。

ネットワークですので、さまざまなデバイスのベンダーがかかわっていますし、社内プライベートネットワーク、インターネット、クラウドなどどこに管理対象があるのかわからないという状態を、一元的に見ることができないと運用がスムーズにいきません。「FireMon」では一元的に見るダッシュボードという機能を使って管理ができます。また、ファイアウォールやルータなどを管理しますので、変更管理が大切になってきます。「FireMon」にはこれを提供する機能があります。

それから長年使っているファイアウォール、非常に重要なところにあるファイアウォールなどでは、1万行以上のルールがあるというようなケースもあります。実際に稼働しているルールをきちんと評価しなければならないのですが、それには相当の時間・労力がかかります。これをある程度効率化する機能も「FireMon」は持っています。また「FireMon」には、単に作業を自動化するだけではなく、ルールを推奨する機能、設定前にコンプランス規定に合致しているかをチェックする機能があります。

コンプライアンス対策は「FireMon」が特に得意とするところで、対応方法は3通りあります。もともと提供されているものをそのまま使う、提供されたものをカスタマイズして使う、一から作り込むという方法です。PCI DSSなどの標準規格のコンプライアンスを企業でアセスメントしなければならいというときには、それに対応するものも用意されています。