メルトピア

経営基盤を強化するIT戦略

三菱電機メルトピア。様々な事例がご覧いただけます。

  • エキスパートインタビュー

  • 経営基盤を強化するIT戦略
  • 2016年 7月号(No.218)
  • MIND ITリサーチオフィスによる米国最新IT事情レポート
    クラウド利用を促進する
    利便性とセキュリティーを両立した
    新技術が続々と登場

人物写真

三菱電機インフォメーションネットワーク株式会社
ネットワーク事業部 セキュアアクセスサービス部 第一課長
佐藤 純 氏

IT技術開発の中心地のひとつである米国シリコンバレーでは、次々と新しい技術とそれを利用した新ビジネスが登場しています。三菱電機インフォメーションネットワーク株式会社(MIND)ITリサーチオフィスは、こうした最新技術の調査や、日本向けのビジネス開発を行っています。特に重点的に調査している分野が「クラウド」「セキュリティー」「モバイル」「IoT」の4つです。今回は、MIND ITリサーチオフィスに在籍し、米国の最新IT事情に詳しいネットワーク事業部 セキュアデータサービス部 第一課長 佐藤 純氏に、米国の最新IT 動向について伺いました。

佐藤 純(さとう・じゅん)氏プロフィール
1995 年電気通信大学大学院電子工学研究科修了。同年三菱電機情報ネットワーク株式会社(MIND)入社。データ通信、音声通信、これらの統合サービスの設計・構築・運用を担当。2001年に米国Diamond Link,Inc.へネットワークエンジニアとして出向、VPNサービスやインターネットサービスの設計・構築・運用を担当。2005年に米国ITリサーチオフィスを立ち上げリサーチ業務を担当。2008 年MINDに復職後、クラウド等新サービスの企画・開発、ファイアウォールサービスの運営を担当。2012年に米国ITリサーチオフィスに事務所長として再度米国駐在。2016年1月から現職。

製品ホームページ:
http://www.mind.co.jp/service/security/managed/targeted_attack.html (新しいウインドウが開きます)

ベンチャー投資が活発な米国では
新技術・新ビジネスが続々登場

 米国カリフォルニア州・サンノゼにあるMIND ITリサーチオフィス(MIND IT Reserch Office)は、MINDの米国における調査拠点です。ここでは最新技術動向の調査とそれに基づくサービス提案や、新しい製品、ソリューションを日本に導入するためのビジネス開発などを行っています。また、ユーザー会などを通じて、米国の最新トレンドを日本のお客様にお届けするのも、ITリサーチオフィスの重要な役割のひとつです。
 佐藤氏はITリサーチオフィスの環境について、「シリコンバレーの中心都市であるサンノゼは、ITの大手企業やスタートアップがひしめいているため、最新のIT技術やビジネス動向を調査するのに適しています。カンファレンスなどで有望な新技術を見つけたときには、直接会ってより詳しい情報を入手するように心がけています」と語ります。
 現在、ITリサーチオフィスが重点的に調査している分野は、「クラウド」「セキュリティー」「モバイル」「IoT」の4つです。今回は、佐藤氏に日本のお客様のニーズが高い、クラウドとセキュリティーを中心に解説いただきました。

▲ ページトップに戻る

クラウド普及の障壁となる
セキュリティーに対する不安

 クラウド利用するうえで、多くのユーザーが懸念するのがセキュリティーです。コストやスケーラビリティー、開発スピードといったクラウドのメリットは理解していても、セキュリティーに対する不安から導入に二の足を踏んでいるユーザーも少なくありません。もちろん、クラウド利用の盛んな米国でもセキュリティーの確保は大きな課題のひとつになっています。
 佐藤氏は、クラウド普及の障壁として、以下のようなものがあると分析します。

  • 1. データセキュリティー:ハッキングや内部の不正行為により、データが改ざん・流出する懸念
  • 2. グローバルトラスト:政府機関が密かに民間の情報にアクセスすることに対する不安
  • 3. シャドーIT:会社が許可していないクラウドサービスを従業員が勝手に利用するリスク
  • 4. 攻撃ベクトルの増加:インターネット上に置かれているクラウドは、社内サーバーよりも攻撃の入り口が多くなる
  • 5. プロバイダービジビリティー:クラウド事業者が内部で何をやっているのか、ユーザーからは把握できない

 米国では、こうしたリスクや不安を低減し、クラウドの導入障壁を下げる製品やサービスが次々と登場しています。中でも、佐藤氏が注目しているのが「CASB(キャスビ:CloudAccess Security Broker)」「IDaaS(アイダース:IDentity as aService)」「次世代VPN(Virtual Private Network)」の3つです。

▲ ページトップに戻る

暗号化でデータを守り
シャドーITを監視するCASB

 CASBは、暗号化によってデータセキュリティーやグローバルセキュリティーの問題に対処したり、シャドーITの監視を行うシステムです。CASBでは、ユーザーとクラウドの中間にゲートウェイやプロキシサーバーを設置し、これを通過するときに、重要なデータを暗号化したり、クラウドへの保存を制限します。
 クラウドサービスには、暗号化機能を提供しているものもあり、CASBでもいったんデータをクラウドに保存してから暗号化する場合もあります。ここでのポイントは、暗号化に使う鍵をユーザー側で管理するところです。
 「クラウドサービス側で提供する暗号化機能は、基本的にサービス事業者が暗号鍵を管理しています。CASBでは第三者の鍵を使って暗号化し、その鍵をユーザー自身が管理することによって、外部の攻撃者はもちろん、クラウド事業者もデータの中身を見ることができなくなります」(佐藤氏)
 クラウドへの保存制限では、例えば大量のクレジットカードの情報が、保存されないようにするといった制限を設けることで安全性を高めます。
 CASBを提供する会社は、佐藤氏が把握しているだけでもすでに20社ほどあるそうです。
 「CASBは、利用できるクラウドサービスが決っていますから、対応しているサービスの多様性がどれだけあるかが、ひとつの評価軸になると思います」
 また、CASBにはシャドーITの監視機能もあります。プロキシサーバーやゲートウェイのログを分析して、どのクラウドサービスにどんなデータが流れているのかを可視化できます。この分析や可視化の際には、世界中のクラウドサービスを定量的に評価したデータベースが使われます。評価には、CSA(クラウドセキュリティーアライアンス)の定義した評価指標を用います。
 「CASBの事業者は1万数千社ものクラウドを分析して、クラウドサービスごとのリスクをデータベース化しています。このデータベースをもとに、例えば、危険なクラウドにどれだけデータが流れたかなどが可視化できます。リスク管理の手法としてCASBは優れたものだと思います。シャドーITには、野放しにすればセキュリティーリスクが高まり、完全に禁止してしまうと生産性が下がってしまうというジレンマがありますが、CASBのシャドーIT監視機能は、その間をうまく制御する仕組みとして注目されています」(佐藤氏)

▲ ページトップに戻る

利便性とセキュリティーを
両立するIDaaS

 複数のサービスを利用している企業では、大量のアカウントの管理が課題となります。ユーザーは、多くのIDとパスワードを覚えなければならないため、簡単なパスワードを使ってしまうなどのリスクが生じます。こうした問題を解決するのがIDaaSです。
 これは、認証を集約できるサービスで、IDaaSで一度認証するだけで、複数のSaaSにアクセスできます。ユーザーがIDaaSで認証を行うと、IDaaSのポータル画面が開きます。あとはそこから利用したいSaaSを選択するだけですぐに業務を行うことができます。シングルサインオンで様々なサービスを利用できるため、ユーザーの利便性は大きく向上します。また、覚えるパスワードがひとつで済むので、より強固なパスワードを設定しやすくなります。社内のActive Directoryとの連携も可能で、Active Directoryのアカウント情報を参照してIDaaSの認証を行うことができます。この場合、社員属性によってポータルに表示されるメニューを変えるような制御も可能です。
 また、モバイルからのアクセスなど、よりセキュリティーを重視したい場合には、IDaaSのログイン時にスマートフォンにワンタイムパスワードを送信するなどの二要素認証が利用できます。
 「IDaaSでは、社内にいる時にはできるだけ認証を簡単にし、いったん社外にでたら、リスクに対応して認証のレベルを上げることができます。セキュリティーと利便性のバランスが上手くとれるサービスだと思います」(佐藤氏)

▲ ページトップに戻る

サーバーの"ステルス化"を
実現する次世代VPN

 サーバーへの攻撃ベクトルを減らす強力な手法として注目されているのが、佐藤氏が『次世代VPN』と呼ぶシステムです。
 企業の公式サイトのような公開サーバーは、できるだけ多くの人に見てもらうことが大切ですが、もともとオンプレミスサーバーにあったような社内業務用のサーバーは、むしろ秘匿性が高い方が望まれます。しかし、インターネット上に設置すれば、公開サーバーと同様に多くの攻撃を受ける可能性があります。
 現在、米国では攻撃ベクトルを減らす仕組みがいくつか提案されており、そのなかで有望なのが、クラウドセキュリティーアライアンスが提唱している、SDP(Software DefinedPerimeter)です。SDPは、簡単に言えばVPNによるセキュアな接続を、さらに安全にしたものです。
 サーバーに安全に接続するためにはVPNがよく使われますが、VPNのゲートウェイはインターネット上に公開されているため、攻撃を受ける危険性があります。SDPでは「コントローラー」と呼ばれる認証用のサーバーを別途用意して、ここで認証したユーザーだけにVPNゲートウェイの場所を教えます。同時にVPNゲートウェイに対しても、接続するユーザーの情報を伝えます。その後、VPNの認証を行って初めてユーザーとサーバーが繋がります。ユーザーは認証が通るまでサーバーがどこにあるか分かりません。これは攻撃者にとっても同じです。つまりサーバーの"ステルス化"が可能になるわけです。
 コントローラーの認証では、サーバーだけでなくユーザー側も証明書を使い、より高いセキュリティーを実現します。また、コントローラーはSPA(Single Packet Authorization)という方式を使って非認証端末からのアクセスを門前払いにできるため、通常のサーバーやゲートウェイよりもはるかに堅牢になります。
 「本格的なSDPは非常に安全性が高い反面、かなり大掛かりな実装が必要です。最近はクラウドベースでほぼ同等の機能を実現するサービスも登場してきています」(佐藤氏)

▲ ページトップに戻る

様々な技術を組み合わせて
より安全な環境を提供

 日本に戻った現在は、セキュアアクセスサービス部でリモートアクセスやVPNなどを担当している佐藤氏。今後は、こうした最新の技術をMIND独自のセキュリティー技術と組み合わせることで、より安全な環境を提供したいと考えています。
 「例えば、IDaaSと次世代VPNを組み合わせて、MINDのクラウドで一度認証すれば、シングルサインオンでSaaSでもIaaSでもオンプレミスでも使えるようなサービスが考えられます。そこにMINDが提供しているマトリックス認証「SECUREMATRIX」を加えれば、さらに安全で使い勝手のよいシステムになります。より高い安全性を求める場合には、CASBも併用するなど、お客様それぞれのニーズに合わせたサービスをご提供できればと思います」

▲ ページトップに戻る

CASB

CASBは、ユーザー側の鍵でクラウド上のデータを暗号化して安全性を高める。
また、シャドーITの利用状況を可視化して接続を制御できる

CASB

IDaaS

IDaaSを使えば、1ヵ所で認証するだけで複数のクラウドサービスが利用できる
IDaaS

次世代VPN

次世代VPN では、コントローラーで認証したユーザーにだけサーバーへの
VPN 経路が開くので、極めて攻撃しにくい

次世代VPN

出典:Cloud Security Alliance
https://downloads.cloudsecurityalliance.org/initiatives/sdp/SDP_Specification_1.0.pdf

利便性とセキュリティーを両立させたサービスのイメージ

CASB、IDaaS、次世代VPN を組み合わせることで、利便性と
セキュリティーを両立させたサービスの提供が可能になる

利便性とセキュリティーを両立させたサービスのイメージ

▲ ページトップに戻る

Column : モバイル、IoT の最新動向
グループウエアの情報を
スマートウォッチで素早くチェック

 モバイルの動向としては、企業でのスマートウォッチの活用があります。例えば、社内のグループウエアサーバーに安全にアクセスして、スマートウォッチ上でメールやカレンダーの情報がすぐに見られる製品があります。
 「パソコンやスマートフォンと異なり、ウェアラブルデバイスは、身に着けた時に認証すれば、あとは認証なしですぐに使えるので、素早く情報を確認したい時に便利です。ただし、ウェアラブルデバイスはBYOD(Bring Your Own Device)になる可能性が高くなりますので、企業の管理者は、業務などに応じてセキュリティーと利便性のバランスをしっかり考えなければならないと思います」(佐藤氏)

IoT分野では
センシングとデータ転送技術が進化

 IoT分野ではセンシングとデータ転送の技術が大きく進化しています。例えば、従来は人手によって行っていた人や車の流れの調査が、カメラ画像の自動分析によって、低コストに24時間、正確に行えるようになっています。すでに自治体の渋滞緩和や店舗の来客分析などに使われています。
 また、独り暮らしの高齢者の見守り技術として注目されているのが、無線による人体センシングです。これは、WiFiよりも微弱な電波の反射を捉えることで、室内にいる人の位置や姿勢を検出できる技術です。これを使うと、例えば一人暮らしの高齢者が倒れたことを見つけることが可能になります。さらに、呼吸や拍動を捉えることにも成功しています。ユーザーが特別なデバイスを身に着けなくても見守りが可能なことから、今後の開発に大きな期待が集まっています。
 IoTの利用エリアを大きく拡げる技術として期待されているのが「LPWAN(Low Power WAN)」です。これは、非常に少ない消費電力で、長距離の無線データ通信を可能にする通信方式です。LPWANを使ったIoTデバイスは電池で数年間動作します。従来のIoTデバイスは、電源や通信回線のあるところでしか使えず、長距離のデータ転送には大きなコストがかかりましたが、LPWANにより、広い農場などでIoTによるセンサー網を拡げるといったことが可能になります。「これらの要素技術はとても応用範囲が広いので、今後、スマートシティーやスマートホームなどの分野で、様々なアプリケーションが登場すると予想しています」(佐藤氏)

高齢者の見守り技術

マサチューセッツ工科大学が開発したEmeraldという技術は、無線の反射波を使ってワイヤレスで高齢者の見守りが可能
高齢者の見守り技術

出典:Massachusetts Institute of Technology,http://witrack.csail.mit.edu/を参考に作図しています。

▲ ページトップに戻る