PhishWall利用サポート
法人向け製品サポート
パートナー様向けログイン
PhishWall利用お問い合わせ(一般の方)
お問い合わせフォーム

営業時間:月~金曜日
9:00-12:00 13:00-18:00
※土日祝祭日・年末年始(12/29~1/4)を除く
製品に関する問い合わせ(法人の方)
お問い合わせフォーム

営業時間:月~金曜日
9:00-12:00 13:00-18:00
※土日祝祭日・年末年始(12/29~1/4)を除く
※ 新型コロナウィルス対策によりテレワークを推進しております。お急ぎでなければ、お問い合わせフォームからのご連絡をお願い致します。
製品購入及びその他お問い合わせ
お問い合わせフォーム

営業時間:月~金曜日
9:00-12:00 13:00-18:00
※土日祝祭日・年末年始(12/29~1/4)を除く

ローカルブレイクアウトを放置していませんか?

2022年12月13日 / ブログ

ローカルブレイクアウトを放置していませんか?

皆さんはローカルブレイクアウトをご存知でしょうか。

現代ネットワークの課題である通信遅延を解消できる技術である「ローカルブレイクアウト(インターネットブレイクアウト)」

2020年に感染症が流行り始めると共に働き方のひとつとして、テレワークを導入する会社も増え、それに伴い多くの会社が取り入れていれ始めた技術だと思いますが、ここにもセキュリティの脅威は存在しています。

今回は「ローカルブレイクアウト」のセキュリティリスクについてご紹介したいと思います。

1.ローカルブレイクアウトとは

LBO(Local Break Out)とは、特定のクラウドサービス向けの通信は、自社やデータセンターインターネットアクセスポイント(Gateway)使わず、各拠点(自宅を含む)から直接アクセスするネットワーク構成になります。各拠点に置いたルーターなどで通信内容を識別し、あらかじめ登録されたクラウドサービスであればインターネット回線、そうでなければクローズドVPN回線などとトラフィックを振り分けることで実現します。

一般的な自社やデータセンターにインターネットアクセスポイントを構築し、各拠点からのインターネット向けのトラフィックをすべて集約する構成では、一元的にセキュリティ対策が行えるほか、トラフィックの監視も行いやすいなどのメリットがあります。

ただトラフィックが増大すると、拠点と自社やデータセンターを接続するネットワーク、そしてデータセンターに接続されたインターネット回線の双方で帯域不足に陥る可能性があります。また、これに対処するために帯域幅を拡張すればコスト負担が増大します。

こうした課題に対処するための方法がLBOで、特定のクラウドサービスに限って拠点から直接アクセスさせることにより、安全性を確保しつつネットワークの負担を軽減することができます。

テレワークセキュリティガイドライン

引用:総務省 テレワークセキュリティガイドライン (第5版)(案)

2.ローカルブレイクアウトのセキュリティリスクとは

LBO構成では、先述の通り、予め許可された通信は、直接インターネットにアクセスします。そうでない通信については、VPN(バーチャルプライベートネットワーク)経由となります。 自社やデータセンターなどのインターネットアクセスポイントを経由する場合は、URL/DNSフィルターや、IPS/IDS、サンドボックスや、FireWall、DNSセキュリティ、プロキシなど、セキュリティ機器を通じて、インターネットにアクセスするため、セキュリティが担保できます。 しかし先程話したように、LBOは特定のアプリケーションはVPNを必要とせず、通常のインターネットを経由します。例えば「Googleドライブ」や「AWS」「SaaS」がこのアプリケーションに当てはまります。VPNを必要としないということは、個人のPCからでもアクセスは可能ということにもなります。

ここに「ローカルブレイクアウト」のリスクが存在します。

許可されたクラウドサービスに関しては、セキュリティ対策が講じられていないインターネットアクセスポイント(Gateway)を経由することになります。そのため、自社やデータセンターに設置されているようなセキュリティ機器を通過しないため、不正サイトへのアクセスや、ウィルス等に感染したファイルのアップロードしてしまうなど、セキュリティインシデントが発生する可能性が高くなります。

3.ローカルブレイクアウトのリスクセキュリティ対策

リモートワークという選択肢が増えている現代社会において、「ローカルブレイクアウト」という技術は必要不可欠と言えます。

以下、「総務省 テレワークセキュリティガイドライン(第5版)(案)」から引用。

「インターネット宛の通信のみをローカルブレイクアウトすると、オフィスネットワークで実施しているセキュリティゲートウェイ機能を介さず接続することになるため、マルウェア感染や許可していないクラウドサービスの利用(攻撃者が情報の持ち出しに利用するC&Cサイト等を含む。)について統制が難しいという課題があります。そこで、クラウド環境に置かれたプロキシサービス等を経由して使用する等、オフィスネットワーク内と同等のセキュリティ統制をかけることが望ましいです。」

自社及びデータセンター「同様のセキュリティ統制をかけることが望ましい」とはいえ、具体的に、どのような対策を行えばいいのか、セキュアブレインでは「Cisco Umbrella(シスコ アンブレラ)」というセキュリティサービスを販売しています。

Cisco Umbrellaは、DNS(Domain Name System)が行う「名前解決」の仕組みを利用したクラウドセキュリティサービスです。ハードウェアの導入は不要で、DHCPサーバやルーター、ファイアウォールのDNS設定を変更するたけで導入できます。

本社、拠点などの場所、移動中、VPN の ON/OFF を問わず、あらゆるユーザ、そしてデバイスを保護できる、最も簡単かつ迅速に導入可能なクラウドセキュリティです。対策を検討されている方はご相談ください。

seal

製品&サービス

金融犯罪対策ソリューション

PhishWall(フィッシュウォール)
SecureBrain Scam Radar BD

WEBセキュリティ

GRED (グレッド) Web改ざんチェックCloud
GRED (グレッド) Webセキュリティ診断Cloud
セキュリティ診断サービス

エンドポイント・ネットセキュリティ

Cisco Secure Endpoint (旧名称:Cisco AMP)
エンドポイント監視サービス
Cisco Umbllera (シスコアンブレラ)
サイバー攻撃監査サービス

その他

SDK
企業漏えい情報調査サービス
マルウェア解析技術者養成コース

マルウェア解析サービス

会社情報

会社情報
対外活動・研究発表

個人情報保護について

サイト利用規約

ニュース

セキュリティブログ

お問い合わせ

製品購入に関してのお問い合わせ
カタログダウンロード

PhishWall利用サポート

法⼈向け製品サポート

seal
© Hitachi Systems, Ltd. 2024. All rights reserved.