株式会社産経デジタル

国内有数のニュースメディアを運営する産経デジタル

　「産経新聞」、「サンケイスポーツ」、「夕刊フジ」など、産経新聞社のニュースメディアやライフスタイルメディアの公式サイトを運営する産経デジタル。これらニュースサイトの総アクセス数は、国内マスコミの中で最大規模を誇っている。また、ニュースコンテンツに依存するビジネスモデルのみならず、ECサイトの運営やeSportsビジネスのサポート、配信ビジネス、イベントの運営など、産経新聞社のデジタル事業を担う多様なサービスを展開している。

　テレワークやクラウド環境の弱点を突いた巧妙なサイバー攻撃が拡大し、世界中で被害が発生する昨今、産経デジタルではセキュリティを重要な経営施策と捉える。もし不正アクセスを受けて記事が盗用・改ざんされたり、ランサムウェアによってサイトやシステムが人質に取られたり、フィッシングメール送信の踏み台にされてしまったりした場合、その被害がおよぶ範囲は計り知れず、メディアとしての信用を失墜してしまうことにもなりかねないからだ。

　情報システム部 部長 杉山 佳三氏は、「影響範囲は被害に遭ったサイトだけに止まらず、産経新聞グループ全体にもおよびます」と説明。インターネットメディアの最前線でビジネスを展開する同社は、常に標的として矢面に立つ存在であり、サイバー攻撃による被害を受けた場合の影響の範囲とインパクトが大きく、先進的かつ高度なセキュリティ対策が必要となる。

　そのため、産経デジタルでは高度化かつ複雑化しているサイバー攻撃の状況を踏まえ、ゼロトラスト・セキュリティへの取り組みを加速。入口対策としてアカマイのEnterprise Application Access（EAA）を、出口対策としてEnterprise Threat Protector（ETP）を導入した。

アイデンティティー認識型プロキシ（IAP）によって脱VPNを実現

　産経デジタルでは従来、夜間休日に出社することなく記事の編集作業を行ったり、システム管理者がサーバーなどのメンテナンスをリモートで行ったりするためにVPN機器を導入してリモートアクセス環境を運用してきた。しかし、新型コロナウイルス感染拡大防止対策の一環として全社的にテレワークの利用を推し進めることとなり、これまでのリモートアクセス環境に限界を感じ、見直しを図ることを決断した。

　たとえば、テレワークの利用が拡大して通信量が既存のVPN機器のキャパシティを超えてしまった場合、パフォーマンスの低下や通信の遮断といった問題が発生し、業務に支障が出ることが懸念された。その場合、VPN機器の増強や冗長性の確保が必要となるが、将来的な利用拡大を想定して適正なキャパシティの機器を選択するのは容易なことではなく、定期的な見直しと更改に追われ、運用負荷やコストが増大することを懸念したという。

　加えて、従来のVPNによる境界型のセキュリティ対策では、巧妙化する標的型攻撃などに対抗することは難しい。アイデンティティー認識型プロキシ（IAP）の導入によって脱VPNを実現し、ゼロトラスト・セキュリティへとシフトすることで入口対策の強化と働きやすいテレワーク環境の実現を目指したという。そこで同社が導入を決めたIAPがアカマイのEAAだった。

　EAAでは社内およびクラウド上のアプリケーションへのアクセスに際し、認証と認可、セキュリティチェックを一元的に行うアクセス制御機能がクラウドサービスとして提供されるので、社内でも、テレワーク環境でもインターネットにアクセスできる環境があれば安全なアプリケーションへのアクセスを実現する。さらには、VPN機器の保守メンテナンスやキャパシティ管理が不要となり、通信量の増加による懸念からも解放されるメリットに注目したという。

　また、EAA Connectorを設置するだけで社内（オンプレミス）で運用するアプリケーションへのアクセス環境も管理できる点や、既存のActive Directory (AD)と連携してユーザー管理にかかる手間を省力化できた点なども導入の決め手となった。「EAAは、アカマイのグローバルなネットワーク環境で運用されているため、信頼性が高く、安心して利用できます」とWebソリューション部  仲嶋 杏奈氏は語った。

VPNからの段階的な移行で、導入の負荷と利用者の混乱を抑止

　産経デジタルではすでにEAAの本格利用を開始しており、現時点では従来のVPN環境から既に全社員の3～4割が移行済みだ。新入社員や途中入社など新規にPC端末を導入、もしくは入れ替えをするPC端末にはEAAを導入して配布している。PC端末の初期設定手順にEAAの設定を組み込めば作業を効率化でき、既存の端末環境との相性などによるトラブルなども防ぐことができるため、効率的な展開が行われている。

　実際、EAAの設定にかかる利用者への負担やトラブルはほとんどなく、PC環境の刷新と相まってリモートアクセス環境も変わるので、新しいリモートアクセス環境を受け入れてもらいやすい。また、時間の経過とともに既存VPN機器の利用者や通信量は減っていくので、機器のキャパシティや延命処置は不要となり、EAAへのスムーズな移行を実現できるという。

高度な脅威インテリジェンスにより出口対策を強化

　一方、これまで産経デジタルでは出口対策としてサンドボックスを中心に、プロキシサーバーへのブラックリスト設定などを組み合わせて対応してきた。しかし、運用にかかる作業負荷やコスト負担が大きいにも関わらず、悪質なサイトへのアクセスを完全に防ぐのは難しく、対策の見直しを迫られていた。

　そこで同社では、社内やテレワークを問わずアウトバウンドへの通信をすべてDNSセキュリティ機能を持つETP経由にすることで、ゼロデイ攻撃やマルウェアの感染、フィッシングなどに対する防御を強化すると同時に、メンテナンスがほとんど不要な運用の自動化も実現できると考えた。

　「ETPでは脅威インテリジェンスによって、危険なドメイン情報のデータベースが常に更新されます。私が社内DNSのフォワード先を変更するだけで設定は終わり、社員の端末には一切作業が発生しません。通信環境やシステムの設定変更、ブラックリスト情報の更新作業など、面倒かつ複雑な手間をかけなくても、全社員に対して悪質なWebサイトへのアクセスを遮断したり、マルウェアからPCを保護するなど、出口対策の強化につながります。さらには、DNSの仕組みを応用しているので、暗号化されているHTTPSでの通信であっても、その前段である名前解決の段階でフィルタリングの制御を行うことが可能です。復号化しないためパフォーマンスへの影響が少ない点も高く評価しました」と杉山氏はETP導入を決断した理由を挙げた。

　またETPは、世界中のサービス基盤から取得されたアカマイならではの情報と知見が集約されており、レピュテーション（脅威判定）の品質が高く、誤検知により正常なサイトへのアクセスが遮断されることもほとんどないという点も導入を後押しするポイントになったという。

Akamai Control Center（ACC）によりアカマイ製品群の統合管理を実現

　EAAおよびETPの導入後の成果に関して、杉山氏は大いに満足しているという。「EAAやETPに関しての不満などの声は一切届いていないことから概ね快適に利用できていると判断しています。特にリモートアクセス環境に関して、以前は接続が不安定だとか、通信できないという問い合わせが入ることがあったのですが、そのような声は今のところ上がってきてはおりません」と杉山氏は語った。

　また、産経デジタルではEAAおよびETPを導入する以前から、コンテンツ配信のためにアカマイのCDNを利用していた。今回、EAAおよびETPの導入によって、すべてのアカマイサービスをACCで統合管理できるようになり、システム管理者におけるメリットは大きいと評価している。

　サイバー攻撃は言うまでもなく日進月歩で進化しており、産経デジタルのようなインターネットの最前線で活動する企業だけでなく、業種や規模、業態を問わずサイバー攻撃が仕掛けられてくる。そのため、導入時に最適なセキュリティ環境を実現したとしても、突然、既存の対策をすり抜ける攻撃が広がったり、想定外の脅威が猛威を振るったりすることがあるため、常に最新動向の把握と新たな脅威に対する実践的な対応が求められる。しかし、日々のさまざまな業務に追われるシステム管理者にとって、最新動向を把握して、対策をリアルタイムで実施していくのは容易なことではない。

　最新動向への対応が自動で反映されるクラウドのメリットを最大限に活用し、ゼロトラスト・セキュリティを推進することが、企業の価値や信頼性を担保していく上で重要なポイントとなる。