SubGateによるランサムウェア対策｜内部拡散を防ぐセキュリティスイッチの仕組みと効果

ランサムウェア攻撃が巧妙化する中、ファイアウォールなどの境界防御だけでは侵入を完全に防ぐことは極めて困難になっています。そのため、万が一の侵入を前提とし、被害を内部で拡大させない「内部対策」の重要性が高まっています。この記事では、ランサムウェアの内部拡散（横展開）防止に特化したセキュリティスイッチ「SubGate」が、どのように脅威を検知・遮断するのか、その仕組みや具体的な導入メリットを詳しく解説します。

セキュリティスイッチ「SubGate」とは

ネットワーク内部の脅威拡散を防ぐ「最後の砦」としての役割

企業の情報セキュリティは、従来、外部からの攻撃を防ぐ「境界防御」が中心でした。しかし、攻撃の巧妙化により侵入を100%防ぐことは困難であり、侵入後の被害を最小限に抑える「内部対策」の重要性が増しています。セキュリティスイッチ「SubGate（サブゲート）」は、この内部対策を担うアプライアンス製品です。

SubGateは、PCやサーバーなどが直接接続されるアクセス層に設置されるL2スイッチに、高度なセキュリティエンジンを搭載したものです。スイッチとしての基本機能に加え、通過する通信をリアルタイムで監視し、マルウェアの感染拡大（横展開）や内部からの不正な通信を検知・遮断します。

この製品が「最後の砦」と呼ばれるのは、脅威に最も近い物理的な接続点で防御できるためです。ファイアウォールをすり抜けた脅威や、内部に持ち込まれたウイルスに対し、SubGateは感染端末からの有害な通信のみを自動で遮断。業務全体を止めることなく脅威を封じ込め、事業継続性を確保する重要な役割を果たします。

従来の対策（UTM・ウイルス対策ソフト）との役割の違い

情報セキュリティは、複数の対策を組み合わせる「多層防御」が基本です。SubGateは、UTMやウイルス対策ソフトといった既存の対策と競合するのではなく、それぞれの弱点を補完し合う関係にあります。

UTMやファイアウォールは、社内とインターネットの境界で機能する「出入口対策」であり、外部からの脅威を防ぎます。しかし、一度内部に侵入した脅威が端末から端末へ広がる「East-Westトラフィック（水平方向の通信）」の監視は不得意です。一方、ウイルス対策ソフトは個々の端末を守る「エンドポイント対策」ですが、ソフトを導入できない機器（複合機や工場設備など）は保護できず、未知のウイルスへの対応も遅れがちです。

SubGateは、これらの対策の隙間を埋めます。ネットワークの内部に設置され、UTMが監視できない端末間の通信を直接監視。さらに、端末にソフトを導入しないエージェントレスのため、接続される機器の種類を問わず保護できます。また、ウイルスの定義ファイルに依存しない「振る舞い検知」により、未知の脅威にも有効です。これら3つの対策を組み合わせることで、強固なセキュリティ体制が完成します。

なぜSubGateがランサムウェアの内部拡散（横展開）防止に有効なのか

巧妙化するサイバー攻撃と「内部拡散」のリスク

近年、企業の事業継続を脅かす最大のサイバー攻撃がランサムウェアです。ランサムウェアは、データを暗号化して身代金を要求するだけでなく、ネットワーク内部で他のPCやサーバーへと感染を広げる「ラテラルムーブメント（横展開）」を行います。この内部拡散こそが、被害を爆発的に増大させる元凶です。

たった1台のPCが感染しただけでも、そこを足がかりに基幹サーバーやバックアップデータまで被害が及び、組織全体の機能が停止する事態に陥ります。テレワークの普及でVPN機器の脆弱性を狙った侵入も増え、侵入を完全に防ぐことは極めて困難です。このため、侵入後の「拡散」をいかに食い止めるかが、事業継続における最重要課題となっています。SubGateは、この内部拡散の段階で発生する特有の通信を捉え、被害の連鎖を断ち切るために設計されています。

端末間の通信を直接監視し、水平感染（横展開）を阻止する仕組み

SubGateがランサムウェアの水平感染を防げる理由は、その設置場所と独自の検知技術にあります。SubGateは端末が接続されるL2スイッチそのものであるため、すべての通信は最初にSubGateを通過します。これにより、ネットワーク内部の通信を最も低いレイヤーで直接監視できます。

ランサムウェアが感染を広げる際には、まずネットワーク上の他の脆弱な端末を探すための「スキャン（探索）」行為を行います。SubGateに搭載されたセキュリティエンジン「MDSエンジン」は、このような短時間での大量アクセスといった通信の「振る舞い」をリアルタイムで分析します。

そして、スキャン行為のような攻撃性の高い通信を「有害トラフィック」として検知すると、そのパケットのみを選択的に破棄します。これにより、攻撃が他の端末に到達するのを物理的な接続点でブロックし、水平感染のルートを遮断します。これは、ソフトウェアでは防ぎきれない、ネットワークインフラレベルでの強力な防御壁となります。

感染端末を自動で検知・遮断し被害を局所化するプロセス

SubGateの大きな特徴は、脅威への対応が完全に自動化されている点です。これにより、IT管理者が不在の夜間や休日でも、ネットワークは自律的に保護されます。

具体的なプロセスは以下の通りです。このプロセスにより、被害は感染した端末のみに局所化され、組織全体への波及を防ぎます。管理者は事後報告を受け、原因となった端末を特定して対処するだけで済むため、事業継続計画（BCP）の観点からも非常に有効です。

自動遮断による業務影響は？誤検知への考え方

セキュリティ製品導入時の懸念点として、正常な通信まで止めてしまい業務に支障が出る「誤検知」があります。SubGateは、業務影響を最小限に抑える「選別遮断」技術を採用しています。

異常を検知した際、SubGateはその端末が接続されたポート自体を停止させるわけではありません。ポートを止めてしまうと、その端末は一切通信できなくなり業務が完全に停止します。そうではなく、SubGateは「有害と判断されたパケット」のみをフィルタリングで除去し、それ以外のメールやWeb閲覧などの正常な業務通信は通過させるように設計されています。

これにより、バックグラウンドでマルウェアが活動していても、ユーザーは業務を継続できる場合があります。MDSエンジンは通信内容を詳細に分析し、攻撃の特徴を持つ通信だけをピンポイントで止めるため、誤検知のリスクは極めて低く設計されています。また、攻撃性の通信が止まると遮断も自動で解除されるため、管理者の手作業による復旧は不要です。

SubGateの主要なセキュリティ機能

有害トラフィック検知・遮断機能（MDSエンジン）

SubGateの心臓部である「MDS（Multi Dimension Security）エンジン」は、独自開発されたハードウェアベースのセキュリティエンジンです。これにより、スイッチの通信速度を落とすことなく、すべてのトラフィックをリアルタイムに分析します。

一般的なウイルス対策ソフトがウイルスの特徴を記録した「定義ファイル（シグネチャ）」と照合するのに対し、MDSエンジンは通信の「振る舞い」に着目します。この振る舞い検知方式により、定義ファイルが不要なため、未知のマルウェアによるゼロデイ攻撃にも有効に対処できます。有害と判断したパケットのみを選別して遮断するため、ネットワークの遅延や業務停止を招くことなく、高度なセキュリティを実現します。

ARPスプーフィング（なりすまし）の防止機能

SubGateは、ネットワーク内部の深刻な脅威である「ARPスプーフィング」攻撃を防止します。これは、攻撃者が「自分がルーターだ」などと偽の情報を流し、他の端末の通信を盗聴・改ざんする「中間者攻撃」の一種です。

この攻撃を受けると、ID・パスワードや機密情報が窃取される危険性があります。攻撃者が通信を正規の宛先に転送した場合、ユーザーは被害に気づかないまま情報を盗まれ続けてしまいます。SubGateは、こうした偽のARP情報をリアルタイムで検知・遮断し、社内ネットワークでのなりすましを防ぎ、情報の機密性を保護します。

DoS/DDoS攻撃からのネットワーク保護

DoS/DDoS攻撃は、大量のデータを送りつけてサーバー等を過負荷にし、サービスを停止させる攻撃です。外部からの攻撃だけでなく、マルウェアに感染した社内PCが、意図せず攻撃の踏み台（ボット）となってしまうケースも少なくありません。

社内から攻撃が発生すると、業務システムが停止するだけでなく、取引先などを攻撃してしまった場合は企業の信用問題に発展します。SubGateは、特定の端末から発信される異常な量のパケットや不正なフラッド攻撃を瞬時に検知・遮断します。これにより、ネットワーク全体の帯域を保護し、安定した稼働を維持します。

統合管理ツールによるネットワークの可視化と制御

SubGateの運用は、無償の統合管理ソフトウェア「VNM（Visual Node Manager）」やクラウド管理サービス「SG Cloud」によってサポートされます。これらのツールは、ネットワークの状態を視覚的に把握し、効率的な管理を実現します。

管理者は、ネットワーク全体のマップ上でどこに異常が発生しているかをリアルタイムで確認でき、脅威検知時にはメールで通知を受け取れます。ログから攻撃元や攻撃内容を追跡し、迅速なインシデント対応が可能です。また、SG Cloudを利用すれば、インターネット経由で複数拠点のSubGateを一元管理でき、専任のIT担当者がいない拠点でも低コストで安全な運用を実現します。

SubGateの製品ラインナップ

有線LAN環境向けの「SubGate」シリーズ

SubGateの主力である有線LANスイッチは、ネットワークの規模や用途に応じて多彩なラインナップが用意されています。これにより、小規模オフィスから大規模なネットワークまで、最適なモデルを選択できます。

無線LAN環境に対応する「SubGate AP」シリーズ

現代のオフィスでは無線LAN（Wi-Fi）の利用が不可欠であり、そのセキュリティ対策も重要です。SubGateは、セキュリティ機能を内蔵した無線アクセスポイント「SubGate AP」シリーズも提供しています。

SubGate APは、有線スイッチと同様にMDSエンジンを搭載しており、Wi-Fiに接続された端末同士の通信も監視します。これにより、無線経由でのマルウェア拡散や不正通信も検知・遮断できます。最新規格であるWi-Fi 6（IEEE 802.11ax）に対応したモデルもあり、高速で安定した無線環境と高度なセキュリティを両立させることが可能です。有線モデルと同様に統合管理ツールで一元管理でき、有線・無線を問わず統一されたポリシーでネットワークを保護します。

自社のネットワーク規模に応じたモデル選定の目安

SubGateのモデル選定は、主に接続する端末台数と必要な通信速度に基づいて行います。また、IP電話やネットワークカメラなどへの給電が必要な場合は、PoE（Power over Ethernet）対応モデルの選択が必須となります。

SubGateを導入する具体的なメリット

既存のネットワーク構成への影響を最小限に導入可能

新しいセキュリティ製品の導入は、ネットワーク構成の大幅な変更や複雑な設定作業が障壁となりがちです。しかし、SubGateの導入は非常にシンプルです。

SubGateは、現在使用しているL2スイッチやハブと物理的に入れ替えるだけで設置が完了します。既存のIPアドレス体系やルーターの設定などを変更する必要はほとんどありません。この手軽さにより、導入時のネットワーク停止時間を最小限に抑えることができ、専任のネットワーク技術者がいない中小企業でも安心して導入を進められます。

エージェントレスで端末側の運用負荷がない

多くのエンドポイントセキュリティ製品は、保護対象の端末すべてにソフトウェア（エージェント）を導入し、常に最新の状態に保つ必要があります。しかし、SubGateはネットワーク機器側で通信を監視する「エージェントレス」方式のため、端末側へのソフトウェア導入は一切不要です。

これにより、IT管理者は端末ごとのOSバージョン管理やアップデート作業から解放され、運用負荷が大幅に軽減されます。また、ソフトをインストールできない機器も保護の対象となり、ユーザーのPCパフォーマンスにも影響を与えません。

専門知識がなくても直感的に運用できる管理画面

高度なセキュリティ機器は専門的な知識が求められることが多いですが、SubGateは専任担当者がいない組織でも運用できるよう、直感的な管理ツールを提供しています。

無償の「VNM」やクラウドの「SG Cloud」は、グラフィカルな画面（GUI）を採用しており、ネットワークの状態が一目でわかります。異常が発生したポートは色で表示されるなど、視覚的に状況を把握できます。脅威の検知から遮断、解除までが自動化されているため、常時監視は不要です。異常発生時にはメールで通知が届くため、必要な時だけ状況を確認するという効率的な運用が可能です。

コストを抑えつつ内部ネットワークのセキュリティを強化

SubGateは、コストパフォーマンスにも優れています。ネットワークインフラとして必須である「スイッチ」を置き換える形で導入できるため、インフラ投資とセキュリティ投資を兼ねることができます。専用のセキュリティ機器を追加導入するよりも総所有コスト（TCO）を抑えられるケースが多くあります。

また、MDSエンジンは振る舞い検知方式のため、アンチウイルスソフトのような毎年のパターンファイル更新料は発生しません。これにより、ランニングコストを低く抑えることが可能です。限られた予算の中で実効性の高い内部対策を講じたい企業にとって、SubGateは非常に合理的な選択肢となります。

企業・団体における導入事例

製造業：工場ネットワークのセキュリティ強化事例

製造業の工場では、サポートが終了した古いOS（Windows XPなど）で稼働する生産設備が多く、ウイルス対策ソフトを導入できないという課題がありました。これにより、ウイルス感染による生産ライン停止のリスクを抱えていました。

教育機関：学生や教職員が利用するネットワークの保護事例

大学などの教育機関では、学生が個人のPCを持ち込むBYOD環境が一般的ですが、端末のセキュリティ対策は不十分な場合が多く、ウイルスを学内ネットワークに持ち込むリスクがありました。

中小企業：低コストで実現する内部情報漏えい対策事例

専任のIT担当者がいない中小企業では、UTMのみで対策を終えているケースが多く、標的型攻撃による内部侵入や、内部からの情報漏えいリスクが課題となっていました。

SubGateに関するよくある質問

SubGateの価格帯や料金体系を教えてください。

SubGateの価格は販売代理店によって異なる「オープン価格」ですが、目安として小規模向けの8ポートモデルでおおむね数十万円台から導入可能です。価格にはハードウェア本体に加え、複数年間の保守サポートが含まれていることが一般的です。

一般的なL2スイッチよりは高価ですが、専用のセキュリティ機器を別途導入するよりもトータルコストを抑えられる場合が多く、コストパフォーマンスに優れています。

UTMやウイルス対策ソフトがあってもSubGateは必要ですか？

はい、必要です。それぞれのセキュリティ対策は守備範囲が異なり、「多層防御」の観点から組み合わせることが不可欠です。UTMやウイルス対策ソフトだけでは、内部に侵入した脅威がネットワーク内で感染を広げる「横展開」を防ぐことは困難です。

SubGateは、他の対策ではカバーできない「内部での感染拡大」を防ぐための「最後の砦」として機能します。

導入や設定は専門知識がなくても可能ですか？

はい、可能です。SubGateは、専門的なネットワーク知識がない担当者でも容易に導入・運用できるように設計されています。

導入は、多くの場合、既存のスイッチと物理的に交換するだけで完了します。運用も、脅威の検知から遮断までが自動で行われるため、常時監視する必要はありません。管理画面も直感的なGUIを採用しており、誰でも簡単にネットワークの状態を把握できます。導入や設定に不安がある場合でも、販売パートナーによるサポートサービスを利用することで、安心して運用を開始できます。

まとめ：SubGateは侵入後の被害を最小化する「最後の砦」

本記事では、セキュリティスイッチ「SubGate」がランサムウェアの内部拡散防止に有効な理由とその仕組みを解説しました。SubGateは、UTMやウイルス対策ソフトではカバーしきれない端末間の通信を直接監視し、脅威の横展開を自動で遮断する「最後の砦」としての役割を担います。定義ファイルに依存しない振る舞い検知により未知の脅威にも対応でき、エージェントレスで導入・運用が容易な点も大きなメリットです。既存のスイッチと置き換えるだけで導入できるため、コストを抑えつつ実効性の高い内部対策を実現できます。自社の事業継続性を高めるため、侵入後の被害を局所化する具体的な一手として、SubGateの導入を検討してみてはいかがでしょうか。

Baseconnect株式会社
サイト運営会社

本メディアは、「企業が経営リスクを正しく知り、素早く動けるように」という想いから、Baseconnect株式会社が運営しています。当社は、企業取引や与信管理における“潜在的な経営リスクの兆候”を早期に察知・通知するサービス「Riskdog」も展開し、経営判断を支える情報インフラの提供を目指しています。

運営会社情報ページへ