SHOEISHA iD

※旧SEメンバーシップ会員の方は、同じ登録情報(メールアドレス&パスワード)でログインいただけます

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けに、EnterpriseZine Day、Security Online Day、DataTechという、3つのイベントを開催しております。それぞれ編集部独自の切り口で、業界トレンドや最新事例を網羅。最新の動向を知ることができる場として、好評を得ています。

直近開催のイベントはこちら!

Data Tech 2022

2022年12月8日(木)10:00~15:50

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けの講座「EnterpriseZine Academy」や、すべてのITパーソンに向けた「新エバンジェリスト養成講座」などの講座を企画しています。EnterpriseZine編集部ならではの切り口・企画・講師セレクトで、明日を担うIT人材の育成をミッションに展開しております。

お申し込み受付中!

What is「ゼロトラスト・セグメンテーション」──基礎から実践へ

病院、銀行、自治体などの事例から見る「ゼロトラスト・セグメンテーション」の効力、従来手法と何が異なる

第4回:ゼロトラスト・セグメンテーションの効果と有効性

 ここまでの連載全3回で、ゼロトラスト・セグメンテーションが求められる背景として深刻度が増す脅威の変化、ゼロトラスト・セグメンテーションの考え方と仕組み、サイバーレジリエンス実現への有効性を紹介してきた。今回は総括としてゼロトラスト・セグメンテーションの効果と有効性、ケーススタディを紹介する。

ゼロトラスト・セグメンテーションの効果

 現在、サイバー攻撃者の第一の目的は金銭である。そのため、機密情報などの高額なデータ資産を求めて企業に侵入し、情報を盗み、高値で売却する。このようなデータ資産の売買はサイバー攻撃者自身が行うほか、依頼主から受注してチームを組んでサイバー攻撃を行うケースもある。また、依頼主が国家組織の場合もあり、その際には潤沢な資金が用意されるため、海外の敵対勢力に対して高度な標的型攻撃を仕掛けることが多い。さらに最近では、侵入に成功した時点で攻撃を止め、その時点の状態を別の攻撃者に売り渡すケースもある。

 ランサムウェアはサイバー攻撃者にとって手軽に金銭やアクセス権が得られる攻撃の一般的な形態であり、金銭的利益を最大化できる手段。マルウェアメールは古くから使われている手法であるし、ランサムウェアはアンダーグラウンドの市場で提供されている「RaaS(Ransomware as a Service:サービスとしてのランサムウェア)」で安価に入手できる。何よりも、ランサムウェア感染による事業停止を避けたい企業は、データ資産の凍結を解除し、迅速に事業を再開するために“身代金”を支払いやすい傾向にあるため、サイバー攻撃者にとって大きな収入源だ

 こうしたサイバー攻撃者の“最終目的”であるビジネスクリティカルな情報への到達や、身代金を要求することを阻止できるのが「ゼロトラスト・セグメンテーション」である。企業ネットワークを細かくセグメント化し、セグメント間の通信を把握することで、ネットワーク全体を可視化し、リスクを未然に察知することができる。また、侵害されたセグメントは隔離されるため、攻撃者はネットワーク上でラテラルムーブメントを行うことができない。このセグメント化は、PC全域にわたり行うことができ、クラウドやネットワーク、データセンターにも適用可能だ。つまり、“ゼロトラスト”に基づいたセキュリティ対策をハイブリット環境上にも構築できる。調査レポート『Zero Trust Impact Report』(Enterprise Strategy Group、2022)では「組織の76%が過去2年間にランサムウェア攻撃を受けていた」という結果が報告されていることを考えると、この対策がいかに重要かわかる。

 また、ゼロトラスト・セグメンテーションは、セグメント間を越える通信に対してルールを適用できることも大きな特徴だ。これにより「すべてを信頼せず、都度検証を行う」というゼロトラストの考え方を、環境をまたいで適用することが可能となる。たとえば、エンドポイントから侵入したマルウェアは、企業ネットワーク内を水平移動(ラテラルムーブメント)していくが、PCからPCにアクセスすることはほとんどない。そのため、そのようなアクセスをポリシーで禁止することで、ラテラルムーブメントを自動的に遮断し、侵害がネットワーク全体に広がるのを防ぐことができる。企業にとっては侵害されるリスクを低減でき、レジリエンスを高めることにつながるのだ。

 以前のセグメンテーションでは、ファイアウォールやNAC(Network Access Control:ネットワークアクセス制御)製品を使用してセグメント化を行っていた。そのため設計や構築に多くの時間が必要であり、コストも大きなものになってしまう。一方でゼロトラスト・セグメンテーションでは環境をまたいでポリシーを設定することができるため、管理コンソールから一括管理が可能だ。導入や管理が容易で、ゼロトラスト・セキュリティを構築できることも大きな魅力と言えるだろう。

次のページ
ゼロトラスト・セグメンテーションの導入事例

この記事は参考になりましたか?

  • Facebook
  • Twitter
  • Pocket
  • note
What is「ゼロトラスト・セグメンテーション」──基礎から実践へ連載記事一覧

もっと読む

この記事の著者

嘉規 邦伸(カキ クニノブ)

イルミオ ジャパン 代表執行役員社長
日本のIT業界を熟知し、チャネルパートナーやアライアンスパートナーとの強固な連携を通じて、長年にわたり顧客に価値を提供。現職以前は、アクロニス・ジャパンの代表取締役やBox、F5 Networks、McAfee、Ericssonの日本法人でセールスおよびチャネルパート...

※プロフィールは、執筆時点、または直近の記事の寄稿時点での内容です

この記事は参考になりましたか?

この記事をシェア

EnterpriseZine(エンタープライズジン)
https://enterprisezine.jp/article/detail/16838 2022/11/11 08:00

Job Board

PR

おすすめ

アクセスランキング

アクセスランキング

イベント

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けに、EnterpriseZine Day、Security Online Day、DataTechという、3つのイベントを開催しております。それぞれ編集部独自の切り口で、業界トレンドや最新事例を網羅。最新の動向を知ることができる場として、好評を得ています。

2022年12月8日(木)10:00~15:50

新規会員登録無料のご案内

  • ・全ての過去記事が閲覧できます
  • ・会員限定メルマガを受信できます

メールバックナンバー

アクセスランキング

アクセスランキング