病院、銀行、自治体などの事例から見る「ゼロトラスト・セグメンテーション」の効力、従来手法と何が異なる

ゼロトラスト・セグメンテーションの効果

　現在、サイバー攻撃者の第一の目的は金銭である。そのため、機密情報などの高額なデータ資産を求めて企業に侵入し、情報を盗み、高値で売却する。このようなデータ資産の売買はサイバー攻撃者自身が行うほか、依頼主から受注してチームを組んでサイバー攻撃を行うケースもある。また、依頼主が国家組織の場合もあり、その際には潤沢な資金が用意されるため、海外の敵対勢力に対して高度な標的型攻撃を仕掛けることが多い。さらに最近では、侵入に成功した時点で攻撃を止め、その時点の状態を別の攻撃者に売り渡すケースもある。

　ランサムウェアはサイバー攻撃者にとって手軽に金銭やアクセス権が得られる攻撃の一般的な形態であり、金銭的利益を最大化できる手段。マルウェアメールは古くから使われている手法であるし、ランサムウェアはアンダーグラウンドの市場で提供されている「RaaS（Ransomware as a Service：サービスとしてのランサムウェア）」で安価に入手できる。何よりも、ランサムウェア感染による事業停止を避けたい企業は、データ資産の凍結を解除し、迅速に事業を再開するために“身代金”を支払いやすい傾向にあるため、サイバー攻撃者にとって大きな収入源だ。

　こうしたサイバー攻撃者の“最終目的”であるビジネスクリティカルな情報への到達や、身代金を要求することを阻止できるのが「ゼロトラスト・セグメンテーション」である。企業ネットワークを細かくセグメント化し、セグメント間の通信を把握することで、ネットワーク全体を可視化し、リスクを未然に察知することができる。また、侵害されたセグメントは隔離されるため、攻撃者はネットワーク上でラテラルムーブメントを行うことができない。このセグメント化は、PC全域にわたり行うことができ、クラウドやネットワーク、データセンターにも適用可能だ。つまり、“ゼロトラスト”に基づいたセキュリティ対策をハイブリット環境上にも構築できる。調査レポート『Zero Trust Impact Report』（Enterprise Strategy Group、2022）では「組織の76％が過去2年間にランサムウェア攻撃を受けていた」という結果が報告されていることを考えると、この対策がいかに重要かわかる。

　また、ゼロトラスト・セグメンテーションは、セグメント間を越える通信に対してルールを適用できることも大きな特徴だ。これにより「すべてを信頼せず、都度検証を行う」というゼロトラストの考え方を、環境をまたいで適用することが可能となる。たとえば、エンドポイントから侵入したマルウェアは、企業ネットワーク内を水平移動（ラテラルムーブメント）していくが、PCからPCにアクセスすることはほとんどない。そのため、そのようなアクセスをポリシーで禁止することで、ラテラルムーブメントを自動的に遮断し、侵害がネットワーク全体に広がるのを防ぐことができる。企業にとっては侵害されるリスクを低減でき、レジリエンスを高めることにつながるのだ。

　以前のセグメンテーションでは、ファイアウォールやNAC（Network Access Control：ネットワークアクセス制御）製品を使用してセグメント化を行っていた。そのため設計や構築に多くの時間が必要であり、コストも大きなものになってしまう。一方でゼロトラスト・セグメンテーションでは環境をまたいでポリシーを設定することができるため、管理コンソールから一括管理が可能だ。導入や管理が容易で、ゼロトラスト・セキュリティを構築できることも大きな魅力と言えるだろう。