ファイアウォールを境界だけでなく内部にも設置を
サイバーセキュリティ対策の「基本のキ」とも言えるファイアウォール。今やどの企業でも当たり前のように自社ネットワークとインターネットとの境界上にファイアウォールを設置し、外部からの許可されていない通信をブロックする対策を施している。
しかし近年のサイバー攻撃の手口は極めて高度化・巧妙化しており、幾重ものセキュリティ対策を巧みに回避して内部に侵入してくる攻撃が後を絶たない。そのため今日のサイバーセキュリティ対策においては、「感染してしまった内部の端末から、別の端末への感染や侵入をいかに防ぐかが重要になっている」とイルミオジャパン 営業本部長 市場戦略担当の河合瑞気氏は力説する。
「IPAの『情報セキュリティ10大脅威』で挙げられている脅威を見ても、長年にわたって取り上げられている脅威はどれも感染した内部端末からの攻撃や侵入、いわゆる『ラテラルムーブメント』によって被害が拡大するものばかりです。したがってファイアウォールによるポート制限や通信制限も、本来ならラテラルムーブメントを防ぐために内部ネットワークでより厳密に行われるべきです」
(左から)イルミオジャパン合同会社 営業本部長 市場戦略担当 河合瑞気氏、
NRIセキュアテクノロジーズ株式会社 DXセキュリティプラットフォーム事業本部
クラウドセキュリティ事業部 オプティマイズグループ シニアセキュリティコンサルタント 代田晃基氏
しかし実際には、ファイアウォールと言えばいまだにインターネット境界に設置する方式が主流であり、内部の端末やアプリケーションの境界にファイアウォールを設置して脅威をブロックする対策を行っている企業は少数派に留まっている。その理由について、河合氏は次のように考察する。
「アプリケーションの手前にファイアウォールを設置するためには多数の機器を導入する必要があり、導入コストがかさむだけでなく、多数の機器がネットワーク内に乱立することになり運用に多くの手間が掛かります。またネットワーク設計やポリシー設計も複雑になるほか、ネットワーク構成の変更もしにくくなり、システム全体の柔軟性が損なわれてしまいます」
OS標準機能を活用した「マイクロセグメンテーション」の実現
内部ネットワークを、ホスト単位(サーバー、PC、コンテナといったワークロード毎)で論理的に境界を設けてセグメント化することでラテラルムーブメントを防ぐ対策のことを、一般的に「マイクロセグメンテーション」と呼ぶ。米イルミオはこのマイクロセグメンテーションの分野において世界的に高いシェアを持つセキュリティベンダーで、米国の市場調査会社Forrester Researchが実施した調査「Forrester Wave 2024:Microsegmentation Solutions, Q3 2024」においてリーダー評価を獲得している。
マイクロセグメンテーションの製品にはネットワーク型やホスト型、エージェント型などいくつかのタイプがあるが、イルミオが提供する製品はその中でもエージェント型の代表的な製品として知られる。その特徴について、河合氏は次のように説明する。
「弊社のマイクロセグメンテーションは、ネットワーク機器ベースでもなく仮想ベースでもなく、OSが標準装備するファイアウォール機能を活用します。各端末のOSに備わっているファイアウォールを1ヵ所で集中的に制御するオーケストレーション機能を提供することで、マイクロセグメンテーションを実現します」
具体的には、各端末にillumioのエージェントソフトウェアを導入し、これがOSの標準ファイアウォール機能のポリシーを設定・更新することにより通信の制御を行う。このエージェントソフトウェアはOSのカーネルを一切触らないためOSの動作に悪影響を及ぼすことなく、また通信にも直接触らないためトラフィックが中断するようなこともないという。
こうして各端末に導入されたエージェントを通じて収集された各種情報は1ヵ所に集められて、管理コンソールのグラフィカルな画面を通じて参照することができる。大規模なネットワークの場合、ノードや接続の数が膨大に上るため、これらをまとめて1つの画面に表示すると視認性が低下してしまうが、illumioの管理コンソールはこの課題を解決するために様々な工夫が凝らされているという。
「各アプリケーションに対して『ラベル』というメタデータを付与し、様々な属性を定義することで、それらを基にアプリケーションをグループ化したりフィルタリングしたりして分かりやすい形で表示できます。これにより、大規模なネットワークであっても状況を把握しやすくしています」(河合氏)
