ラテラルムーブメントを防ぐために、アプリ単位で分離
従来型のネットワーク型のセグメンテーションは、ネットワーク機器を新たに設置・設定し、VLANを作成してルーティング設定を行い、さらにポートの制御を行う必要がある。これら一連の導入・設定作業には多くの手間が掛かるとともに、ネットワーク全体の構成が複雑になるため変更や拡張も困難になる。
その点illumioであれば、管理コンソール上でビジュアルな「マップ」と呼ばれるGUIを通じてネットワーク構成を設定すれば、後はその内容に沿って各端末に導入されたエージェントに適切な指令が送られ、それぞれの端末上でOS標準ファイアウォールの設定変更が行われる。こうした仕組みを通じて、マイクロセグメンテーション導入にともなう手間やコスト、ネットワーク構成の複雑化といった諸課題を解決できるという。
ラテラルムーブメントについても、前出の「ラベル」のメタデータを使ってアプリケーションごとにグループを作成し、その周りをファイアウォールで囲うように設定することで、容易にセグメンテーションを実現できる。
「ラテラルムーブメントは『認証の突破』『コマンドの実行』『マルウェアファイルの展開』という3つのステップで行われますが、illumioはアプリケーションの手前で不要なポートを閉じて通信プロトコルを制限することで、攻撃者からのコマンド実行の指令やマルウェアファイルのダウンロードを遮断し、攻撃が成立することを防ぎます」(河合氏)
このように重要なアプリケーションの手前にファイアウォールを設置し、信頼できる通信のみを通すよう制御する仕組みは、現在注目を集める「ゼロトラスト」のセキュリティモデルと極めて親和性が高いという。
「内部の端末間の通信がノーチェックだと、一度でもインターネット境界を突破されて内部への侵入を許してしまうと、ラテラルムーブメントであっという間にすべての端末が全滅してしまうリスクがあります。そこでマイクロセグメンテーションによってアプリケーションごとにワークロードをパッケージ化できれば、万が一、あるアプリケーションが侵害されても被害を局所化することができます。こうした考え方こそが本来の意味でのゼロトラストであり、事業継続性を担保するために必要な対策であると考えています」(河合氏)
大手企業が抱えていた複数のセキュリティ課題を一気に解決
続いてNRIセキュアテクノロジーズ DXセキュリティプラットフォーム事業本部 クラウドセキュリティ事業部 オプティマイズグループの代田晃基氏が登壇し、同社が手掛けたillumioの導入事例の紹介を行った。
同社顧客のとある大手製造企業では、かつて「自社資産(サーバ、PC、IoT機器など)の管理・可視化が十分にできていない」という課題を抱えていたという。またネットワークのセキュリティレベルごとのセグメンテーションが実装できていない環境で、既存のネットワーク構成を変更できないという問題にも頭を悩ませていた。さらにはテレワークやSaaS利用の拡大にともない、業務利用PCの通信パターンが多岐にわたるようになり、それらを集中管理して全社的にセキュリティを担保するための運用手法もなかなか確立できずにいた。
こうした課題を解決するために、この企業ではNRIセキュアテクノロジーズの支援を受けながらillumioを導入。結果的に上記の課題すべてを解決できたという。
「illumioはエージェントを通じて各端末・サーバ間の通信を可視化できるため、自社ネットワーク内でどんな端末によるどのような通信が発生しているかを一目で把握できるようになり、管理の目が行き届いていなかった『野良PC』『野良サーバ』を洗い出すことができました。またillumioのラベル機能を用いてサーバー、PCをグループ化することで、既存ネットワークの物理構成を変更することなくセグメンテーションを実装することができました」(代田氏)
さらにはイルミオが備える「社内・社外判定機能」を用いて、各業務利用PCが社内ネットワークにつながれているのか、もしくは社外ネットワークに接続されているのかを判定し、これに「ドメイン参加の有無」「VPN接続の有無」の情報を掛け合わせることで、それぞれのPCに適した通信制御を自動的に判別・実行できるようになったという。
「弊社ではillumioのこうした導入効果をより多くのお客さまに提供すべく、illumioの導入支援サービスを提供しています。これまでセキュリティ要件が厳しい国内のエンタープライズ企業に数多くillumioを導入してきた経験を生かして、独自の設計資料や運用マニュアル、日本語化されたインストール・操作手順書なども用意しています。マイクロセグメンテーションの導入を検討されている方は、ぜひ気軽にご相談いただければと思います」(代田氏)
マイクロセグメンテーションにより、マルウェア等の水平移動を抑止します!
illumioは、サーバー間での通信プロトコルやサービスのやり取りを可視化でき、システム全体の理解に役立ちます。マイクロセグメンテーションにより、ワークロードの可視化や悪意ある水平移動(ラテラルムーブメント)の封じ込めを実現し、お客様の重要資産を保護します。
