ファイアウォールを境界だけでなく内部にも設置を
サイバーセキュリティ対策の「基本のキ」とも言えるファイアウォール。今やどの企業でも当たり前のように自社ネットワークとインターネットとの境界上にファイアウォールを設置し、外部からの許可されていない通信をブロックする対策を施している。
しかし近年のサイバー攻撃の手口は極めて高度化・巧妙化しており、幾重ものセキュリティ対策を巧みに回避して内部に侵入してくる攻撃が後を絶たない。そのため今日のサイバーセキュリティ対策においては、「感染してしまった内部の端末から、別の端末への感染や侵入をいかに防ぐかが重要になっている」とイルミオジャパン 営業本部長 市場戦略担当の河合瑞気氏は力説する。
「IPAの『情報セキュリティ10大脅威』で挙げられている脅威を見ても、長年にわたって取り上げられている脅威はどれも感染した内部端末からの攻撃や侵入、いわゆる『ラテラルムーブメント』によって被害が拡大するものばかりです。したがってファイアウォールによるポート制限や通信制限も、本来ならラテラルムーブメントを防ぐために内部ネットワークでより厳密に行われるべきです」
(左から)イルミオジャパン合同会社 営業本部長 市場戦略担当 河合瑞気氏、
NRIセキュアテクノロジーズ株式会社 DXセキュリティプラットフォーム事業本部
クラウドセキュリティ事業部 オプティマイズグループ シニアセキュリティコンサルタント 代田晃基氏
しかし実際には、ファイアウォールと言えばいまだにインターネット境界に設置する方式が主流であり、内部の端末やアプリケーションの境界にファイアウォールを設置して脅威をブロックする対策を行っている企業は少数派に留まっている。その理由について、河合氏は次のように考察する。
「アプリケーションの手前にファイアウォールを設置するためには多数の機器を導入する必要があり、導入コストがかさむだけでなく、多数の機器がネットワーク内に乱立することになり運用に多くの手間が掛かります。またネットワーク設計やポリシー設計も複雑になるほか、ネットワーク構成の変更もしにくくなり、システム全体の柔軟性が損なわれてしまいます」
OS標準機能を活用した「マイクロセグメンテーション」の実現
内部ネットワークを、ホスト単位(サーバー、PC、コンテナといったワークロード毎)で論理的に境界を設けてセグメント化することでラテラルムーブメントを防ぐ対策のことを、一般的に「マイクロセグメンテーション」と呼ぶ。米イルミオはこのマイクロセグメンテーションの分野において世界的に高いシェアを持つセキュリティベンダーで、米国の市場調査会社Forrester Researchが実施した調査「Forrester Wave 2024:Microsegmentation Solutions, Q3 2024」においてリーダー評価を獲得している。
マイクロセグメンテーションの製品にはネットワーク型やホスト型、エージェント型などいくつかのタイプがあるが、イルミオが提供する製品はその中でもエージェント型の代表的な製品として知られる。その特徴について、河合氏は次のように説明する。
「弊社のマイクロセグメンテーションは、ネットワーク機器ベースでもなく仮想ベースでもなく、OSが標準装備するファイアウォール機能を活用します。各端末のOSに備わっているファイアウォールを1ヵ所で集中的に制御するオーケストレーション機能を提供することで、マイクロセグメンテーションを実現します」
具体的には、各端末にillumioのエージェントソフトウェアを導入し、これがOSの標準ファイアウォール機能のポリシーを設定・更新することにより通信の制御を行う。このエージェントソフトウェアはOSのカーネルを一切触らないためOSの動作に悪影響を及ぼすことなく、また通信にも直接触らないためトラフィックが中断するようなこともないという。
こうして各端末に導入されたエージェントを通じて収集された各種情報は1ヵ所に集められて、管理コンソールのグラフィカルな画面を通じて参照することができる。大規模なネットワークの場合、ノードや接続の数が膨大に上るため、これらをまとめて1つの画面に表示すると視認性が低下してしまうが、illumioの管理コンソールはこの課題を解決するために様々な工夫が凝らされているという。
「各アプリケーションに対して『ラベル』というメタデータを付与し、様々な属性を定義することで、それらを基にアプリケーションをグループ化したりフィルタリングしたりして分かりやすい形で表示できます。これにより、大規模なネットワークであっても状況を把握しやすくしています」(河合氏)
ラテラルムーブメントを防ぐために、アプリ単位で分離
従来型のネットワーク型のセグメンテーションは、ネットワーク機器を新たに設置・設定し、VLANを作成してルーティング設定を行い、さらにポートの制御を行う必要がある。これら一連の導入・設定作業には多くの手間が掛かるとともに、ネットワーク全体の構成が複雑になるため変更や拡張も困難になる。
その点illumioであれば、管理コンソール上でビジュアルな「マップ」と呼ばれるGUIを通じてネットワーク構成を設定すれば、後はその内容に沿って各端末に導入されたエージェントに適切な指令が送られ、それぞれの端末上でOS標準ファイアウォールの設定変更が行われる。こうした仕組みを通じて、マイクロセグメンテーション導入にともなう手間やコスト、ネットワーク構成の複雑化といった諸課題を解決できるという。
ラテラルムーブメントについても、前出の「ラベル」のメタデータを使ってアプリケーションごとにグループを作成し、その周りをファイアウォールで囲うように設定することで、容易にセグメンテーションを実現できる。
「ラテラルムーブメントは『認証の突破』『コマンドの実行』『マルウェアファイルの展開』という3つのステップで行われますが、illumioはアプリケーションの手前で不要なポートを閉じて通信プロトコルを制限することで、攻撃者からのコマンド実行の指令やマルウェアファイルのダウンロードを遮断し、攻撃が成立することを防ぎます」(河合氏)
このように重要なアプリケーションの手前にファイアウォールを設置し、信頼できる通信のみを通すよう制御する仕組みは、現在注目を集める「ゼロトラスト」のセキュリティモデルと極めて親和性が高いという。
「内部の端末間の通信がノーチェックだと、一度でもインターネット境界を突破されて内部への侵入を許してしまうと、ラテラルムーブメントであっという間にすべての端末が全滅してしまうリスクがあります。そこでマイクロセグメンテーションによってアプリケーションごとにワークロードをパッケージ化できれば、万が一、あるアプリケーションが侵害されても被害を局所化することができます。こうした考え方こそが本来の意味でのゼロトラストであり、事業継続性を担保するために必要な対策であると考えています」(河合氏)
大手企業が抱えていた複数のセキュリティ課題を一気に解決
続いてNRIセキュアテクノロジーズ DXセキュリティプラットフォーム事業本部 クラウドセキュリティ事業部 オプティマイズグループの代田晃基氏が登壇し、同社が手掛けたillumioの導入事例の紹介を行った。
同社顧客のとある大手製造企業では、かつて「自社資産(サーバ、PC、IoT機器など)の管理・可視化が十分にできていない」という課題を抱えていたという。またネットワークのセキュリティレベルごとのセグメンテーションが実装できていない環境で、既存のネットワーク構成を変更できないという問題にも頭を悩ませていた。さらにはテレワークやSaaS利用の拡大にともない、業務利用PCの通信パターンが多岐にわたるようになり、それらを集中管理して全社的にセキュリティを担保するための運用手法もなかなか確立できずにいた。
こうした課題を解決するために、この企業ではNRIセキュアテクノロジーズの支援を受けながらillumioを導入。結果的に上記の課題すべてを解決できたという。
「illumioはエージェントを通じて各端末・サーバ間の通信を可視化できるため、自社ネットワーク内でどんな端末によるどのような通信が発生しているかを一目で把握できるようになり、管理の目が行き届いていなかった『野良PC』『野良サーバ』を洗い出すことができました。またillumioのラベル機能を用いてサーバー、PCをグループ化することで、既存ネットワークの物理構成を変更することなくセグメンテーションを実装することができました」(代田氏)
さらにはイルミオが備える「社内・社外判定機能」を用いて、各業務利用PCが社内ネットワークにつながれているのか、もしくは社外ネットワークに接続されているのかを判定し、これに「ドメイン参加の有無」「VPN接続の有無」の情報を掛け合わせることで、それぞれのPCに適した通信制御を自動的に判別・実行できるようになったという。
「弊社ではillumioのこうした導入効果をより多くのお客さまに提供すべく、illumioの導入支援サービスを提供しています。これまでセキュリティ要件が厳しい国内のエンタープライズ企業に数多くillumioを導入してきた経験を生かして、独自の設計資料や運用マニュアル、日本語化されたインストール・操作手順書なども用意しています。マイクロセグメンテーションの導入を検討されている方は、ぜひ気軽にご相談いただければと思います」(代田氏)
マイクロセグメンテーションにより、マルウェア等の水平移動を抑止します!
illumioは、サーバー間での通信プロトコルやサービスのやり取りを可視化でき、システム全体の理解に役立ちます。マイクロセグメンテーションにより、ワークロードの可視化や悪意ある水平移動(ラテラルムーブメント)の封じ込めを実現し、お客様の重要資産を保護します。
