SHOEISHA iD

※旧SEメンバーシップ会員の方は、同じ登録情報(メールアドレス&パスワード)でログインいただけます

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けに、EnterpriseZine Day、Security Online Day、DataTechという、3つのイベントを開催しております。それぞれ編集部独自の切り口で、業界トレンドや最新事例を網羅。最新の動向を知ることができる場として、好評を得ています。

最新イベントはこちら!

Data Tech 2024

2024年11月21日(木)オンライン開催

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けの講座「EnterpriseZine Academy」や、すべてのITパーソンに向けた「新エバンジェリスト養成講座」などの講座を企画しています。EnterpriseZine編集部ならではの切り口・企画・講師セレクトで、明日を担うIT人材の育成をミッションに展開しております。

お申し込み受付中!

EnterpriseZine(エンタープライズジン)

EnterpriseZine編集部が最旬ITトピックの深層に迫る。ここでしか読めない、エンタープライズITの最新トピックをお届けします。

『EnterpriseZine Press』

2024年秋号(EnterpriseZine Press 2024 Autumn)特集「生成AI時代に考える“真のDX人材育成”──『スキル策定』『実践』2つの観点で紐解く」

Security Online Day 2024 秋の陣レポート(AD)

深刻なのは“内部からの攻撃”──ラテラルムーブメントによる被害拡大を局所で食い止める

ゼロトラスト実現への有効策「マイクロセグメンテーション」とは

 2024年9月25日、26日の2日間にわたって開催されたオンラインイベント「Security Online Day 2024 秋の陣」。イルミオジャパン 河合瑞気氏によるセッション「ラテラルムーブメントをともなう悪質なランサムウェアへの対応 ~マイクロセグメンテーションで被害拡大を食い止める~」では、同社が提供するマイクロセグメンテーションソリューションの紹介が行われたほか、「illumio導入によるゼロトラストセグメンテーションの実装方法」と題しNRIセキュアテクノロジーズの代田晃基氏による導入事例の紹介もあわせて行われた。

ファイアウォールを境界だけでなく内部にも設置を

 サイバーセキュリティ対策の「基本のキ」とも言えるファイアウォール。今やどの企業でも当たり前のように自社ネットワークとインターネットとの境界上にファイアウォールを設置し、外部からの許可されていない通信をブロックする対策を施している。

 しかし近年のサイバー攻撃の手口は極めて高度化・巧妙化しており、幾重ものセキュリティ対策を巧みに回避して内部に侵入してくる攻撃が後を絶たない。そのため今日のサイバーセキュリティ対策においては、「感染してしまった内部の端末から、別の端末への感染や侵入をいかに防ぐかが重要になっている」とイルミオジャパン 営業本部長 市場戦略担当の河合瑞気氏は力説する。

 「IPAの『情報セキュリティ10大脅威』で挙げられている脅威を見ても、長年にわたって取り上げられている脅威はどれも感染した内部端末からの攻撃や侵入、いわゆる『ラテラルムーブメント』によって被害が拡大するものばかりです。したがってファイアウォールによるポート制限や通信制限も、本来ならラテラルムーブメントを防ぐために内部ネットワークでより厳密に行われるべきです」

(左から)イルミオジャパン合同会社 営業本部長 市場戦略担当 河合瑞気氏、

NRIセキュアテクノロジーズ株式会社 DXセキュリティプラットフォーム事業本部

クラウドセキュリティ事業部 オプティマイズグループ シニアセキュリティコンサルタント 代田晃基氏

 しかし実際には、ファイアウォールと言えばいまだにインターネット境界に設置する方式が主流であり、内部の端末やアプリケーションの境界にファイアウォールを設置して脅威をブロックする対策を行っている企業は少数派に留まっている。その理由について、河合氏は次のように考察する。

 「アプリケーションの手前にファイアウォールを設置するためには多数の機器を導入する必要があり、導入コストがかさむだけでなく、多数の機器がネットワーク内に乱立することになり運用に多くの手間が掛かります。またネットワーク設計やポリシー設計も複雑になるほか、ネットワーク構成の変更もしにくくなり、システム全体の柔軟性が損なわれてしまいます」

クリックすると拡大します

OS標準機能を活用した「マイクロセグメンテーション」の実現

 内部ネットワークを、ホスト単位(サーバー、PC、コンテナといったワークロード毎)で論理的に境界を設けてセグメント化することでラテラルムーブメントを防ぐ対策のことを、一般的に「マイクロセグメンテーション」と呼ぶ。米イルミオはこのマイクロセグメンテーションの分野において世界的に高いシェアを持つセキュリティベンダーで、米国の市場調査会社Forrester Researchが実施した調査「Forrester Wave 2024:Microsegmentation Solutions, Q3 2024」においてリーダー評価を獲得している。

 マイクロセグメンテーションの製品にはネットワーク型やホスト型、エージェント型などいくつかのタイプがあるが、イルミオが提供する製品はその中でもエージェント型の代表的な製品として知られる。その特徴について、河合氏は次のように説明する。

 「弊社のマイクロセグメンテーションは、ネットワーク機器ベースでもなく仮想ベースでもなく、OSが標準装備するファイアウォール機能を活用します。各端末のOSに備わっているファイアウォールを1ヵ所で集中的に制御するオーケストレーション機能を提供することで、マイクロセグメンテーションを実現します」

 具体的には、各端末にillumioのエージェントソフトウェアを導入し、これがOSの標準ファイアウォール機能のポリシーを設定・更新することにより通信の制御を行う。このエージェントソフトウェアはOSのカーネルを一切触らないためOSの動作に悪影響を及ぼすことなく、また通信にも直接触らないためトラフィックが中断するようなこともないという。

クリックすると拡大します

 こうして各端末に導入されたエージェントを通じて収集された各種情報は1ヵ所に集められて、管理コンソールのグラフィカルな画面を通じて参照することができる。大規模なネットワークの場合、ノードや接続の数が膨大に上るため、これらをまとめて1つの画面に表示すると視認性が低下してしまうが、illumioの管理コンソールはこの課題を解決するために様々な工夫が凝らされているという。

 「各アプリケーションに対して『ラベル』というメタデータを付与し、様々な属性を定義することで、それらを基にアプリケーションをグループ化したりフィルタリングしたりして分かりやすい形で表示できます。これにより、大規模なネットワークであっても状況を把握しやすくしています」(河合氏)

次のページ
ラテラルムーブメントを防ぐために、アプリ単位で分離

この記事は参考になりましたか?

  • Facebook
  • X
  • Pocket
  • note
関連リンク
Security Online Day 2024 秋の陣レポート連載記事一覧

もっと読む

この記事の著者

吉村 哲樹(ヨシムラ テツキ)

早稲田大学政治経済学部卒業後、メーカー系システムインテグレーターにてソフトウェア開発に従事。その後、外資系ソフトウェアベンダーでコンサルタント、IT系Webメディアで編集者を務めた後、現在はフリーライターとして活動中。

※プロフィールは、執筆時点、または直近の記事の寄稿時点での内容です

提供:NRIセキュアテクノロジーズ株式会社

【AD】本記事の内容は記事掲載開始時点のものです 企画・制作 株式会社翔泳社

この記事は参考になりましたか?

この記事をシェア

EnterpriseZine(エンタープライズジン)
https://enterprisezine.jp/article/detail/20515 2024/10/25 10:00

Job Board

AD

おすすめ

アクセスランキング

アクセスランキング

イベント

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けに、EnterpriseZine Day、Security Online Day、DataTechという、3つのイベントを開催しております。それぞれ編集部独自の切り口で、業界トレンドや最新事例を網羅。最新の動向を知ることができる場として、好評を得ています。

新規会員登録無料のご案内

  • ・全ての過去記事が閲覧できます
  • ・会員限定メルマガを受信できます

メールバックナンバー

アクセスランキング

アクセスランキング