SHOEISHA iD

※旧SEメンバーシップ会員の方は、同じ登録情報(メールアドレス&パスワード)でログインいただけます

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けに、EnterpriseZine Day、Security Online Day、DataTechという、3つのイベントを開催しております。それぞれ編集部独自の切り口で、業界トレンドや最新事例を網羅。最新の動向を知ることができる場として、好評を得ています。

最新イベントはこちら!

Data Tech 2024

2024年11月21日(木)オンライン開催

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けの講座「EnterpriseZine Academy」や、すべてのITパーソンに向けた「新エバンジェリスト養成講座」などの講座を企画しています。EnterpriseZine編集部ならではの切り口・企画・講師セレクトで、明日を担うIT人材の育成をミッションに展開しております。

お申し込み受付中!

EnterpriseZine(エンタープライズジン)

EnterpriseZine編集部が最旬ITトピックの深層に迫る。ここでしか読めない、エンタープライズITの最新トピックをお届けします。

『EnterpriseZine Press』

2024年秋号(EnterpriseZine Press 2024 Autumn)特集「生成AI時代に考える“真のDX人材育成”──『スキル策定』『実践』2つの観点で紐解く」

Security Online Day 2024 秋の陣レポート(AD)

深刻なのは“内部からの攻撃”──ラテラルムーブメントによる被害拡大を局所で食い止める

ゼロトラスト実現への有効策「マイクロセグメンテーション」とは

ラテラルムーブメントを防ぐために、アプリ単位で分離

 従来型のネットワーク型のセグメンテーションは、ネットワーク機器を新たに設置・設定し、VLANを作成してルーティング設定を行い、さらにポートの制御を行う必要がある。これら一連の導入・設定作業には多くの手間が掛かるとともに、ネットワーク全体の構成が複雑になるため変更や拡張も困難になる。

 その点illumioであれば、管理コンソール上でビジュアルな「マップ」と呼ばれるGUIを通じてネットワーク構成を設定すれば、後はその内容に沿って各端末に導入されたエージェントに適切な指令が送られ、それぞれの端末上でOS標準ファイアウォールの設定変更が行われる。こうした仕組みを通じて、マイクロセグメンテーション導入にともなう手間やコスト、ネットワーク構成の複雑化といった諸課題を解決できるという。

 ラテラルムーブメントについても、前出の「ラベル」のメタデータを使ってアプリケーションごとにグループを作成し、その周りをファイアウォールで囲うように設定することで、容易にセグメンテーションを実現できる。

 「ラテラルムーブメントは『認証の突破』『コマンドの実行』『マルウェアファイルの展開』という3つのステップで行われますが、illumioはアプリケーションの手前で不要なポートを閉じて通信プロトコルを制限することで、攻撃者からのコマンド実行の指令やマルウェアファイルのダウンロードを遮断し、攻撃が成立することを防ぎます」(河合氏)

 このように重要なアプリケーションの手前にファイアウォールを設置し、信頼できる通信のみを通すよう制御する仕組みは、現在注目を集める「ゼロトラスト」のセキュリティモデルと極めて親和性が高いという。

 「内部の端末間の通信がノーチェックだと、一度でもインターネット境界を突破されて内部への侵入を許してしまうと、ラテラルムーブメントであっという間にすべての端末が全滅してしまうリスクがあります。そこでマイクロセグメンテーションによってアプリケーションごとにワークロードをパッケージ化できれば、万が一、あるアプリケーションが侵害されても被害を局所化することができます。こうした考え方こそが本来の意味でのゼロトラストであり、事業継続性を担保するために必要な対策であると考えています」(河合氏)

クリックすると拡大します

大手企業が抱えていた複数のセキュリティ課題を一気に解決

 続いてNRIセキュアテクノロジーズ DXセキュリティプラットフォーム事業本部 クラウドセキュリティ事業部 オプティマイズグループの代田晃基氏が登壇し、同社が手掛けたillumioの導入事例の紹介を行った。

 同社顧客のとある大手製造企業では、かつて「自社資産(サーバ、PC、IoT機器など)の管理・可視化が十分にできていない」という課題を抱えていたという。またネットワークのセキュリティレベルごとのセグメンテーションが実装できていない環境で、既存のネットワーク構成を変更できないという問題にも頭を悩ませていた。さらにはテレワークやSaaS利用の拡大にともない、業務利用PCの通信パターンが多岐にわたるようになり、それらを集中管理して全社的にセキュリティを担保するための運用手法もなかなか確立できずにいた。

 こうした課題を解決するために、この企業ではNRIセキュアテクノロジーズの支援を受けながらillumioを導入。結果的に上記の課題すべてを解決できたという。

 「illumioはエージェントを通じて各端末・サーバ間の通信を可視化できるため、自社ネットワーク内でどんな端末によるどのような通信が発生しているかを一目で把握できるようになり、管理の目が行き届いていなかった『野良PC』『野良サーバ』を洗い出すことができました。またillumioのラベル機能を用いてサーバー、PCをグループ化することで、既存ネットワークの物理構成を変更することなくセグメンテーションを実装することができました」(代田氏)

 さらにはイルミオが備える「社内・社外判定機能」を用いて、各業務利用PCが社内ネットワークにつながれているのか、もしくは社外ネットワークに接続されているのかを判定し、これに「ドメイン参加の有無」「VPN接続の有無」の情報を掛け合わせることで、それぞれのPCに適した通信制御を自動的に判別・実行できるようになったという。

クリックすると拡大します

 「弊社ではillumioのこうした導入効果をより多くのお客さまに提供すべく、illumioの導入支援サービスを提供しています。これまでセキュリティ要件が厳しい国内のエンタープライズ企業に数多くillumioを導入してきた経験を生かして、独自の設計資料や運用マニュアル、日本語化されたインストール・操作手順書なども用意しています。マイクロセグメンテーションの導入を検討されている方は、ぜひ気軽にご相談いただければと思います」(代田氏)

マイクロセグメンテーションにより、マルウェア等の水平移動を抑止します!

illumioは、サーバー間での通信プロトコルやサービスのやり取りを可視化でき、システム全体の理解に役立ちます。マイクロセグメンテーションにより、ワークロードの可視化や悪意ある水平移動(ラテラルムーブメント)の封じ込めを実現し、お客様の重要資産を保護します。

本サービス・製品・料金・無料デモのお問い合わせはこちら

この記事は参考になりましたか?

  • Facebook
  • X
  • Pocket
  • note
関連リンク
Security Online Day 2024 秋の陣レポート連載記事一覧

もっと読む

この記事の著者

吉村 哲樹(ヨシムラ テツキ)

早稲田大学政治経済学部卒業後、メーカー系システムインテグレーターにてソフトウェア開発に従事。その後、外資系ソフトウェアベンダーでコンサルタント、IT系Webメディアで編集者を務めた後、現在はフリーライターとして活動中。

※プロフィールは、執筆時点、または直近の記事の寄稿時点での内容です

提供:NRIセキュアテクノロジーズ株式会社

【AD】本記事の内容は記事掲載開始時点のものです 企画・制作 株式会社翔泳社

この記事は参考になりましたか?

この記事をシェア

EnterpriseZine(エンタープライズジン)
https://enterprisezine.jp/article/detail/20515 2024/10/25 10:00

Job Board

AD

おすすめ

アクセスランキング

アクセスランキング

イベント

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けに、EnterpriseZine Day、Security Online Day、DataTechという、3つのイベントを開催しております。それぞれ編集部独自の切り口で、業界トレンドや最新事例を網羅。最新の動向を知ることができる場として、好評を得ています。

新規会員登録無料のご案内

  • ・全ての過去記事が閲覧できます
  • ・会員限定メルマガを受信できます

メールバックナンバー

アクセスランキング

アクセスランキング