CISO

マイクロセグメンテーションによるゼロトラスト・アーキテクチャー: Vol.1従来のネットワーク・セグメンテーションとマイクロセグメンテーションの違い~

記事をシェアする:

加速しつづける世界経済においてインターネットが登場してからビジネスの在り方が劇的に変化しています。クラウド化・デジタルトランスフォーメーション(DX)・テレワーク・IoT・AI・自動化と進化し続けるIT技術はビジネスの成長に不可欠な要素の1つであり、もはやIT活用なしでビジネスの成功はないと言っても過言ではありません。

一方でIT技術が進化すればするほど企業や国家の資産がインターネットに接続し、それにより企業や国家が持っている非常に価値のあるIT資産がはるか遠方の攻撃者によって瞬時に簡単にアクセスできる状況にもなりました。サイバー犯罪の件数は年を追うごとに増加傾向にあり、サイバー犯罪の被害額やインフラ停止による社会影響も拡大しつづけています。

アメリカではランサムウェアにより大手石油供給会社が被害を受け、復旧のため業務停止を強いられる事件も発生しています。

サイバー攻撃を行う攻撃ツールや不正アクセスを行う侵入経路など攻撃に必要なモノはダークウェブで簡単かつ安価に手に入るようになっており、サイバー攻撃の初期侵入の難易度は格段に低くなってきていると考えられます。

従来のネットワーク境界防御とその限界

旧来の牧歌的なITネットワークは非常に単純で、データセンターに自前のサーバーなどを設置し、インターネットとの境界をファイアウォールなどの機器で境界防御する構成が一般的でした。この考え方は「データセンターや社内の中にあるモノ・人は常に正しいことしか行わない、悪意のある行動は行わない」という性善説で成り立っています。

しかし昨今、クラウド化・デジタルトランスフォーメーション(DX)・リモートワーク・IoT、企業間や各国支社間の通信網の発達も相まって、インターネットから直接アクセスや攻撃ができるポイント(Attack Surface)が急激に増加し、サイバー攻撃がより簡単に、より効果的に行えるようになりました。

データセンターのファイアウォールで防御する従来のデータセンター・セントリックなセキュリティー境界防御で防御しつづけるのは限界と考えられています。

そこで従来の境界の中は「善」と定義するのではなく、資産にアクセスしてくるものはすべて「悪」であり無条件に信頼するものではなく、常にアクセスを検査する必要があるという「ゼロトラスト」という概念が登場しました。

最近の傾向では、セキュリティー強度が比較的低い海外支社・協力会社やリモートワーカーを狙い撃ちし、そこを踏み台にして本丸である本社や企業中枢の重要情報を搾取するという事例が増加してきています。

また個人でも簡単にクラウドサービスを利用することができるため、機密情報を退職前に持ち出して転職先に提供するという事例もでてきています。一般的に社内の内部犯行者が行う情報漏洩の被害額は、社外のサイバー組織が行う攻撃よりも多額になるという研究結果もあるほどです。

ゼロトラストの考え方を踏襲するマイクロセグメンテーションの登場

このゼロトラスト・アプローチの考え方を踏襲し、アクセスが必要なリソースだけがIT資産に接続できるよう細かくアクセス制御を行う「マイクロセグメンテーション」という新しいセキュリティーの概念が登場しました。

本記事では「マイクロセグメンテーションとは」「従来のセグメンテーションとマイクロセグメンテーションの相違点」を説明し、理想的なマイクロセグメンテーションを実装するための必要な要素をご紹介したいと思います。

セグメンテーションとは?

マイクロセグメンテーションの前に「セグメンテーション」の概念についてご説明します。物理社会の例で言うと、ビルの防火壁や潜水艦の防水壁などが上げられます。

防火壁や防水壁はシャッターや扉などでエリアを区分け(セグメント化)し、ある区画に火災や浸水が発生したとしてもその影響を全体に及ぼさないようにする物理セキュリティー防御策です。

デジタルの世界のセグメンテーションとしてはDMZなどのネットワーク・セグメンテーションがなじみ深いですが、防火壁と同じくファイヤーウォールなどの機器で「区分け」を行い、DMZエリアが攻撃者に侵害された場合でも社内ネットワークまで侵入されないようにするためのセキュリティー手法です。

ただし、前述の通りクラウド化・DX・新しい技術の登場によりセグメント化したいエリアがデータセンターの外に移動。従来型のDMZ方式だけでは対応できなくなっています。

マイクロセグメンテーションとは?

マイクロセグメンテーションとは、データセンターやクラウド環境の中に細かく防火壁を配置することで細かなゾーンを作成。それぞれのサーバー・アプリケーションをそれぞれ隔離することで個別に保護するセキュリティー手法です。

マイクロセグメンテーションにより、場所に依存することなく「通信すべきものだけアクセス許可させる」というゼロトラスト・アプローチに基づき、サーバー・アプリケーション間のネットワーク・トラフィックを制限する「AllowList」のポリシーを作成して通信を制御します。

IPアドレスだけでなく通信ポートもマイクロセグメンテーションで制御することでネットワークの攻撃可能な経路を極限まで極小化し、ネットワーク侵害を抑制することができます。

仮にサーバーやアプリケーションに未知の脆弱性やパッチを当てていない脆弱性があった場合でも、正規の経路以外からの通信ができないように制限していると、既知・未知の脆弱性への攻撃に対する対応力も強化することができます。

また攻撃対象の存在及び攻撃ポイントを探るポート…スキャニングなどの偵察行為が行われた場合でも、マイクロセグメンテーションされているサーバーは正規の経路ではない偵察行為には応答しません。つまり攻撃者からその存在を把握される可能性が低くなります。

攻撃者がその存在を補足するためにはまず正規の経路にたどり着くという複雑な迷路を進む必要があるため、侵入までの時間を大幅に長くすることが可能となります。

まとめ

本稿Vol.1では、クラウド推進やCOVID19によるテレワーク急増などにより企業ネットワークとネットワーク・セキュリティーは変革を求められており、ゼロトラストやマイクロセグメンテーションという新しいセキュリティーの考え方が登場したことを中心にご説明いたしました。

Vol.2ではマイクロセグメンテーションソリューションを選定する際、注意すべき要素についてご説明したいと思います。

【関連情報】

IBM Securityのゼロトラスト・ソリューションの概要はこちら

【著者情報】


柳瀬 雅也

執筆者

柳瀬 雅也
日本アイ・ビー・エム株式会社
セキュリティー事業本部
コンサルティング&システム・インテグレーション
シニア・セキュリティ・アーキテクト
AWS SAA/SAP/SCS

2000年よりネットワークエンジニアとして活動後、サイバーセキュリティー業務に従事。大手国内キャリア、アジア大手キャリア、セキュリティソフトウェアベンダを経て、2020年に日本アイ・ビー・エム株式会社に入社。インフラ・エンドポイントセキュリティソリューションを中心に様々な業界のセキュリティーソリューションサービスの提案活動/導入業務に携わる。


小川 真毅

事業責任者

小川 真毅
日本アイ・ビー・エム株式会社
セキュリティー事業本部
コンサルティング&システム・インテグレーション
理事/パートナー
CISSP CISA CISM CBCI PMP MBA

 

More stories
2022-02-21

インシデント・レスポンス研修 (旧称 CSIRT研修)

IBMインシデント・レスポンス研修 (旧称:CSIRT研修)を、2022年3月22日(火曜日)~25日(金曜日)の4日間にて開催! 締切は3月7日(月曜日)です。 サイバー脅威に備えてセキュリティー・インシデント対応力の […]

さらに読む

2021-07-02

Fusion Centerによる脱サイロのサイバーセキュリティー・ガバナンス: Vol.1 構想のポイント

多くの企業が、サイバー脅威への対応としてセキュリティー監視や有事対応の態勢を整備しています。昨今は特に、1) 脅威を如何に予防するか(Cyber Hygiene)、2)脅威に如何に集団防衛で立ち向かうか(Collecti […]

さらに読む

2021-07-02

Fusion Centerによる脱サイロのサイバーセキュリティー・ガバナンス: Vol.2 統合する機能

Vol.1では、グループ全体のセキュリティー態勢を一層向上するためにグループ横断的に専門知見を集約する組織として、Fusion Centerの概要、およびその主な目的と導入効果を説明しました。本稿Vol.2では、構想背景 […]

さらに読む