CISO
マイクロセグメンテーションによるゼロトラスト・アーキテクチャー:Vol.2理想的なマイクロセグメンテーションに必要な4要素~
2021-06-03
カテゴリー CISO
記事をシェアする:
理想的なマイクロセグメンテーションに必要な4要素
Vol.1ではゼロトラストやマイクロセグメンテーションが登場した背景、マイクロセグメンテーションの有効性を説明いたしましたが、本稿Vol.2では「どのようなマイクロセグメンテーションが理想的であるのか?」「マイクロセグメンテーションを選定する際に気を付けるべきポイント」についてご説明したいと思います。
1.正確に現状の通信状況の把握
マイクロセグメンテーションを行う際に非常に重要な要素の1つとして「どの通信を許可すればよいか?」を正確に把握する必要があります。
もしポリシーに漏れが発生してしまった場合、通常の通信ができずビジネスに支障をきたす可能性があります。これではセキュリティーの命題である「業務に影響なく悪意ある攻撃を防止する」が実現できなくなります。
では、誰が正確に通信状況を把握しているのでしょうか?サーバーを管理している担当者でしょうか?アプリケーションのメーカーでしょうか?アプリケーションの構築業者でしょうか?
答えは、正確に通信状況を把握している「サーバーそのもの」です。
マイクロセグメンテーション・ポリシーを正確に作成する通信情報は「対象のサーバーから情報を収集できるもの」が最適であると考えます。
2.設置する場所に依存しないセグメントを作成できること
一般的なファイアウォールやルータなどは、セキュリティーのアクセス制御(ACL)とネットワーク経路は一体化しているためセグメンテーションを行える場所は限られていますが、理想的なマイクロセグメンテーション・ソリューションはネットワークの構成に依存することなくアクセス制限を実施することが可能であるべきです。
ネットワーク機器でセグメンテーションした場合セグメント間の通信制御は可能ですが、そのセグメントの内部はAny:Anyで通信ができてしまいます。
そもそもマイクロセグメンテーションを実施したい部分に通信制御ができるネットワーク機器がない場合はネットワーク機器を設置することから始める必要があり、セグメント化するまでの期間とネットワークを再設計した際のアプリケーション等への影響なども考慮する必要があります。
理想的なマイクロセグメンテーションでは、IaaS・VM・コンテナ上などインフラ環境に依存することなく、細かく通信をサーバー単位で制御できるものが理想的です。これからの技術革新も踏まえてもネットワーク機器でのセグメンテーションは現実的ではないと考えられます。
3.運用負荷の軽減
マイクロセグメンテーションの真髄は、対象サーバーと通信する送信元・送信先のIPアドレスとポートを最小限間で絞り、不要なアクセスが一切発生しないようにすることで攻撃者からの不正アクセスを防止することです。
そのため、通信元・通信先のIPアドレスとポートを利用してマイクロセグメンテーション・ポリシーを作成しますが、運用段階になったとき必ず通信元・通信先のIPアドレスとポートを変更する必要が出てくるはずです。
従来のネットワーク機器でのセグメンテーションの場合は、ネットワーク機器1つ1つのアクセスリストにAllowすべきIPアドレスとポートを書いていく必要がありますが、設定変更を行う運用工数がかなり負担になりがちです。
また通信が不要になったマイクロセグメンテーション・ポリシーの削除が部署間の連絡不足等で漏れてしまいセキュリティー・ホールになってしまう可能性があります。
理想的なマイクロセグメンテーションとしては、通信先・通信元を動的に把握してポリシーに自動的に反映させることで、運用の負荷及び削除の漏れによるセキュリティー・ホールを残さないようにすることが重要と考えます。
4.ポリシー適用前にテストが実施できること
前述したようにセキュリティー施策を実施する際に注意すべきポイントは「業務に影響なく悪意ある攻撃を防止する」です。
従来のネットワーク機器でのセグメンテーションでは、機器のアクセス・リストに設定をPushした「直後」に通信の遮断が開始されます。
そのため、もし適用したポリシーが誤っていた場合・漏れていた場合は業務通信に影響がでてしまいます。
理想的なマイクロセグメンテーションでは、ポリシーを適用する前に事前にブロックされる通信を把握。業務通信に影響がないことを確認した上で通信のブロックが行えるものを採択すべきと考えます。
以上のことからマイクロセグメンテーションは高度化する脅威に対しての防御力を上げることは間違いありませんが、上記で説明した4つの要素を具備しているソリューションを選定する必要があると考えられます。
まとめ
クラウド推進やCOVID-19によるテレワーク急増などにより企業ネットワークとネットワーク・セキュリティーは変革を求められています。
IBM Securityでは効果的なマイクロセグメンテーションソリューションの提供を行っており、マイクロセグメンテーションの実装に必要な以下の様な製品やサービスをご提供しています。
- illumio社のIllumio ASP(Adaptive Security Platform)における導入前コンサルティング・サービス、お客様環境における検証サポート、実環境への導入作業、運用サービス
またインフラ・ストラクチャセキュリティだけでなく企業様全体サイバーセキュリティー対策に関する幅広い知見と独自のフレームワークなどを活用しリスクアセスメントを推進、将来のロードマップ及び移行計画の策定をご支援いたします。
【関連情報】
IBM Securityのゼロトラスト・ソリューションの概要はこちら
【著者情報】
執筆者
柳瀬 雅也
日本アイ・ビー・エム株式会社
セキュリティー事業本部
コンサルティング&システム・インテグレーション
シニア・セキュリティ・アーキテクト
AWS SAA/SAP/SCS
2000年よりネットワークエンジニアとして活動後、サイバーセキュリティー業務に従事。大手国内キャリア、アジア大手キャリア、セキュリティソフトウェアベンダを経て、2020年に日本アイ・ビー・エム株式会社に入社。インフラ・エンドポイントセキュリティソリューションを中心に様々な業界のセキュリティーソリューションサービスの提案活動/導入業務に携わる。
事業責任者
小川 真毅
日本アイ・ビー・エム株式会社
セキュリティー事業本部
コンサルティング&システム・インテグレーション
理事/パートナー
CISSP CISA CISM CBCI PMP MBA
インシデント・レスポンス研修 (旧称 CSIRT研修)
IBMインシデント・レスポンス研修 (旧称:CSIRT研修)を、2023年3月6日(月曜日)~9日(木曜日)の4日間にて開催! 締切は2023年2月16日(木曜日)です。 サイバー脅威に備えてセキュリティー・インシデント […]
Fusion Centerによる脱サイロのサイバーセキュリティー・ガバナンス: Vol.1 構想のポイント
多くの企業が、サイバー脅威への対応としてセキュリティー監視や有事対応の態勢を整備しています。昨今は特に、1) 脅威を如何に予防するか(Cyber Hygiene)、2)脅威に如何に集団防衛で立ち向かうか(Collecti […]
Fusion Centerによる脱サイロのサイバーセキュリティー・ガバナンス: Vol.2 統合する機能
Vol.1では、グループ全体のセキュリティー態勢を一層向上するためにグループ横断的に専門知見を集約する組織として、Fusion Centerの概要、およびその主な目的と導入効果を説明しました。本稿Vol.2では、構想背景 […]