トピック

マイクロセグメンテーションの実現でラテラルムーブメントを強力に阻止 「Illumio」が示すセキュリティ設計の礎(いしずえ)とは

デジタルトランスフォーメーション(DX)の加速とともに、ビジネスとITインフラはますます切り離せないものとなっており、ITを活用した事業の変化を推進するDXと、自社ITインフラの安定稼働ならびに信頼性を確保するためのセキュリティ対策のバランスは、困難ではあるが避けて通れない喫緊の課題だ。特に近年では、深刻な攻撃は内部端末を起点とし、攻撃者が侵入後に侵害範囲を徐々に拡大させる「ラテラルムーブメント」によって被害が拡大し、その対処が急務となっている。こうした攻撃への対応策として、欧米諸国でインフラ設計の基礎となっている考え方が「マイクロセグメンテーション」だ。マイクロセグメンテーションとはどのような考え方なのか、そして、企業はそれをどのように実装していけばよいのか。詳しく解説していく。

イルミオジャパン合同会社 リージョナルセールスディレクター 河合 瑞気 氏

ゼロトラストの礎である「マイクロセグメンテーション」

 デジタルトランスフォーメーション(DX)の推進に伴いビジネスがITと密接に結びつくようになった今日では、ITインフラに生じたトラブルが事業にもたらす影響は肥大化しており、これまで以上に安定した運用と信頼性が求められるようになっている。

 一方、マルチクラウド/ハイブリッドクラウドの活用増や、リモートワークの普及、さらにはローコード/ノーコードツールを用いた現場担当者自らによるアプリケーション開発の拡大など、ITインフラはより複雑さを増しており、運用管理の難易度を上昇させている。

 そうした中で喫緊の課題として浮上しているのが、セキュリティの強化だ。

 近年、サイバー攻撃はますます高度化・巧妙化しており、その対応に苦慮している企業は少なくない。加えて、冒頭で述べたようなITインフラの複雑化により、従来の「境界型防御」では対処が困難となっている。そうしたことから、侵入を前提としたセキュリティ対策を行う「ゼロトラストセキュリティ」という概念が広く認識され、その考え方に基づいたセキュリティソリューションも市場には数多く登場している。だが、ゼロトラストセキュリティ自体はあくまでも概念であり、「具体的にどのようなセキュリティソリューションを導入したらよいのか分からない」といった悩みをもつ企業・組織は少なくないだろう。

 侵入を前提とした、ゼロトラストセキュリティの実現を考えるうえで、その礎となるのが「セグメンテーション」だ。マイクロセグメンテーションは、そのセグメンテーション手法の一つで、PC等のエンドポイント、サーバー、仮想マシン等の区画分けを細かい単位で行い、セグメント間の通信を必要最低限に制限する。このように分割管理された社内のIT資産を、都度詳細かつ適切な認可によりアクセスコントロールを実施することがゼロトラストの基本的な考え方である。

 イルミオジャパン合同会社 リージョナルセールスディレクターの河合瑞気氏は、「あるホストに感染したマルウェアが、社内ネットワークに存在する他のホストやシステムへ段階的に侵害を拡散させていく『ラテラルムーブメント』と呼ばれる攻撃の影響が深刻です。経営にダメージを与える致命的な攻撃は内部の端末から行われます。対してマイクロセグメンテーションによる細かな区画分けと権限最小化による通信制御が行われていれば、万が一あるホストがマルウェアに感染した場合でも、ラテラルムーブメントによる他ホストの横展開を防ぎ、社内システム全体への影響を最小限に食い止められるようになります。結果、事業継続性を確保できるようになります」と強調する。

 安全性の高い環境設計には、「防御対象となるアプリケーションは、社内のどのようなホスト同士の通信によって成り立っているのか」「マルウェア感染等による被害が生じた際に、他のホストやアプリケーションにどのような影響を与えるのか」について、可視化することが第一歩となる。

ホスト間通信の可視化と制御でマルウェアの拡散を阻止

 しかし、現在のITインフラは、オンプレミスの物理環境だけでなく、仮想サーバーやコンテナ、マルチ/ハイブリッドクラウド環境等と多様化している。区画分けはもとより、可視化することも困難な状況となっているのは確かだ。

 このような現在の複雑さを増したITインフラにおいても、効果的なマイクロセグメンテーションの実装、ひいてはゼロトラストセキュリティの実現を強力に支援するソリューションが、「Illumio(以下、イルミオ)」である。その特徴はホスト同士の通信を論理レイヤーでグループ化や抽出をしながら、わかりやすく、リアルタイムにビジュアル化するとともに、それらの通信に対して適切なコントロールを適用することにより、リスクを局所化し、被害の拡散を防ぐことに貢献する。

 イルミオがどのようにしてマイクロセグメンテーションを実現するのか、具体的な仕組みについて説明しよう。はじめに管理対象のホストである、サーバーOSやクライアントOSに専用のエージェントソフトウェア「VEN(Virtual Enforcement Node)」をインストールして利用する。VENは、ホストがどのような通信をどのホストに対して行っているのか、情報を収集し、その情報をイルミオのプラットフォームが論理的に再構築し、管理画面に表示する。この管理画面を通じて、社内システム全体が可視化されるようになるほか、アプリケーションごとに区画分けを行ったり、セキュリティインシデントが発生した際にどのような通信制御を行うのか直接設定したりすることができる。

 イルミオジャパン合同会社 シニアシステムズエンジニアの徳永祥氏は、「イルミオは区画分けに際して、アプリケーションやデータベース、Webなどサーバーの役割を区別する『Role』、財務、人事、CRM等のアプリケーションの種類を示す『Application』、本番環境なのか開発環境なのかを分類する『Environment』、そしてホストが設置されている場所を記す 『Location』の4ラベルをデフォルトで用意しており、ラベルごとにグループ化することで一貫した通信制御のポリシーを設定、適用することが可能です。例えば、財務に関連するアプリケーションであれば、そのラベルを付したグループを設定し、管理コンソールから一元的にファイアウォールのブロックポリシーを適用できます。このほかにも、お客様固有の要望に応じて、任意のラベルを設定、付与することも可能です」と説明する。

イルミオジャパン合同会社 シニアシステムズエンジニア 徳永 祥 氏

既存環境に影響を与えることなく導入が可能

 イルミオのメリットの1つが、既存の環境に影響を与えることなく導入が可能な点だ。「ホストに導入するVENはカーネルスペースに触れず、ユーザー領域で稼働します。通信の制御もOSが有するファイアウォール機能を利用するため、VENが直接通信に介入することもなく、通信制御を行なっても性能影響が発生しません。また、導入時にもアップデート時にも再起動が不要で通信の瞬断もないため、稼働中の重要なサーバーに対して、安心して速やかに導入することが可能です」と河合氏は強調する。

 ITインフラの場所や環境を選ぶことなく管理、制御が行えることも、イルミオの優位性として挙げられる。オンプレミス、クラウド、物理/仮想サーバー、さらにはコンテナなど、ITインフラの種別を問わず利用することが可能だ。「パブリッククラウドで提供されるPaaSについては、エージェントを利用することなく管理可能な『Illumio CloudSecure』も用意しています。これは、パブリッククラウドサービスとのAPI連携により、クラウド上の管理サービスからログやインベントリ情報を収集して通信を可視化するほか、制御ポリシーを設定して適用させることができます」と、徳永氏は補足する。

 そして、比較的短期間で通信の制御まで行えることもイルミオの特長である。

 「基本的には、90日間で完全に制御が可能な状態に至ることが可能です。具体的には最初の30日で可視化、次の30日で大まかなラベリングと危険度の高いポートの制御、そして次の30日でアプリケーションのより具体的なラベリングとセグメンテーションの実施、およびセキュリティポリシーの策定と適用を実施する、という段階的な導入を推奨しています。これはグローバルでの基準なので、慎重に進める日本の場合だともう少し時間を要するかもしれません。また、大きな区画分けからスタートして、徐々にセグメンテーションを詳細に実施していくという進め方も、小さな実績を積み上げながら、事業への影響を最小限に抑えつつ、継続的に環境を改善していくうえでは効果的であると考えます」(徳永氏)

「Interop Tokyo 2024」で「イルミオ」のさらに詳しい情報が入手可能

 来る6月12日~14日までの3日間、千葉幕張メッセにてネットワーク技術のイベント「Interop Tokyo 2024」が開催される。同イベントにイルミオジャパンは出展、これまで紹介してきたイルミオに関するより詳細な情報が得られるセミナーを開催するとともに、ブースでの展示も行う。

 6月12日の15:10-15:50、展示会場内RoomEにて「ラテラルムーブメント対策に欠かせない!マイクロセグメンテーション実装の最適解とは」と題されたセミナーを開催。イルミオの活用により、既存のネットワーク環境の設計を変更することなく、ラテラルムーブメントへの耐性を強化するための環境づくりの方策について、動画を交えながら具体的に解説する。

 同様に展示ブースにおいても、イルミオの機能やセグメンテーションの仕組みを分かりやすく解説する動画を上映するほか、エンジニアへの個別相談も受け付ける予定だ。

 「ラテラルムーブメントへの対処に限らず、レジリエンスを高める環境づくりや、内部ネットワークの視認性の課題、ゼロトラストへの取り組みなど、自社のセキュリティ対策について課題や悩みを抱えているのであれば、ぜひ、セミナーにご参加いただくとともに、当社ブースにお立ち寄りください。セグメント管理はセキュリティ設計の基礎ですが、日本ではこれまで特に取り組みが弱かった領域です。現在、皆様が抱えられているセキュリティ課題を解決するための、何らかのヒントをご提示できると考えています」(河合氏)

<お問い合わせ先>
イルミオジャパン合同会社
URL:https://www.illumio.com/ja
問い合わせフォーム:https://www.illumio.com/ja/support/contact