「サイバーレジリエンス」にマイクロセグメンテーションが有効なワケ:マイクロセグメンテーションの新時代(1/2 ページ)
マイクロセグメンテーションについて解説する本連載。後編ではクラウド利用が活発化する中で生まれた課題と、近年話題のサイバーレジリエンスに対してマイクロセグメンテーションがどう有効かを紹介する。
マイクロセグメンテーションの可能性を探る本連載。前編では、マイクロセグメンテーションは、企業ネットワークを細かいセグメンテーションに分け、これを越える通信をポリシーで制御することで、攻撃者の水平移動(ラテラルムーブメント)を防止できることを解説した。
このようにマイクロセグメンテーションは、ランサムウェアを含むマルウェア対策にも有効だが、それだけでなくクラウドセキュリティとサイバーレジリエンスにおいても高い効果を発揮する。後編となる本稿でそのポイントを紹介しよう。
筆者紹介:槌屋砂幾氏(イルミオ ジャパン シニアシステムズエンジニア)
セキュリティエンジニア、コンサルタントを経て、プリセールスエンジニアとして15年以上複数の外資スタートアップ企業に従事。主にIDS/IPS・SIEM・脅威インテリジェンスなどの分野のソリューションのプリセールス活動を行い、国内に新しい分野のセキュリティソリューション市場開拓を行なってきた。
クラウド利用が本格化したことで新たに生まれた課題とは?
今や企業のビジネス成長においてクラウドは必要不可欠なものとなった。デジタルトランスフォーメーション(DX)実現にはデータの活用が必須であり、そのためには柔軟で拡張性の高いシステムを構築する必要がある。問題はこうしたシステムを構築する上で、従来のオンプレミス(物理的)のシステム環境だけでは到底スピードが追い付かないことだ。
サーバの増強だけでも「社内稟議(りんぎ)を上げて予算を確保し、導入は来期」といったオンプレミスシステムの導入ペースでは加速するビジネスに対応できない。クラウドであればすぐに必要に応じたサーバの増強や削減ができ、新サービスの試験運用環境も容易に準備できる。
クラウドが世に出始めた当初、クラウドベンダーのデータセンターは海外に置かれているケースが多く、安全性が疑問視されたことからクラウドにシステムを移行する企業は少なかった。しかし現在は、オンプレミスよりも安全と言われるようになり、国内にも複数のデータセンターが構築された。そこに「クラウド・バイ・デフォルト原則」といった政府の後押しもあって、システムをクラウドに移行する企業が増えている。
だがクラウドに対するセキュリティの懸念がなくなったわけではない。テレワークが普及した今、VPN経由だとトラフィックが増大してレスポンスが悪くなるため、データセンターを介さずインターネットから直接接続(ローカルブレークアウト)してクラウドサービスを利用するケースも出てきた。
こうなるとデータセンターのプロキシを経由せず、ローカルブレークアウトによる通信が可能なケースがあり、自社で講じているセキュリティ対策が適用されないリスクがある。さらに管理者はアクセスを追い切れず、クラウドサービス上で何が実行されているかをリアルタイムで把握することが困難だ。
クラウドとの通信を把握するためのソリューションとしてはCASB(Cloud Access Security Broker)がある。CASBを導入すれば、従業員のクラウド利用をリスクレベルとともに把握でき、利用するクラウドサービスが自社のコンプライアンスを満たしているかどうかも確認できる。CASBソリューションによっては、情報漏えいを検知する機能も備えている。
だがCASBを導入するには自社のクラウド利用に関するセキュリティポリシーやルールを明確化する必要がある。これが明らかでないと、CASBの機能を最大限に生かすことは難しい。また、クラウドだけでなくオンプレミスにおけるセキュリティポリシーやルールも確立しておかないとバランスを欠いた対策になってしまう。さらに、CASBは異常を検知して通知するだけの場合が多いので、異常の原因は別途探る必要がある。
ここで有効なのがマイクロセグメンテーションだ。マイクロセグメンテーションソリューションを利用すれば、セグメンテーション技術をクラウド環境にまで導入できる。これによって、ハイブリッドおよびマルチクラウド環境におけるトラフィックフローをリアルタイムで表示し、セキュリティの盲点をなくすことが可能となる。アプリケーションの相互作用も可視化し、これらがどのように通信しているかを明らかにできる。
マイクロセグメンテーションはゼロトラストの考え方によってセグメント間の通信を制御する。ユーザーやデバイス、アプリケーションなどに対してポリシーを設定できるため、データセンターとパブリッククラウドの間で露出を制限し、最小限の特権によるアクセスを維持することが可能だ。
Copyright © ITmedia, Inc. All Rights Reserved.