「ゼロトラスト」の土台になる――“検知に依存しない防御”とは？ 海外大手が続々導入したツールに見る対策

[PR／ITmedia]

PR

　サイバー攻撃などの脅威が企業や団体を襲う現在、既存のウイルス対策ソフトでは機密情報やIT資産を守りきれなくなっている。対策として注目を集めるのが、通信やアクセス状況の安全性を逐一検証するゼロトラストセキュリティモデル（以下、ゼロトラスト）という考え方だ。

　しかしゼロトラストを実際に導入する段階になると、どこから手を付けるべきか分かりにくいものでもある。通信を監視して、エンドポイントを管理して、操作ログを収集して異常を即検知する――対策を考えるときりがないが、もっと単純に考えていいと提案するソリューションがある。

　それが、検知に依存せず、シンプルな構成ながら有効な対策を実現している米Illumio社の「Illumio」だ。2013年からゼロトラスト事業を手掛ける同社は、企業がゼロトラスト導入の第一歩を手軽に踏み出せるようにすることを目指している。

　すでに米国トップクラスの企業が名を連ねる「フォーチュン100」企業の約15％が採用するなど、その信頼は厚い。一体どのようなソリューションなのか。今回、日本展開を担うソレキア（大田区）の執行役員である新田亨氏（DC・クラウド推進室長（兼）情報セキュリティビジネス推進室）に話を聞いた。同社は富士通のパートナー企業として長年ITインテグレーションなどを手掛けている。

取材に応じるソレキアの新田亨氏（DC・クラウド推進室長（兼）情報セキュリティビジネス推進室 執行役員）

境界型防御の限界

　そもそも、従来の情報セキュリティ対策は社内と社外を隔てるサイバー上の「壁」を作り、社内は安全、その外側にあるインターネットは危険と考えて対策をしていた。いわゆる「境界型防御」で、会社のオフィス内をセキュアな環境にするという分かりやすい仕組みで有効な対策を実現していた。

　しかし現在、クラウド環境の積極的な活用により自宅やカフェなどで業務効率を落とさずに仕事をする機会が増えた。さらにDX施策を進め、加えてマルウェアに代表されるサイバー攻撃に対応するには、従来の境界型防御だけでは限界になってきている。

　そこで注目されているのがゼロトラストだ。境界という考え方がなくなり、全てのデバイスやユーザー、通信、ネットワークを監視し、認証・認可をすることで安全性を確保していく考え方である。

ゼロトラストに「この製品なら万全」はない　しかし対策の土台は作れる

　こうしたゼロトラストを実現するさまざまなソリューションが登場しているものの、導入にはそれなりの時間がかかってしまう。しかしサイバー攻撃はそれを待ってくれない。

　それならば、ゼロトラストの第一歩として「必要な通信を許可」「不要な通信を遮断」だけにフォーカスして対策を進めればいい。これまで投資してきた情報セキュリティ対策へのアドオンで済む対策、それがIllumioの目指す姿だ。

　「ゼロトラストは概念なので『これを導入したら万全』という製品はありません。企業のIT環境によってあるべき姿や注力すべきポイントが変わります。Illumioはそうした各社で異なる状況に対応し、ゼロトラスト実現を土台で支えるソリューションです」（新田氏）

機器類を細かく区分け　通信を制御する「マイクロセグメンテーション」

　Illumioは「マイクロセグメンテーション」という技術で、防御力を強化する。この技術は、ネットワークにつながる機器類を、仮想マシンやサーバ、PCの単位で詳細にセグメント分け（区画分け）し、きめ細かく通信やアクセス制御をすることでラテラルムーブメントを阻止し、被害の拡大を防ぐ。

　「ある建物に不審者が不正に侵入してきたとき、各部屋の扉に鍵がなかったら、その後は自由に侵入されてしまいます。これが境界型防御のイメージです。しかし各部屋の扉に鍵を付けて、許可された人だけが入れるようにしておけば、不審者の内部での自由な移動は防げます。細かな単位で区画分けを行い、安全性を高めるマイクロセグメンテーションは日本では普及していませんが、これから情報セキュリティ対策の基本として広がるでしょう」（新田氏）

保護するIT環境をビジュアル表示　機器やシステムを自動で可視化

　Illumioを導入すると、まずはエージェントをインストールしたセグメントを起点にして、いわゆるシステム構成図のような表示でIT環境を自動的に可視化する。そしてネットワーク上の情報の流れやアクセス状況を把握し、不要な通信を遮断することでセキュリティリスクを減らしていく。

Illumioはネットワーク構成や通信の状況を可視化する（右下）。ここで不要な通信を見つけたら遮断するか判断できる

　その際、Illumioではセグメントの識別を容易にし、分かりやすくポリシー設定するためのラベルを用意している。管理対象のPCやサーバなどに対して4階層のラベル（Role、Application、Environment、Location）を付与するもので、ラベルは日本語対応している。「DBサーバ」「販売管理」「本番環境」「東京拠点」など任意の名称で設定可能だ。　

OSの標準セキュリティ機能を活用　負荷を抑えて挙動を軽く

　Illumioのユーザーフレンドリーなポイントは、挙動の軽さだ。情報セキュリティ製品の中には通信の監視をすることで端末の動作が悪くなることがある。しかしIllumioは、ネットワークの制御機能をアドオンするのではなく、OSに標準搭載されている「Windows Filtering　Platform」やLinuxの「iptables」といったファイアウォール機能を利用するため、端末に過度な負荷を掛けないで済む。OSのカーネルには影響を与えないので、インストールやバージョンアップ時の再起動なども不要だ。

　サーバやPCの場合、Illumioの管理画面からラベルを基にポリシー設定をすると、OSのファイアウォール設定に自動で反映されるため、細かなアクセス制御ができる。許可された通信のみ通し、不要な通信が発生しないよう遮断していくことでリスクを小さくできる。

　サーバやPCだけでなく、幅広い環境で利用可能だ。IaaSやコンテナサービスにも対応し、PaaSについてはAPI連携でアクセス制御できる。ネットワーク機器も制御可能だ。

　「ラベルをキーにするので、場所や環境にとらわれない管理や制御が可能であり、ハイブリッドクラウドやマルチクラウド環境にも柔軟に対応できるのも大きな特長です」（新田氏）

ラベルで手軽にセグメント分けできる

大手企業が続々導入　サーバ約3000台への導入実績も

　Illumioは年間サブスクリプションで提供しており、上限はなく10万台での稼働実績もある。パフォーマンスと実績の両方を兼ね備えたソリューションといえる。

　そんなIllumioは既存環境への影響が少ないため、既存のファイアウォールやEDR／XDRの機能と共存でき、検知に頼らない防御策としてマイクロセグメンテーションの仕組みを追加できる。

　すでに海外で高い評価を得ており、フォーチュン100企業の15％や世界の大手銀行の6行などが導入している。具体的な企業名を挙げると、SaaS大手の米Salesforceや北米のYamaha Motor、金融大手の米Morgan Stanley、世界規模の保険会社である豪QBE InsuranceなどがIllumioの力で守られている。Illumio社の公式発表では、200万以上のワークロードを保護しているという。

　香港のキャセイパシフィック航空ではIllumioをサーバ約3000台と約600のアプリケーションに対して導入した。オンプレミスからクラウドに至るまで多岐にわたる環境でラテラルムーブメントを防止している。この規模に導入するには通常だと年単位の時間がかかるが、わずか3カ月で運用を始められたと同社の担当者は評価する。この導入事例は動画とともにIllumio社のWebサイトに掲載されている。

3カ月で本稼働　「分かりやすい仕組みを届けたい」

　キャセイパシフィック航空の例にあるように、Illumioは3カ月程度で本稼働に進めるスピードが特長だ。Illumioの導入は、各社の環境に適したさまざまなパターンがある。3カ月間で、ソレキアが現状の評価やポリシー設定の支援などコンサルティングをして導入をサポートする。また運用を自社で担えるよう、基本操作の教育もソレキアが行う。機能自体がシンプルなので、最初にしっかり準備すれば自社運用が可能になる。

　Illumioは一気に全体への導入が難しければ、まず重要システムから部分的に導入したり、可視化メインで導入したりするなど、効果を確認しながら拡大していってもいいと新田氏は話す。その根幹には「インフラを守るために、分かりやすい取り組みを届けたい」というソレキアの思いが表れている。IllumioはSaaSとして提供しており、手軽に導入できる点もポイントだ。外部への接続が不可能な完全にクローズドな環境への適用についても、オンプレミス向けサーバ版で個別に対応でき、すでに実績もある。

　情報セキュリティ対策をするとき、多くの組織は「いかに脅威を検知するか」という点に注目しすぎていたのかもしれない。全ての振る舞いに目を光らせて異常を検知するのは負荷が大きいし、たった一つの見逃しがあったら組織を危険にさらしてしまう。

　検知力も重要だが、不要な通信をあらかじめ遮断し、もし侵入されたとしても自組織を守れる仕組みが対策の土台として必要ではないか。ソレキアが提供するIllumioは、そんな対策を実現する画期的なソリューションだ。短期的にはランサムウェア対策として、長期的にはゼロトラストモデルの実現に向けて、まずはソレキアに相談することから始めるのはいかがだろうか。

テレワークでも活躍　ビジネスPCの多様な利用シーンに安心を
富士通の「LIFEBOOK U9シリーズ」にも注目

持ち運びしたくなる約738gの超軽量コンパクトボディー

　13.3型でありながら奥行きはA4用紙よりも小さく、薄さ15.5mmと持ち運びも楽々！　多彩なセキュリティ機能を搭載していることはもちろん、堅牢性にもこだわっており「MIL-STD-810」に準拠した試験を実施。日々ビジネスで扱う大切なデータを、さまざまな紛失、盗難、故障リスクから守る。

富士通がテレワークで高い安全性を保つためのさまざまなセキュリティ対策「Fujitsu Smart PC Security」をご提供！

［1］ウイルス／マルウェア対策の強化

　ファームウェアレベルの攻撃に対しても、異常を自動で検知・修復する富士通独自のセキュアBIOS＋EMC（Endpoint Management Chip）を標準搭載。万が一BIOSがウイルス感染した場合でも被害が広がる前に抑えます。

［2］本人認証の強化

　Windowsや業務システムのログイン時に、指紋や顔、手のひらの静脈を使った生体認証や、カードなどのセキュリティデバイスを使ってIDやパスワード入力を代替。二要素認証にも対応します。

［3］データ保護の強化

　管理されていない記憶媒体やLANポート、Bluetooth搭載機器の使用を制限し、情報漏えいを未然に防止します。

高負荷な作業も快適
かつ強化されたセキュリティ
インテル® Core™ i7 プロセッサー搭載
インテル® vPro®