マイクロセグメンテーションによるゼロトラスト・アーキテクチャー: Vol.1従来のネットワーク・セグメンテーションとマイクロセグメンテーションの違い~

記事をシェアする:

加速しつづける世界経済においてインターネットが登場してからビジネスの在り方が劇的に変化しています。クラウド化・デジタルトランスフォーメーション(DX)・テレワーク・IoT・AI・自動化と進化し続けるIT技術はビジネスの成長に不可欠な要素の1つであり、もはやIT活用なしでビジネスの成功はないと言っても過言ではありません。

一方でIT技術が進化すればするほど企業や国家の資産がインターネットに接続し、それにより企業や国家が持っている非常に価値のあるIT資産がはるか遠方の攻撃者によって瞬時に簡単にアクセスできる状況にもなりました。サイバー犯罪の件数は年を追うごとに増加傾向にあり、サイバー犯罪の被害額やインフラ停止による社会影響も拡大しつづけています。

アメリカではランサムウェアにより大手石油供給会社が被害を受け、復旧のため業務停止を強いられる事件も発生しています。

サイバー攻撃を行う攻撃ツールや不正アクセスを行う侵入経路など攻撃に必要なモノはダークウェブで簡単かつ安価に手に入るようになっており、サイバー攻撃の初期侵入の難易度は格段に低くなってきていると考えられます。

従来のネットワーク境界防御とその限界

旧来の牧歌的なITネットワークは非常に単純で、データセンターに自前のサーバーなどを設置し、インターネットとの境界をファイアウォールなどの機器で境界防御する構成が一般的でした。この考え方は「データセンターや社内の中にあるモノ・人は常に正しいことしか行わない、悪意のある行動は行わない」という性善説で成り立っています。

しかし昨今、クラウド化・デジタルトランスフォーメーション(DX)・リモートワーク・IoT、企業間や各国支社間の通信網の発達も相まって、インターネットから直接アクセスや攻撃ができるポイント（Attack Surface）が急激に増加し、サイバー攻撃がより簡単に、より効果的に行えるようになりました。

データセンターのファイアウォールで防御する従来のデータセンター・セントリックなセキュリティー境界防御で防御しつづけるのは限界と考えられています。

そこで従来の境界の中は「善」と定義するのではなく、資産にアクセスしてくるものはすべて「悪」であり無条件に信頼するものではなく、常にアクセスを検査する必要があるという「ゼロトラスト」という概念が登場しました。

最近の傾向では、セキュリティー強度が比較的低い海外支社・協力会社やリモートワーカーを狙い撃ちし、そこを踏み台にして本丸である本社や企業中枢の重要情報を搾取するという事例が増加してきています。

また個人でも簡単にクラウドサービスを利用することができるため、機密情報を退職前に持ち出して転職先に提供するという事例もでてきています。一般的に社内の内部犯行者が行う情報漏洩の被害額は、社外のサイバー組織が行う攻撃よりも多額になるという研究結果もあるほどです。

ゼロトラストの考え方を踏襲するマイクロセグメンテーションの登場

このゼロトラスト・アプローチの考え方を踏襲し、アクセスが必要なリソースだけがIT資産に接続できるよう細かくアクセス制御を行う「マイクロセグメンテーション」という新しいセキュリティーの概念が登場しました。

本記事では「マイクロセグメンテーションとは」「従来のセグメンテーションとマイクロセグメンテーションの相違点」を説明し、理想的なマイクロセグメンテーションを実装するための必要な要素をご紹介したいと思います。

セグメンテーションとは？

マイクロセグメンテーションの前に「セグメンテーション」の概念についてご説明します。物理社会の例で言うと、ビルの防火壁や潜水艦の防水壁などが上げられます。

防火壁や防水壁はシャッターや扉などでエリアを区分け（セグメント化）し、ある区画に火災や浸水が発生したとしてもその影響を全体に及ぼさないようにする物理セキュリティー防御策です。

デジタルの世界のセグメンテーションとしてはDMZなどのネットワーク・セグメンテーションがなじみ深いですが、防火壁と同じくファイヤーウォールなどの機器で「区分け」を行い、DMZエリアが攻撃者に侵害された場合でも社内ネットワークまで侵入されないようにするためのセキュリティー手法です。

ただし、前述の通りクラウド化・DX・新しい技術の登場によりセグメント化したいエリアがデータセンターの外に移動。従来型のDMZ方式だけでは対応できなくなっています。

マイクロセグメンテーションとは？

マイクロセグメンテーションとは、データセンターやクラウド環境の中に細かく防火壁を配置することで細かなゾーンを作成。それぞれのサーバー・アプリケーションをそれぞれ隔離することで個別に保護するセキュリティー手法です。

マイクロセグメンテーションにより、場所に依存することなく「通信すべきものだけアクセス許可させる」というゼロトラスト・アプローチに基づき、サーバー・アプリケーション間のネットワーク・トラフィックを制限する「AllowList」のポリシーを作成して通信を制御します。

IPアドレスだけでなく通信ポートもマイクロセグメンテーションで制御することでネットワークの攻撃可能な経路を極限まで極小化し、ネットワーク侵害を抑制することができます。

仮にサーバーやアプリケーションに未知の脆弱性やパッチを当てていない脆弱性があった場合でも、正規の経路以外からの通信ができないように制限していると、既知・未知の脆弱性への攻撃に対する対応力も強化することができます。

また攻撃対象の存在及び攻撃ポイントを探るポート…スキャニングなどの偵察行為が行われた場合でも、マイクロセグメンテーションされているサーバーは正規の経路ではない偵察行為には応答しません。つまり攻撃者からその存在を把握される可能性が低くなります。

攻撃者がその存在を補足するためにはまず正規の経路にたどり着くという複雑な迷路を進む必要があるため、侵入までの時間を大幅に長くすることが可能となります。

まとめ

本稿Vol.1では、クラウド推進やCOVID19によるテレワーク急増などにより企業ネットワークとネットワーク・セキュリティーは変革を求められており、ゼロトラストやマイクロセグメンテーションという新しいセキュリティーの考え方が登場したことを中心にご説明いたしました。

Vol.2ではマイクロセグメンテーションソリューションを選定する際、注意すべき要素についてご説明したいと思います。

【関連情報】

IBM Securityのゼロトラスト・ソリューションの概要はこちら

【著者情報】

2000年よりネットワークエンジニアとして活動後、サイバーセキュリティー業務に従事。大手国内キャリア、アジア大手キャリア、セキュリティソフトウェアベンダを経て、2020年に日本アイ・ビー・エム株式会社に入社。インフラ・エンドポイントセキュリティソリューションを中心に様々な業界のセキュリティーソリューションサービスの提案活動/導入業務に携わる。