ゼロトラストセキュリティに向けてマイクロセグメントを–アカマイが訴求
今回は「ゼロトラストセキュリティに向けてマイクロセグメントを–アカマイが訴求」についてご紹介します。
関連ワード (セキュリティ等) についても参考にしながら、ぜひ本記事について議論していってくださいね。
本記事は、ZDNet Japan様で掲載されている内容を参考にしておりますので、より詳しく内容を知りたい方は、ページ下の元記事リンクより参照ください。
アカマイ・テクノロジーズは5月17日、メディア向け説明会を開催し、マイクロセグメンテーションについて紹介した。同社はマイクロセグメンテーション技術を手がけるイスラエルのGuardicoreを2021年11月に買収しており、Guardicoreを中核にしたマイクロセグメンテーションの新サービスを7月に発表する予定を明らかにした。
マイクロセグメンテーションは、サイバーセキュリティの観点などからITネットワークの内部をきめ細かい区画に分けて、区画ごとに制御や管理などを行う概念。説明を行った米国本社の副社長で企業セキュリティ分野のグローバル営業を統括するNathan Perdue氏は、「マイクロセグメンテーションは、ゼロトラストセキュリティモデルを実現するための中核を成す」と話した。
ゼロトラストセキュリティモデルは、情報システムが組織内の電算室、データセンター、クラウドなどに分散し、それを利用するユーザーのアクセス環境も社内外に分散化しつつある状況を踏まえて、IT調査会社の米Forresterが2012年に提唱した新しいセキュリティ対策の考え方になる。従来の企業ネットワークの内部とインターネットなどの外部ネットワークの境界を基準にして内部のアクセスは信用する「境界防御モデル」とは異なり、「基本は、全てを信用するのではなく、あらゆる権限を最小にし、常に監視を行う。このフレームワークを組織が適用する目的は、ランサムウェアの阻止、アプリケーションなどの資産の保護、可視性の向上、侵害の検出、クラウドへの移行になる」(Perdue氏)とする。
ゼロトラストセキュリティモデルを具現化するには、マイクロセグメンテーションの他にも認可・認証やアクセス制御、振る舞い検知といったさまざまな技術を組み合わせる必要がある。そのための目的や戦略、計画、投資、対策構築、運用などの取り組みは中長期的なものであり、組織がこれまで長い時間をかけて整備してきた「境界防御モデル」によるセキュリティ対策の仕組みから変えていかないといけない。
アカマイとしては、コンテンツ配信ネットワーク(CDN)を中核に、セキュリティソリューションでは認可・認証や不正ボットなどのマルウェア対策、分散型サービス妨害(DDoS)攻撃対策などを展開する。そこにマイクロセグメンテーションを加えるべく、Guardicoreを買収した。
特に、世界中で組織が事業停止に追い込まれるなどの甚大な被害が多発しているランサムへの対策は喫緊の課題になっている。ランサムウェアの対策には、未然に感染を防ぐだけでなく、万一感染してもデータやシステムを守れる工夫が必須という。これにはバックアップなどの方法もあるが、Perdue氏は「マイクロセグメンテーションを適用していれば、ある区画が侵害を受けてもその区画を切り離すことで、被害の拡大を抑止できる。これは船舶の構造に例えることができる。船舶の内部も細かく区画が分けられており、ある区画で浸水被害が発生してもその影響を区画にとどめることで、沈没を防いでいる」と解説した。
Perdue氏によれば、アカマイとしてのGuardicoreを用いたサービス展開は現在準備中とのことだが、買収以前から欧米などの組織で多くの導入実績があるという。金融大手のドイツ銀行は、約3万台のサーバーを6カ月程度でマイクロセグメンテーション化して保護したといい、米国のヘルスケア企業では約6000台のサーバーを業界のセキュリティ基準に準拠させるために導入した。また米国の小売大手は、コンプライアンス強化のために「Microsoft Azure」「Oracle Cloud」「VMware」の3つの環境に分散する約30種のアプリケーションを5つのマイクロセグメントに分類。この作業を1人のアーキテクトが2カ月で行ったという。
Guardicoreを用いたサービスについては、各種IT資産の把握と迅速なポリシーの適用、カバレッジの広さ、APIによる多様なシステム間連携への対応、イスラエルの軍出身者らの専門家の知見といった特徴があるという。
Perdue氏に続き日本法人でシニアプロダクトマーケティングマネージャーを務める金子春信氏が、Guardicoreの調査(回答は1000人)を引用して、組織におけるマイクロセグメンテーションの状況を紹介した。それによると、96%が既に何らかの形でネットワークをセグメント化しているものの、そのうち50%は1つの領域だけにとどまっているおり、3つ以上の領域に適用しているのは25%だったことが分かった。
調査結果に見られるように、ネットワークを区分けするネットワークセグメンテーション化の考え方は以前から存在し、例えば、データセンター内の特定のシステム領域だけに適用しているといった組織は多い。金子氏は、従来のネットワークセグメンテーションには、(1)区分けされた領域の内部の通信は信頼できる前提でセキュリティ監視を適切に行っていないこと、(2)区分けする領域の設定や設計が複雑なこと、(3)主流になり始めたハイブリッドクラウドやマルチクラウドの構成に適用しづらいこと――が課題になっていると指摘。そこで柔軟性のあるマイクロセグメンテーションが有効だとする
金子氏によれば、マイクロセグメンテーションの導入方法には大きく(1)既存のレイヤー3スイッチやファイアウォールをオーケストレーションする、(2)パイバーバイザー上でSDN機能と分散ファイアウォールを統合する、(3)エージェントベースにする――があり、Guardicoreを用いたサービスはエージェントベースになるとのこと。これは、既存のネットワーク構成の影響を受けにくく展開の柔軟性が高いためだという。ただし、導入規模が大きいほどエージェントの数が増え、展開作業の負担が大きくなってしまう。金子氏もサービス提供時にこの点を軽減する方法を検討したいと話した。
アカマイは日本でのサービスを7月に正式発表し、2022年度下期から本格的に提供していく計画だとしている。