【入門編2】ランサムウェア対策の本命「マイクロセグメンテーション」|内部通信制御解説編

【入門編2】ランサムウェア対策の本命「マイクロセグメンテーション」|内部通信制御解説編

はじめに

 本記事では、昨今のランサムウェアの動向と手法から、その対策まで、ネットワークセキュリティの観点から解説しています。(入門編全2回、第1回はこちら

▼ 目次
1.マイクロセグメンテーションとは
2.内部通信の可視化という価値
3.場所に依存しないことも重要
4.可視化の後は遮断、サーバーの役割にラベルを貼って制御
5.マイクロセグメンテーションが侵入型ランサムウェアを止める

1.マイクロセグメンテーションとは

 マイクロセグメンテーションは、企業のネットワークを細分化(マイクロ)して区分け(セグメンテーション)する技術です。例えるなら、大型船舶が船内部の区画を分けることで、浸水による沈没を避けることに似ています。この技術によって内部通信をゼロトラスト化することが、ランサムウェア対策の強力な手段になります。なお、マイクロセグメンテーションとゼロトラストの基礎をわかりやすく解説していますので、こちらをご覧ください。

セグメントを細分化し、リスクを極小化する

図 1. セグメントを細分化し、リスクを極小化する

2.内部通信の可視化という価値

 マイクロセグメンテーションを採用する大きな価値とされているのは、まずネットワーク内部の全体を見渡せるようになることです。「見えないものは守れない」からです。

 そもそも、これまでの企業ネットワーク内部では、どこがどこと通信を行うのかを網羅的に把握することは困難でした。なぜなら、企業ネットワーク通信はルータやスイッチなどの機器で処理されますが、それらの機器はパケットを次の宛先に届けることに特化したものです。

 通信の最初から最後までを追いかける機能は持っていません。ネットワークのモニタリングツールは数多くありますが、そこを補う様なソリューションはこれまでありませんでした。

 対して、マイクロセグメンテーションでは、ネットワーク上の「どこからどこへ」という部分を可視化することができます。

 マイクロセグメンテーションでは、サーバーやクライアント端末のOS上にインストールされたエージェントが通信制御を行いますので、その通信の送信元と宛先をすべて把握することができます。

 下図は、筆者が所属するアカマイ・テクノロジーズのAkamai Guardicore Segmentation(略称AGS)という製品の画面です。シンプルに矢印を追うことで、どこからどこに通信が行われているかを把握することができます。ここではAccounting-lb-1というサーバーからAccounting-web-2というサーバーへの通信が表示されています。実際の通信は、間に多くのネットワーク機器が介在していますが、それを省略してシンプルな可視化を実現しています。これがランサムウェア対策として今後見ていく部分です。自社の重要な資産に通信を行っているのが、正しい者であるかどうかが非常に重要だからです。

どこからどこに通信が行われているかを簡単に可視化できる

図 2. どこからどこに通信が行われているかを簡単に可視化できる

 Akamai Guardicore Segmentaionの詳細については、以下よりご覧いただけます。


資料はこちらから

3.場所に依存しないことも重要

 このエージェントソフトウェアは、オンプレに限らずクラウド上にも展開できます。そのため、自社のネットワーク内で発生している通信を、場所を意識することなくすべてエンド・ツー・エンドで把握できるようになります。重要なのは「場所に依存しない」ということです。ハイブリッドクラウドが当たり前となった現在の企業ネットワークでは必須の要件です。

 OS上にインストールするエージェント型ですので、ルータ、スイッチ、そしてファイアウォールなどのアプライアンス機器とは異なり、場所の制限なく展開ができます。これまでは追跡に時間と手間がかっていた「どことどこが通信をしているのか」を簡潔に把握することができるようになります。

 例えば、上図ではAccouting-lb-1というサーバーからAccounting-web-2の間で通信が行われていることを可視化しています。間にどれだけのスイッチやルータが入っていても実際に通信するのはこの2台のサーバーであり、そこでどのような通信が行われているのかをシンプルに把握できます。

 

4.可視化の後は遮断、サーバーの役割にラベルを貼って制御

 また上図では、本来許可していないattkという謎のプロセスから通信が発生していることも確認できます。これは赤矢印で表示されていることからAGSが不正通信としてブロックし、攻撃を遮断しています。企業のセキュリティポリシーに沿って通信制御を実装できることがマイクロセグメンテーションの本領です。

 例えば、「本番環境の会計アプリは外部と通信してはならない」というのが企業の通信ポリシーだとします。これを、従来のファイアウォールを使ったセグメンテーション技術で制御しようとするととても複雑でした。なぜなら、「本番環境」「会計アプリ」というのはあくまで管理上の概念で、実際の設定はIPサブネットやTCPポートというネットワーク上の定義に変換する必要があったからです。例を挙げると、本番環境=10.0.0.0/24、会計アプリ=10.0.0.240/28、データベース=TCP27017というような要素が実際の機器に設定される情報になります。そのため、必要なポリシー全てを設定するには複雑になりすぎてしまいます。結果、設定は大まかなものになってきました。これは今必要なランサムウェア対策としては不十分です。

 エージェント型のマイクロセグメンテーションでは、ラベルと呼ばれる機能によってこの制約を無くし、必要なポリシー設定を実装することができます。これは「本番環境」や「会計アプリ」などの管理上の単位をそのままマイクロセグメンテーションのエージェントに割り振れる機能です。IPアドレスのように場所にひも付くものではなく、どこでも同一に機能する要素として企業のセキュリティポリシー実装が可能となります。

 下図は、「本番環境にある会計アプリのデーターベースの外部通信は禁止」という制御をラベルへ設定した画面です。サーバーにこの3種類のラベルを貼るだけで、そのサーバーがどこにあっても外部との通信は一切できないよう制御できます。(東京のデータセンターでも、アメリカのデータセンターでも、AWSやAzureなどのクラウド上でも、その場所は一切関係なく同一のポリシーが維持されます。)

ラベルによる制御は場所の制約を外し企業のクラウド活用を後押しする

図 3. ラベルによる制御は場所の制約を外し企業のクラウド活用を後押しする

5.マイクロセグメンテーションが侵入型ランサムウェアを止める

 ここまで述べてきたように、従来は検査が不十分であった内部通信ですが、それをマイクロセグメンテーションによって可視化し、ラベルで制御できるようになります。そうすることで、攻撃者の行動をネットワーク上で細かく区切られた複数の区画(セグメント)に封じ込められるようになるのです。

【マイクロセグメンテーションで攻撃者の侵入を防ぐ流れ】
内部の通信制御を行うことで、こんなにも多くの箇所で攻撃を止めることができます。

  1. ネットワークへの初期侵入 
  2. ネットワーク探索 →ネットワーク内のスキャン通信を遮断
  3. ラテラルムーブメント →ポリシー上許可されない通信を厳密に遮断
  4. 情報の窃盗、暗号化と身代金要求(ランサム) →攻撃者の外部司令サーバーとの通信を遮断
マイクロセグメンテーションなら複数箇所で侵入方ランサムウェアを止める

図 4. マイクロセグメンテーションなら複数箇所で侵入方ランサムウェアを止める

 漫画でよりわかりやすくまとめております。以下よりご覧いただけます。

VMware Cloud on AWS の詳細

入門編2のまとめ

 本記事では以下について解説しました。

  • 内部通信制御がランサムウェア対策として有効
  • 内部ネットワークのゼロトラスト化、マイクロセグメンテーションが台頭
  • マイクロセグメンテーションによる内部ネットワークの可視化
  • ラベルを使った場所にとらわれないシンプルな通信制御
  • 侵入型ランサムウェアへの適用

 明日突然、貴社がランサムウェア被害に遭うかもしれません。被害を止めるには、これまで出来ていなかった内部通信の可視化と制御をマイクロセグメンテーションで対応することが有効です。サイバー攻撃から事業を保護し、健全な事業成長を継続するために、ぜひマイクロセグメンテーションの導入をご検討ください。

 関連記事
 【導入編】ゼロトラストセキュリティの新常識|マイクロセグメンテーションとは
 【入門編1】ランサムウェア対策の本命「マイクロセグメンテーション」|ランサムウェア解説編

 Akamai Guardicore Segmentaionの詳細については、以下よりご覧いただけます。


資料はこちらから
 
  
 

 ここまで読んでいただき、マイクロセグメンテーションに関してより詳細な情報を入手したいお客様はぜひ弊社にお問合せください。マイクロセグメンテーション製品の具体的な情報提供や製品デモなどを実施させていただきます。

お問合せ
【入門編2】ランサムウェア対策の本命「マイクロセグメンテーション」|内部通信制御解説編