サイバーレジリエンスを向上するマイクロセグメンテーション

「見つけて直す」から「制限して封じ込める」へ

サイバー攻撃の増加や巧妙化などの変化から、企業のセキュリティ対策も変化している。以前は「そもそも侵入させない」という考え方でゲートウェイの対策を重視してきた。しかし、その対策をすり抜ける攻撃が増えたため、重要な情報にアクセスされても外部に持ち出されないための出口対策、そして内部での不正な挙動を検知する内部対策へと変化してきた。

複数の対策を実装するようになると、今度は運用の問題が顕在化する。そこで、セキュリティ機器のアラートや企業ネットワーク内部で発生する通信を集積・分析し危険な挙動をあぶりだすSIEM（Security Information and Event Management）やEDR（Endpoint Detection and Response）の導入も増えた。

ただし、これらを運用するにはSOC（Security Operation Cente）やCSIRT（Computer Security Incident Response Team）といった組織が必須となる。これらを外注するマネージドサービスもあるが、いずれにしても迅速な対応には限界がある。

そして、何重ものセキュリティ対策を行ってきた企業ネットワークが意味をなさなくなってきた現在は、ゼロトラストの考え方が重視されている。ゼロトラストの考え方とは、「一切を信頼せず、都度検証する」というものだ。その対象はアプリケーション、デバイス、ネットワーク、ユーザーなど幅広い。これらについて、アクセスが行われるごとに総合的に検証する仕組みとなる。

例えば、企業システムにユーザーがログインしようとする際は、IDとパスワード、あるいは多要素認証を行うことに加え、アクセスに使用しているデバイスは許可されているものか、適切にアップデートが適用されているか、アプリケーションは許可されているものか、ネットワークは安全なものかなどの検証を行う。

検証を行う中で一つでも問題があれば、そのユーザーはアクセスできない。これにより、例えばマルウェアによる侵入は検証を満たさないため、エンドポイントのPCから企業ネットワークに侵入することができない。もちろん水平移動も制限される。

このように、ゼロトラストの仕組みを導入することで、これまでの検知して対処するという対応から、制限して封じ込めるという自動化した対処が可能になる。

求められるサイバーレジリエンス

セキュリティ対策とセットで考えておきたい対策が、サイバーレジリエンスである。レジリエンスには「弾性」や「復元力」といった意味があることから、サイバーレジリエンスは「サイバー攻撃やシステム障害、あるいは自然災害などが発生しても、迅速に復旧し業務の停止時間を最小限にする」といった意味合いになる。

サイバーレジリエンスの高い能力があれば、経済的な損害を最小限に抑え、迅速に事業を再開することでステークホルダーの信頼を維持できる。競争優位性の向上にも効果的だ。サイバーレジリエンス能力を向上するには、3つの課題がある。

1つ目の課題は、ネットワークの境界が曖昧になっていること。前述のようにITの進展により、システムが広範囲にわたり複雑化している。2つ目の課題は同様に、アタックサーフェスが拡大していること。そして、3つ目の課題はスケーラビリティである。

これらの課題を踏まえてサイバーレジリエンスを向上させるには、マイクロセグメンテーションの導入が有効となる。

マイクロセグメンテーションは、拡大した企業システムを細分化（セグメント化）し、セグメントを越える通信に対してポリシーコントロールを行う。これにより、サイバーレジリエンスを向上させる3つのポイントを実現できる。

1つ目のポイントは、リスク顕在化の予見が可能となること。ポリシーコントロールによりサイバー脅威の拡散を阻止し、すべての資産にわたるセキュリティリスクについて明確な見通しを得ることができる。

2つ目のポイントは、日常的な攻撃に耐えられること。資産と資産の依存関係を可視化できるので、特に重要なシステムのサイバーレジリエンスを強化できる。

3つ目のポイントは、リアルタイムでの適応が可能になることとなる。

マイクロセグメンテーションでは、IT環境の進化に合わせて可視性とセキュリティポリシーを動的に拡張できる。これがビジネスの俊敏性と回復力の確保につながる。企業はリスクをより適切に管理し、単一のインシデントが業務に与える影響を制限でき、結果としてレジリエンスを向上できる。

次回は、クラウドにおけるリスクとマイクロセグメンテーションの有効性について紹介する。