政府／自治体

国防向けサイバーセキュリティ：ネットワークのセグメント化

西豪宏
2016年7月6日

この記事は、ディフェンスセキュリティ担当システムエンジニアリングマネージャーである Michael Overstreet によるブログ「Cybersecurity for Defense: Network Segmentation」（2016/5/11）の抄訳です。

情報を分類し区分することは、国防総省（DoD）が国防総省（DoD）と呼ばれる前から行われてきました。しかし、かつて金庫の中で安全に保管されていた DoD の情報がデジタルデータに移行されるにつれ、そのデータの処理や取り扱いの方法を規定する新しい規制が数多く導入されるようになりました。こうした規制は、データの分類に関するものですが、データやユーザのセグメント化にも関係するものです。

この数十年の間に、DoD のデータはデジタル形式に移行し、ネットワーク経由でデータセンターに保存されるようになりました。また、データの分類や区分の管理に使用されたものと同じ規制が、ネットワークにも適用されるようになりました。さらに、過去 10 年間でネットワークがますます複雑になるにつれ、新しい要件も示されてきています。そこでは、データの分類や区分が規定されるだけでなく、同じ分類内でタイプの異なるネットワークをどうセグメント化するかということも規定されます。こうした要件は、組織の大規模ネットワーク内にある小さなセグメントをより厳密に管理することにつながり、ネットワークのセグメント化をさらにおし進めます。

これらの規制は新しいものですが、ネットワークのセグメント化は、DoD にとっては特に新しいものではありません。従来、DoD のネットワークセグメント化は、セグメントのファイアウォールやルータ上のアクセスコントロールリスト（ACL）で実現されていました。しかし、今日のネットワークは、わずか 10 年前のネットワークと比べてもはるかに複雑です。要件が増え続け、ますます複雑化していく状況に、DoD は対処し続けてきました。その結果、ファイアウォールやルータなどのエッジデバイスだけで、ネットワークをセグメント化し続けるのが困難になってきました。要件が増し、複雑になっていくにつれて、管理のしやすさも失われていきます。そのため、DoD のネットワークセグメント化は、ネットワーク管理者やサイバー管理者にとって非常に困難な課題となってきています。

しかし、ネットワークのセグメント化は、シスコにとっても特に新しいものではありません。シスコのサイバーセキュリティソリューションでは、その複雑さにもかかわらず、ネットワークのセグメント化が容易に管理できます。シスコの Identity Services Engine（ISE）と Cisco TrustSec、StealthWatch をあわせて活用し、ネットワーク自体に直接ネットワークセグメントを組み込みます。シスコのテクノロジーは、ID に基づいたポリシー主導型のセグメント化を活用して、ネットワークアクセスのプロビジョニングのシンプル化、セキュリティ運用の高速化、ネットワーク全体で一貫したポリシーの適用を実現します。特筆すべき点は、Cisco TrustSec テクノロジーが、シスコのスイッチ、ルータ、ワイヤレスコントローラ、セキュリティデバイスに組み込まれているということです。「Network as an Enforcer」と呼称する所以がここにあります。つまり、ネットワーク自体を利用して、集中型コンソールからセグメンテーションポリシーをすべて適用することができるため、ポリシーの管理が容易になるのです。今日では、サイバーセキュリティのプロフェッショナルを採用し、雇用し続けることが一つの課題ともなっていますが、こうした状況においては、効率的に管理できるということが絶対条件になります。

シスコは、DoD の機関がデータの安全を確保し続けることがいかに重要かをわかっています。また、セキュリティソリューションの管理性が向上すればするほど、優れたメリットが発揮されることも理解しています。シスコのネットワークを効率的なエンフォーサにしているのも、また、すべてをシンプルにして管理しやすくすることに注力しているのもそのためです。シスコが DoD のネットワークのセグメント化をどのようにサポートしているかについては、こちらからシスコのサイバー脅威対策をご覧ください。

Tags: