Categories: 政府/自治体

国防向けサイバーセキュリティ:ネットワークのセグメント化

この記事は、ディフェンス セキュリティ担当システム エンジニアリング マネージャーである Michael Overstreet によるブログ「Cybersecurity for Defense: Network Segmentation(2016/5/11)の抄訳です。


情報を分類し区分することは、国防総省(DoD)が国防総省(DoD)と呼ばれる前から行われてきました。しかし、かつて金庫の中で安全に保管されていた DoD の情報がデジタル データに移行されるにつれ、そのデータの処理や取り扱いの方法を規定する新しい規制が数多く導入されるようになりました。こうした規制は、データの分類に関するものですが、データやユーザのセグメント化にも関係するものです。

この数十年の間に、DoD のデータはデジタル形式に移行し、ネットワーク経由でデータセンターに保存されるようになりました。また、データの分類や区分の管理に使用されたものと同じ規制が、ネットワークにも適用されるようになりました。さらに、過去 10 年間でネットワークがますます複雑になるにつれ、新しい要件も示されてきています。そこでは、データの分類や区分が規定されるだけでなく、同じ分類内でタイプの異なるネットワークをどうセグメント化するかということも規定されます。こうした要件は、組織の大規模ネットワーク内にある小さなセグメントをより厳密に管理することにつながり、ネットワークのセグメント化をさらにおし進めます。

これらの規制は新しいものですが、ネットワークのセグメント化は、DoD にとっては特に新しいものではありません。従来、DoD のネットワーク セグメント化は、セグメントのファイアウォールやルータ上のアクセス コントロール リスト(ACL)で実現されていました。しかし、今日のネットワークは、わずか 10 年前のネットワークと比べてもはるかに複雑です。要件が増え続け、ますます複雑化していく状況に、DoD は対処し続けてきました。その結果、ファイアウォールやルータなどのエッジ デバイスだけで、ネットワークをセグメント化し続けるのが困難になってきました。要件が増し、複雑になっていくにつれて、管理のしやすさも失われていきます。そのため、DoD のネットワーク セグメント化は、ネットワーク管理者やサイバー管理者にとって非常に困難な課題となってきています。

しかし、ネットワークのセグメント化は、シスコにとっても特に新しいものではありません。シスコのサイバーセキュリティ ソリューションでは、その複雑さにもかかわらず、ネットワークのセグメント化が容易に管理できます。シスコの Identity Services Engine(ISE)Cisco TrustSecStealthWatch をあわせて活用し、ネットワーク自体に直接ネットワーク セグメントを組み込みます。シスコのテクノロジーは、ID に基づいたポリシー主導型のセグメント化を活用して、ネットワーク アクセスのプロビジョニングのシンプル化、セキュリティ運用の高速化、ネットワーク全体で一貫したポリシーの適用を実現します。特筆すべき点は、Cisco TrustSec テクノロジーが、シスコのスイッチ、ルータ、ワイヤレス コントローラ、セキュリティ デバイスに組み込まれているということです。「Network as an Enforcer」と呼称する所以がここにあります。つまり、ネットワーク自体を利用して、集中型コンソールからセグメンテーション ポリシーをすべて適用することができるため、ポリシーの管理が容易になるのです。今日では、サイバーセキュリティのプロフェッショナルを採用し、雇用し続けることが一つの課題ともなっていますが、こうした状況においては、効率的に管理できるということが絶対条件になります。

シスコは、DoD の機関がデータの安全を確保し続けることがいかに重要かをわかっています。また、セキュリティ ソリューションの管理性が向上すればするほど、優れたメリットが発揮されることも理解しています。シスコのネットワークを効率的なエンフォーサにしているのも、また、すべてをシンプルにして管理しやすくすることに注力しているのもそのためです。シスコが DoD のネットワークのセグメント化をどのようにサポートしているかについては、こちらからシスコのサイバー脅威対策をご覧ください。

Share
西 豪宏

国内大手キャリア・SI でのプリセールス SE を経験後、2000 年にシスコに入社。

お客様担当 SE、セキュリティ SEなどを経験し、現在はカスタマー・サクセス・スペシャリストのマネージャに従事している。