Categories: セキュリティ

ゼロトラスト、マイクロセグメンテーション、ホワイトリスティングの重要性

この記事は、Security の Product Marketing Manager である Christina Hausman によるブログ「Zero Trust, Microsegmentation, Whitelisting, Oh My…」(2020/4/30)の抄訳です。

 

ゼロトラストは、すべてのネットワーク、アプリケーション、そして環境全体にわたってアクセスを包括的に保護するアプローチです。アプリケーションは現代ビジネスの根幹とも言えるほど、生産性の向上や収益拡大の鍵を握っています。そのためアプリケーションスタックやワークロードを包括的に保護することがきわめて重要です。組織が展開するワークロードの増大は留まるところを知りません。しかも、多様なコンポーネントから成る複雑なマルチクラウド環境を通じてそれらのワークロードが実行される場所も増え続けています。しかも各種の脅威が悪質化・巧妙化の一途をたどっているため、従来のセキュリティアプローチで環境全体を保護することはもはや困難です。そのため、「Trust nothing, verify everything」というゼロトラストアプローチが今後はどの企業でも必須のセキュリティ対策になります。

API、マイクロサービス、コンテナなどがアプリケーション内のデータベースにアクセスする今日の環境では、そうしたアクセスを保護する必要に迫られています。しかも、クラウド、データセンター、仮想環境など、ありとあらゆる場所を考慮する必要があります。そのためには、アクセスをセグメント化する方法を十分に検討し、挙動の怪しいプロセスを特定して侵害を封じ込め、攻撃者のラテラルムーブメント(水平移動)を防ぐ必要があります。

では、どのような方法が有効なのでしょうか。その答えはゼロトラストアプローチです。このアプローチは、「the devil is in the details(悪魔は細部に宿る)」という理念に基づいています。ゼロトラスト理念の一般的な実践手法は、マイクロセグメンテーションとホワイトリスティングです。

マイクロセグメンテーションとは、きめ細かいセグメンテーションポリシーを適用して仮想環境のワークロードを論理的にそれぞれ隔離する手法です。ホワイトリスティングでは特定の通信のみを許可し、それ以外の通信はすべて拒否します。この手法は一般的には「ゼロトラスト」とも呼ばれ、ワークロードの攻撃耐性を大幅に強化します。マイクロセグメンテーションとホワイトリスティングは、既存のセキュリティ保護対策をさらに強化する重要な要素です。これらを導入することで、仮想環境、コンテナ、クラウドベース環境の通信を可視化し、きめ細かく制御して、ネットワーク ファイアウォールが守る境界セキュリティを補強できます。マイクロセグメンテーションを利用すればきめ細かいトラフィック制御が可能になります。ホワイトリストに登録されていないトラフィックはブロックされるため、侵害を受けたワークロードから他のワークロードに攻撃が連鎖しません。外部の顧客やサードパーティが多様なデバイスを通じて組織内のアプリケーションや重要なアプリケーションデータにアクセスすることを許可している場合、より強固なセキュリティを確保する必要があります。そのため、こうした組織ではマイクロセグメンテーションとホワイトリスティングをセキュリティ対策に追加することが重要となります。検出中心の対策はすでに十分ではなく、現代のビジネスでは予防に重点を置いた対策が不可欠となっています。

ゼロトラストアプローチを導入するにあたって、既存のインフラストラクチャをすべて入れ替える必要はありません。このソリューションの優れた点は、これまでの投資を無駄にすることなく、既存のインフラストラクチャを活かしてハイブリッドな環境を構築できるという点です。

次に必要なのは、ワークロードの挙動と攻撃対象領域を可視化し、ワークロードのリスクを特定して対処することです。そのためには、クラウド環境やハイブリッド環境全体に共通のポリシーを適用しながら、アプリケーションのマイクロセグメンテーションを実施する必要があります。

シスコは、この目的に役立つさまざまなソリューションを提供しています。Cisco Tetration の各種ツールは、お客様の新しいビジネスモデルへの移行をサポートします。

包括的な可視性:Tetration を使えば、ゼロトラストの原則どおりに、セキュリティチームやインシデント対応チームがネットワーク内の動きを逐一把握できるようになります。また、ポリシーをどう変更すべきかについてのインテリジェンスやインサイトが出力されます。大量の情報が吐き出されるだけで具体的な対策につながりにくく「分析麻痺(analysis paralysis)」に陥っていた従来モデルとは大きく異なります。

  • 自動化:Tetration に備わる自動化機能とビッグデータ セキュリティ インテリジェンスを活用すれば、システムの常時稼働を確保し、ポリシーを常に適用することができます。今日の環境では、モニタリングが必要なイベントの数があまりに膨大なため、目視ですべてを確認することはもはや不可能です。人間による対処が必要となる重大な問題が発生した場合に備えてスタッフの時間を確保するためにも、モニタリングと脅威検出は極力自動化しなければなりません。
  • アプリケーションの通信状況の可視化:Tetration はアプリケーション コンポーネント、通信、依存関係を完全に可視化することでゼロトラストモデルを実現します。また、Tetration にはソフトウェアの脆弱性やリスクに関する CVE の主要情報が統合されているため、攻撃対象領域を削減できます。

ゼロトラストの理念を導入すると、今までとはまったく異なるアプローチでワークロードのセキュリティ課題に対処できます。ゼロトラストアプローチによって実現する優れた可視性、自動化、アプリケーション通信の詳細把握により、境界セキュリティの限界を乗り越えることが可能になります。不正アクセスから、ネットワーク内の感染拡大、データ漏洩に至るまで、悪意のあるアクティビティが完全に可視化され、防止できるようになります。

Cisco Tetration とシスコ ゼロ トラスト ソリューションの詳細については、下記リンクを参照してください。

木村 滋

2000 年シスコシステムズ入社。テクニカルアーキテクト/エバンジェリスト。セキュリティ ソリューション専任技術担当として、大手データセンター/キャリア ビジネスのプロジェクトをサポート。データセンター/VDI/デスクトップ仮想化/ネットワーク仮想化に従事、普及活動、ソリューション開発を担当

CCIE#19521

著書:「Cisco ISR ルータ教科書」、「Cisco WAN 実践ケーススタディ」、「実践Cisco IPSec VPN 教科書」等

NPO法人日本ネットワークセキュリティ協会(JNSA)幹事