全カテゴリ
●クラウド&データセンター完全ガイド
●マイグレーション
●ニューノーマル
●Windows Server
●クラウド
●ハードウェア
●ソフトウェア
●サービス
●セキュリティ
●ネットワーク
●トピック
●ストレージ︵HW︶
●オープンソース
●SaaS
●標的型攻撃対策
●マルウェア対策
●スイッチ
●ルータ
●導入事例
●イベント
閉じる
クラウド Watch をフォローする
メルマガスタート!
登録はこちら
もっと見る
もっと見る
もっと見る
もっと見る
最新記事
MOTEXのクラウド版IT資産管理・MDM、情シス支援サービス﹁マネーフォワード Admina﹂と連携
人・端末・クラウドの一元管理を支援
6月26日 16:39
NTT-AT、各種チケットシステムとServiceNowのチケット連携を実現する﹁XTicketing for ServiceNow 連携サービス﹂を提供
6月26日 15:03
バッファロー、法人向けアクセスポイントで﹁AP間電波自動調整機能﹂を利用可能に
アクセスポイント間で電波の出力やチャンネルを自動調整
6月26日 13:43
CTC、大規模なクラウド移行を支援する﹁ITX for MCP CTC OneCUVIC Mass Migration﹂を提供
6月26日 12:46
オプティム、AI文書管理サービス﹁OPTiM 電子帳簿保存﹂で認定タイムスタンプの付与を可能に
任意の指定箇所の読み取り機能も提供
6月26日 11:34
認証後のセキュリティを強化するOktaの新製品、今年後半に正式版リリースへ
6月26日 10:30
ゾーホージャパン、統合エンドポイント管理﹁Endpoint Central Cloud﹂の上位エディションを提供
6月26日 09:30
クラウド会計システム﹁freee会計﹂、Slackのチャットを通じてAIが購買申請を自動作成する新機能を提供
6月26日 08:30
Sky、営業支援・名刺管理サービスの最新版﹁SKYPCE Ver.3.1﹂を提供
営業活動状況を把握できるダッシュボード機能などを搭載
6月26日 08:00
GMOグローバルサイン、wolfSSLとの協業でIoT機器向けセキュリティソリューションを提供
6月26日 06:30
イベント
AWS・パサックVP、生成AI関連サービスをインフラ・ツール・アプリケーションの3層に分けて紹介
AWS Summit Japan 2024基調講演レポート
6月26日 06:15
イベント
﹁人類の困難な問題を解決するためにAIを活用する﹂――、ボーガスCTOがさまざまな分野での活用事例を紹介
AWS Summit Japan 2024基調講演レポート
6月26日 06:00
ペンタセキュリティ、AWS WAF向けマネージドルールに﹁Anonymous IP Protection﹂を追加
匿名通信ネットワークに対する統合的な検知・対応を支援
6月25日 17:16
Datadog、データ処理におけるジョブ監視とトラブルシューティング最適化を実現する﹁Data Jobs Monitoring﹂を提供
6月25日 15:37
ユニリタ、農業経営支援クラウド﹁ベジパレット﹂に一覧表示機能を追加 農業経営判断の迅速化を支援
6月25日 14:22
もっと見る
もっと見る
もっと見る
もっと見る
ZscalerのチャウドリーCEO、﹁生成AIは便利だが攻撃者も活用可能﹂とセキュリティ強化を訴える
キンドリルが2025年度の事業戦略を説明、﹁ITモダナイゼーション﹂など3つの重点項目を掲げる
活発化するウェアラブルAIデバイス “AIを持った次のiPhone”狙う
トピック
マイクロセグメンテーションの実現でラテラルムーブメントを強力に阻止 ﹁Illumio﹂が示すセキュリティ設計の礎︵いしずえ︶とは
提供‥
イルミオジャパン合同会社
2024年6月5日 09:00
デジタルトランスフォーメーション︵DX︶の加速とともに、ビジネスとITインフラはますます切り離せないものとなっており、ITを活用した事業の変化を推進するDXと、自社ITインフラの安定稼働ならびに信頼性を確保するためのセキュリティ対策のバランスは、困難ではあるが避けて通れない喫緊の課題だ。特に近年では、深刻な攻撃は内部端末を起点とし、攻撃者が侵入後に侵害範囲を徐々に拡大させる﹁ラテラルムーブメント﹂によって被害が拡大し、その対処が急務となっている。こうした攻撃への対応策として、欧米諸国でインフラ設計の基礎となっている考え方が﹁マイクロセグメンテーション﹂だ。マイクロセグメンテーションとはどのような考え方なのか、そして、企業はそれをどのように実装していけばよいのか。詳しく解説していく。
イルミオジャパン合同会社 リージョナルセールスディレクター 河合 瑞気 氏
ゼロトラストの礎である﹁マイクロセグメンテーション﹂
デジタルトランスフォーメーション︵DX︶の推進に伴いビジネスがITと密接に結びつくようになった今日では、ITインフラに生じたトラブルが事業にもたらす影響は肥大化しており、これまで以上に安定した運用と信頼性が求められるようになっている。
一方、マルチクラウド/ハイブリッドクラウドの活用増や、リモートワークの普及、さらにはローコード/ノーコードツールを用いた現場担当者自らによるアプリケーション開発の拡大など、ITインフラはより複雑さを増しており、運用管理の難易度を上昇させている。
そうした中で喫緊の課題として浮上しているのが、セキュリティの強化だ。
近年、サイバー攻撃はますます高度化・巧妙化しており、その対応に苦慮している企業は少なくない。加えて、冒頭で述べたようなITインフラの複雑化により、従来の﹁境界型防御﹂では対処が困難となっている。そうしたことから、侵入を前提としたセキュリティ対策を行う﹁ゼロトラストセキュリティ﹂という概念が広く認識され、その考え方に基づいたセキュリティソリューションも市場には数多く登場している。だが、ゼロトラストセキュリティ自体はあくまでも概念であり、﹁具体的にどのようなセキュリティソリューションを導入したらよいのか分からない﹂といった悩みをもつ企業・組織は少なくないだろう。
侵入を前提とした、ゼロトラストセキュリティの実現を考えるうえで、その礎となるのが﹁セグメンテーション﹂だ。マイクロセグメンテーションは、そのセグメンテーション手法の一つで、PC等のエンドポイント、サーバー、仮想マシン等の区画分けを細かい単位で行い、セグメント間の通信を必要最低限に制限する。このように分割管理された社内のIT資産を、都度詳細かつ適切な認可によりアクセスコントロールを実施することがゼロトラストの基本的な考え方である。
イルミオジャパン合同会社 リージョナルセールスディレクターの河合瑞気氏は、﹁あるホストに感染したマルウェアが、社内ネットワークに存在する他のホストやシステムへ段階的に侵害を拡散させていく﹃ラテラルムーブメント﹄と呼ばれる攻撃の影響が深刻です。経営にダメージを与える致命的な攻撃は内部の端末から行われます。対してマイクロセグメンテーションによる細かな区画分けと権限最小化による通信制御が行われていれば、万が一あるホストがマルウェアに感染した場合でも、ラテラルムーブメントによる他ホストの横展開を防ぎ、社内システム全体への影響を最小限に食い止められるようになります。結果、事業継続性を確保できるようになります﹂と強調する。
安全性の高い環境設計には、﹁防御対象となるアプリケーションは、社内のどのようなホスト同士の通信によって成り立っているのか﹂﹁マルウェア感染等による被害が生じた際に、他のホストやアプリケーションにどのような影響を与えるのか﹂について、可視化することが第一歩となる。
ホスト間通信の可視化と制御でマルウェアの拡散を阻止
しかし、現在のITインフラは、オンプレミスの物理環境だけでなく、仮想サーバーやコンテナ、マルチ/ハイブリッドクラウド環境等と多様化している。区画分けはもとより、可視化することも困難な状況となっているのは確かだ。
このような現在の複雑さを増したITインフラにおいても、効果的なマイクロセグメンテーションの実装、ひいてはゼロトラストセキュリティの実現を強力に支援するソリューションが、﹁Illumio︵以下、イルミオ︶﹂である。その特徴はホスト同士の通信を論理レイヤーでグループ化や抽出をしながら、わかりやすく、リアルタイムにビジュアル化するとともに、それらの通信に対して適切なコントロールを適用することにより、リスクを局所化し、被害の拡散を防ぐことに貢献する。
イルミオがどのようにしてマイクロセグメンテーションを実現するのか、具体的な仕組みについて説明しよう。はじめに管理対象のホストである、サーバーOSやクライアントOSに専用のエージェントソフトウェア﹁VEN︵Virtual Enforcement Node︶﹂をインストールして利用する。VENは、ホストがどのような通信をどのホストに対して行っているのか、情報を収集し、その情報をイルミオのプラットフォームが論理的に再構築し、管理画面に表示する。この管理画面を通じて、社内システム全体が可視化されるようになるほか、アプリケーションごとに区画分けを行ったり、セキュリティインシデントが発生した際にどのような通信制御を行うのか直接設定したりすることができる。
イルミオジャパン合同会社 シニアシステムズエンジニアの徳永祥氏は、﹁イルミオは区画分けに際して、アプリケーションやデータベース、Webなどサーバーの役割を区別する﹃Role﹄、財務、人事、CRM等のアプリケーションの種類を示す﹃Application﹄、本番環境なのか開発環境なのかを分類する﹃Environment﹄、そしてホストが設置されている場所を記す ﹃Location﹄の4ラベルをデフォルトで用意しており、ラベルごとにグループ化することで一貫した通信制御のポリシーを設定、適用することが可能です。例えば、財務に関連するアプリケーションであれば、そのラベルを付したグループを設定し、管理コンソールから一元的にファイアウォールのブロックポリシーを適用できます。このほかにも、お客様固有の要望に応じて、任意のラベルを設定、付与することも可能です﹂と説明する。
イルミオジャパン合同会社 シニアシステムズエンジニア 徳永 祥 氏
既存環境に影響を与えることなく導入が可能
イルミオのメリットの1つが、既存の環境に影響を与えることなく導入が可能な点だ。﹁ホストに導入するVENはカーネルスペースに触れず、ユーザー領域で稼働します。通信の制御もOSが有するファイアウォール機能を利用するため、VENが直接通信に介入することもなく、通信制御を行なっても性能影響が発生しません。また、導入時にもアップデート時にも再起動が不要で通信の瞬断もないため、稼働中の重要なサーバーに対して、安心して速やかに導入することが可能です﹂と河合氏は強調する。
ITインフラの場所や環境を選ぶことなく管理、制御が行えることも、イルミオの優位性として挙げられる。オンプレミス、クラウド、物理/仮想サーバー、さらにはコンテナなど、ITインフラの種別を問わず利用することが可能だ。﹁パブリッククラウドで提供されるPaaSについては、エージェントを利用することなく管理可能な﹃Illumio CloudSecure﹄も用意しています。これは、パブリッククラウドサービスとのAPI連携により、クラウド上の管理サービスからログやインベントリ情報を収集して通信を可視化するほか、制御ポリシーを設定して適用させることができます﹂と、徳永氏は補足する。
そして、比較的短期間で通信の制御まで行えることもイルミオの特長である。
﹁基本的には、90日間で完全に制御が可能な状態に至ることが可能です。具体的には最初の30日で可視化、次の30日で大まかなラベリングと危険度の高いポートの制御、そして次の30日でアプリケーションのより具体的なラベリングとセグメンテーションの実施、およびセキュリティポリシーの策定と適用を実施する、という段階的な導入を推奨しています。これはグローバルでの基準なので、慎重に進める日本の場合だともう少し時間を要するかもしれません。また、大きな区画分けからスタートして、徐々にセグメンテーションを詳細に実施していくという進め方も、小さな実績を積み上げながら、事業への影響を最小限に抑えつつ、継続的に環境を改善していくうえでは効果的であると考えます﹂︵徳永氏︶
﹁Interop Tokyo 2024﹂で﹁イルミオ﹂のさらに詳しい情報が入手可能
来る6月12日~14日までの3日間、千葉幕張メッセにてネットワーク技術のイベント﹁Interop Tokyo 2024﹂が開催される。同イベントにイルミオジャパンは出展、これまで紹介してきたイルミオに関するより詳細な情報が得られるセミナーを開催するとともに、ブースでの展示も行う。
6月12日の15:10-15:50、展示会場内RoomEにて﹁ラテラルムーブメント対策に欠かせない!マイクロセグメンテーション実装の最適解とは﹂と題されたセミナーを開催。イルミオの活用により、既存のネットワーク環境の設計を変更することなく、ラテラルムーブメントへの耐性を強化するための環境づくりの方策について、動画を交えながら具体的に解説する。
同様に展示ブースにおいても、イルミオの機能やセグメンテーションの仕組みを分かりやすく解説する動画を上映するほか、エンジニアへの個別相談も受け付ける予定だ。
﹁ラテラルムーブメントへの対処に限らず、レジリエンスを高める環境づくりや、内部ネットワークの視認性の課題、ゼロトラストへの取り組みなど、自社のセキュリティ対策について課題や悩みを抱えているのであれば、ぜひ、セミナーにご参加いただくとともに、当社ブースにお立ち寄りください。セグメント管理はセキュリティ設計の基礎ですが、日本ではこれまで特に取り組みが弱かった領域です。現在、皆様が抱えられているセキュリティ課題を解決するための、何らかのヒントをご提示できると考えています﹂︵河合氏︶
<お問い合わせ先>
イルミオジャパン合同会社
URL‥https://www.illumio.com/ja
問い合わせフォーム‥https://www.illumio.com/ja/support/contact
Group site links
●
●Think IT
●Web担当者Forum
●インプレス総合研究所
●IT Leaders
●ドローンジャーナル
●デジタルカメラマガジン
●できるネット
●インターネット白書ARCHIVES
●SmartGridフォーラム
●ネットショップ担当者フォーラム
●Impress Business Library
●インプレスセミナー
●DIGITAL X︵デジタルクロス︶
●インプレスブックス
●NextPublishing
●
●リットーミュージック
●楽器探そう!デジマート
●TシャツPOD T-OD
●立東舎
●山と溪谷オンライン
●CLIMBING-NET
●近代科学社Digital
●
●AIRLINEweb
●Jディフェンスニュース
●通訳翻訳ジャーナル
●JレスキューWeb
●イカロスアカデミー
●MdN Books
●MdN Design Interactive
●
●天海社
●Comic curea
●impress QuickBooks
●パブファンセルフ
●TシャツPOD pTa.shop
●カスタム写真集POD fabli
●Impress Group Publication Information
●本サイトのご利用について
●お問い合わせ
●広告掲載のご案内
●編集部へのご連絡
●プライバシーポリシー
●会社概要
●インプレスグループ
●特定商取引法に基づく表示
Copyright ©2018Impress Corporation. All rights reserved.