【前編】今話題のマイクロセグメンテーション製品の選定における重要ポイント 〜オリジナルのファイアウォールと3層構造の採用〜

taro-kishino

執筆者

Taro Kishino

October 31, 2024

taro-kishino

執筆者

Taro Kishino

-はじめに

昨今企業のセキュリティ対策の最優先対策事項となっているランサムウェア。その対策の新しいアプローチとして、企業ネットワークの細分化(マイクロセグメンテーション)によるランサムウェアの封じ込めの効果の高さに注目が急速に集まっています。Akamaiはこの市場ニーズに応えるべく、2022年夏よりエージェント型マイクロセグメンテーション製品であるAkamai Guardicore Segmentation(以下AGS)を日本国内で販売開始し、すでに多くの企業・団体にて採用いただいております。(https://www.akamai.com/ja/products/akamai-guardicore-segmentation

エージェントソフトウェアをインストールする形式のマイクロセグメンテーション製品を選定するにあたって、製品機能や動作の安定性を決定づける重要なポイントを2点、前後編に分けて説明します。

今回の前編では、自社開発のオリジナルファイアウォール(以下FW)の採用、というポイントについて解説します。


- 目次

・エージェント型マイクロセグメンテーションの2つの方式

・可視化と制御粒度の違い

・対応環境のカバレッジ

・OS標準FWを停止させる攻撃の存在

・レイテンシーの軽減

・一元的なサポート


-エージェント型マイクロセグメンテーションの2つの方式

 マイクロセグメンテーションとは、社内ネットワークにおけるセキュリティ上の区画分け(セグメンテーション)を、ネットワークセグメントよりも細かい単位(機器や仮想マシンごと)で行うことです。中でも、従来のネットワーク機器を用いる手法ではない、エージェント型FWを利用した形式がランサムウェアへの効果的な対策として注目度が高まっています。エージェント型FWを利用することで、サーバーや端末単位での綿密な通信可視化と制御を可能にするとともに、ネットワーク機器の物理的制限にとらわれない柔軟なセグメント設計を容易に実現できるため、セキュリティと運用効率を両立できるためです。

 そんなエージェント型マイクロセグメンテーション製品には、実は2つの方式が存在します。2つの種類とは、「オリジナルFWをインストールする方式」と、「OS標準FWを利用する方式」の2種類です。

 前者では、マイクロセグメンテーション製品独自のファイアウォールそのものをエージェントとしてインストールし、一元的に通信の可視化と制御を行いますが、後者ではOS標準のFW(Windows Defender Firewallやiptables)と連携し、通信ログを収集し、制御ポリシーをプッシュするエージェントを用いています。弊社製品(AGS)では、前者の方式が採用されています。

 この違いが、マイクロセグメンテーション製品としての機能面や動作面での決定的な違いを生み出しているのです。では、その違いとは何なのでしょうか。



-1点目:可視化と制御の粒度の違い

 違いの1点目として、通信の可視化と制御を行うことのできる粒度があげられます。Windows OSで搭載されているWindows Defender Firewallでは、通信の可視化と制御をプロセスレベル(L7)で行うことができますが、Linux OSで搭載されているiptablesではIPアドレスとポート番号レベル(L4)でしか行うことができません。つまり、OS標準FWを利用する方式の製品では、OSの違いがそのまま通信可視化と制御の機能に直接影響してくるため、全ての環境に対して均一なレベルでの可視化と制御を行うことができないのです。

OSの種類ごとに制御ポリシーをそれぞれ設定する必要があるため、運用の効率性に欠けると言えます。

 

また、ランサムウェアのネットワーク内の水平移動(ラテラルムーブメント)を効果的に防いでいくためには、通信の許可をプロセスレベルまで綿密に定義していくことが望ましいですが、Linuxの環境がそのレベルの制御を行うことができず、リスクを残す結果となります。AGSでは、サーバ・端末にインストールされたオリジナルFWがWindows /Linuxに関わらずプロセスレベルでの可視化と制御を可能とするため、上述のような運用上の問題やリスクを最小限に抑えた上で、マイクロセグメンテーションを実現できるのです。

 


-2点目:対応環境のカバレッジ

 2点目の違いとして、製品が動作をサポートしている環境の範囲があります。OS標準のFWを利用する方式の場合、OSベンダーサポートが終了したOSの多くはFW機能の更新なども終わってしまうため、早くにサポート対象から外れてしまいます。一方でオリジナルFWを採用するAGSにおいてはレガシーOS上の動作についても独自に検証を行いますので、OSによって一部機能に差分はありますが、レガシーOSについても広くサポート対象としています(例:Windows Server 2000、Windows XP、RHEL4など)。またWindows /Linuxの汎用OSの環境ではない、UNIXベースの環境もサポート対象としていたり、スイッチやクラウド上の機能と連携することでエージェントが導入できない機器やPaaSの環境もサポート対象としていたりと、そのサポート範囲は他社製品と比較すると非常に広いと言えます。

 これによって、セキュリティパッチの配布がないレガシーOSについても、AGSで脆弱性のあるポートを閉じることによって仮想的にパッチを当てたのと同等の環境を作ったり、他のマシンや環境へランサムウェアの水平移動の防止や検知が行えたりと、業務アプリの動作の関係上OSのマイグレーションがなかなか進まない環境においても一定のセキュリティレベルを担保することができます。

 なお、既存環境への影響としてインストール時のOS再起動の要否の観点がよく言及されますが、Akamaiのエージェントはインストール時に大部分のケースで再起動を必要としない設計になっております。またエージェントをインストールしただけでは既存の通信を意図せず止めることや瞬断もございません。そのため、既存環境への影響を最低限にして導入することが可能です。

 

-3点目:OS標準のFWを停止させる攻撃の存在

 現在観測されているランサムウェアの中には、侵入や攻撃の拡散のプロセスにおいて、セキュリティ製品の検知をバイパスするものがあることは知られていますが、一部の攻撃者はそのセキュリティ製品の動作自体を停止させた上で拡散活動を行うものも観測されています。中でも2023年に日本でも多くの被害が観測された8baseという攻撃者についてはWindows標準のセキュリティ機能(EDR・FWなど)を停止させることが確認されています。

 そのため、OS標準のFWを利用する方式の場合は、このような攻撃者によってFW機能自体を停止された場合に対処を行うことができなくなるため、導入効果を満足に発揮できない結果に陥ります。オリジナルのFWを採用することで、こういった攻撃者にFWの動作を停止されるリスクを回避することができます。


-4点目:レイテンシーの軽減

 FWはその特性上、適用されるポリシーの数が多くなることで通信に一定程度のレイテンシーが発生することが知られていますが、AGSではその発生をOS標準のFWを利用した場合と比べて低減できるというデータがあります。

A graph and chart with purple lines

Description automatically generated with medium confidence

 

このことから、AGSにおいては多くのポリシーを設定した場合でも比較的安定した動作・パフォーマンスを提供できると言えます。


- 5点目:一元的なサポート

 最後のポイントとして、サポートの観点があります。OS標準FWを利用する方式では、万が一の障害発生時にその原因がOS標準FWにあるのか、マイクロセグメンテーションツールのエージェントにあるのかの切り分けを行うことができず、対応がたらい回しになってしまうケースが見られています。

 Akamaiでは障害発生時にも原因究明と対処をワンストップに行いますので、OSベンダー側へ対応がたらい回しとなることなく、解決することができます。


-まとめ

 エージェント型マイクロセグメンテーションの導入を検討する際には機能面・運用面など様々な製品比較ポイントがありますが、なかなか表に出てこない部分としてこのような製品設計上の差分がありますので、この点もぜひ検討の項目としていただければと思います。

 

 今回の前編ではFW方式の違いについて説明しました。後編ではもう1つのポイントである3層構造の採用について説明させていただきます。

 Akamaiでは、エージェント型マイクロセグメンテーションを体感いただけるハンズオンセミナーやPoCなど、検討段階における様々な機会を提供しています。検討の際にはぜひ一度お声がけいただけますと幸いです。

 



taro-kishino

執筆者

Taro Kishino

October 31, 2024

taro-kishino

執筆者

Taro Kishino