【後編】今話題のマイクロセグメンテーション製品の選定における重要ポイント　〜オリジナルのファイアウォールと３層構造の採用〜

-はじめに

昨今企業のセキュリティ対策の最優先対策事項となっているランサムウェア。その対策の新しいアプローチとして、企業ネットワークの細分化（マイクロセグメンテーション）によるランサムウェアの封じ込めの効果の高さに注目が急速に集まっています。Akamaiはこの市場ニーズに応えるべく、2022年夏よりエージェント型マイクロセグメンテーション製品であるAkamai Guardicore Segmentation（以下「AGS」）を日本国内で販売開始し、すでに多くの企業・団体にて採用いただいております。

エージェントソフトウェアをインストールする形式のマイクロセグメンテーション製品を選定するにあたって、製品機能や動作の安定性を決定づける重要なポイントを2点、前後編に分けて説明します。

（前編はこちら：URL貼り付け←備忘用）

今回の後編では、中継サーバーのAggregatorの存在による３層構造の採用、というポイントについて解説します。

- 目次

・Akamai Guardicore Segmentationのコンポーネント構造

・Aggregatorの役割

・Aggregatorによるメリット① - 直接の外部接続を回避

・Aggregatorによるメリット② - 境界ファイアウォールへの負荷低減

・Aggregatorによるメリット③ - 他システムとの容易な連携

- Akamai Guardicore Segmentationのコンポーネント構造

　Akamai Guardicore Segmentationは、マイクロセグメンテーションを実現するためのコンポーネントとして３つの層が存在しています。１つ目は、実際に業務サーバや社用PCなどの制御対象の機器に対してインストールするAgentです。ブログの前編でも触れましたが、AkamaiではこのAgentそのものがホスト型ファイアウォール（以下「FW」）として動作します。２つ目はManagementです。Managementでは、各Agentから収集されたデータをストックし、その情報元に可視化を行い、ポリシー設定を行うための管理UIの提供を行います。このManagementはSaaS上に原則置かれる形となります(オンプレ型の提供も可能)。

　ここまでの２つは他社のホスト型マイクロセグメンテーション製品でも同様に存在するコンポーネントですが、Akamaiではそれらに加えて、AgentとManagementを繋ぐAggregatorという中継サーバーを置き、全体で３層の構造を採用しています。

- Aggregatorの役割

　Aggregatorは、ManagementとAgentとを繋ぐ中継サーバーの役割を果たします。Agentのインストールやアップデートを実施する際には、AggregatorがManagementからファイルを取得し、各Agentに対して配布を実施します。また、Agentが収集したデータをManagementへ転送する際にそれらデータを受信／集約して送信し、Managementで設定されたポリシーを各Agentへ配布します。

　Aggregatorの設置方法は２つあり、お客様のサーバーが稼働する環境内（オンプレまたはIaaS上でAgentと近い場所）に設置する方法と、Akamaiのクラウド上に設置する方法をお客様のご希望に応じて選択可能です。前者の方法をとる場合、完全な３層構造として稼働しますが、後者の場合は見かけ上２階層の他社製品と同様の構成で稼働する形となります。

Aggregatorはお客様のご要望に応じて、可用性を高めるためのHA構成をとることも可能です。

　Aggregatorは、お客様環境内に設置する場合は仮想アプライアンスで提供され、OSのイメージごとお客様の仮想環境上にデプロイしていただく形となります。

　では、AkamaiがこのAggregatorを用いる３層構造を採用する理由とは何でしょうか？その答えとして、Aggregatorの採用による主なメリットを3点挙げます。

- Aggregatorによるメリット① - 直接の外部接続を回避

　まず１つ目のポイントとしては、Agentがインストールされたデバイスが直接インターネット環境へ接続しないという点です。お客様環境の業務系サーバーやデバイスは、セキュリティ上インターネットとの接続を忌避するケースや、そもそも直接のインターネットへの接続口を持たない場合が多くあるかと思います。他社製品のようにAggregatorを持たない場合、マイクロセグメンテーションのためにインターネットとの接続口を新たに開ける必要があるため、既存のネットワーク構成に変更の必要性が生じたり、セキュリティ上のリスクが生じたりする可能性があります。

　Akamaiでは、Aggregatorをお客様環境内に設置することによって、業務系サーバーに導入されたAgentは内部環境のAggregatorのみと通信を行い、Aggregatorだけがインターネットとの通信口を持っていれば構築・稼働が可能となりますので、それらのリスクを回避することができます。また、Aggregator自体の構築も容易に実施することができますので、初期構築時の工数が大幅に増加するということもありません。

- Aggregatorによるメリット② - 境界FWへの負荷低減

　２つ目のポイントは、外部環境と内部環境との境界を定義するFWの負荷を抑えることができるという点です。ホスト型マイクロセグメンテーション製品はその構造上、内部環境からプッシュ方向のTCPセッションをクラウド上の管理サーバーに向けて張る必要があります。Agentが直接Managementへ通信する場合、Agentが導入された機器数と同じ数のTCPセッションが張られる形となりますので、境界FWの負荷がその分だけ増加してしまいます。Akamaiでは、Aggregatorの最小構成でも400、最大構成では1,500のAgentの通信をAggregatorが集約し、１本のTCPセッションにまとめてManagementと通信を行います。そのため、境界FWへの負荷を減らし、大規模環境でのスケーラビリティを実現することができるのです。

- Aggregatorによるメリット③ - 他システムとの容易な連携

　最後のポイントは、他のセキュリティ製品やシステムとの連携が容易に行えるという点です。マイクロセグメンテーションにおいては、お客様で運用されている他のセキュリティ製品などと連携しながら運用を行うケースが多く見られます。（例：SIEM・SOAR・CMDB・Active Directory）AgentとManagementの２層構造製品の場合、他社製品との連携を行うためにはクラウド上のManagementからお客様環境内部のシステムへの通信を新たに許可しなければならないため、ネットワーク構成変更やセキュリティ上のリスクなどの懸念が存在しますが、Akamaiではお客様環境内のAggregatorが他製品との連携を行いますので、お客様環境内に閉じて連携が行われる形となり、それらの新たなリスクを回避することができるのです。

-まとめ

　エージェント型マイクロセグメンテーションの導入を検討する際には機能面・運用面など様々な製品比較ポイントがありますが、なかなか表に出てこない部分としてこのような製品設計上の差分がありますので、この点もぜひ検討の項目としていただければと思います。

　Akamaiでは、エージェント型マイクロセグメンテーションを体感いただけるハンズオンセミナーやPoCなど、検討段階における様々な機会を提供しています。検討の際にはぜひ一度お声がけいただけますと幸いです。