©2025 Akamai Technologies
大学のデータと個人データの保護 - オンプレミスとクラウド
複数の防御層を使用していても、攻撃がそれらをすり抜ければ、サーバーに影響が生じます。この大学の IT チームは、以前は苦労してファイアウォールルールを維持することによってサーバー間の通信を制御し、マルウェアの拡散を抑制していました。しかし、クラウド内にホストされているアプリケーションの IP アドレスは常に変化するため、ファイアウォールルールを最新の状態に保つことはほとんど不可能となっていました。現在は、Akamai Guardicore Segmentation を使用することで、以前より効果的かつ少ない労力で脅威の拡散を制御できています。
サーバー攻撃が防御を突破するとどうなるか?
米国中西部に所在するこの研究大学では、100 人のスタッフから成る IT 組織内の少人数のチームが、メール、シングルサインオン、管理アプリケーションなどの共有サービスを管理しています。ある IT チームメンバーは次のように述べています。「常にセキュリティを気にかけています。この大学には 250 のアプリケーションがありますが、新規の攻撃があれば、少なくともこれらのアプリのどれか 1 つは確実に影響を受けます。1 つのサーバーが攻撃によって侵害されても、その攻撃が他のサーバーに移動しないようにすることも私たちの任務です。これによってリスクを抑制できます」。
この IT チームは、定期的なパッチ適用、侵入検知、Web アプリケーションファイアウォールなどのセキュリティ手法を組み合わせて脅威を排除しています。これらすべての防御を通過した攻撃に対しては、マイクロセグメンテーションと呼ばれる手法でその拡散を抑制します。この手法の目的は、Web アプリケーションがデータベースに接続する場合など、絶対的に必要な場合にのみサーバー間の通信を許可することです。
クラウドによるセグメンテーションの複雑化
これまで、IT チームはファイアウォールルールを作成することでネットワークをセグメントに分割していました。たとえば、アプリケーション A はアプリケーション B および C からのトラフィックを受け入れることができますが、他のすべてのアプリケーションからのトラフィックはブロックするといったルールです。このアプローチは、すべてのアプリケーションがキャンパスのデータセンターで稼働している時には良好に機能していました。しかし、この大学が AWS と Azure のクラウドにアプリケーションを移行し始めると、ファイアウォールルールが複雑化し、管理が困難になりました。
たとえば、Admissions のようなアプリケーションは、AWS リレーショナル・データベース・サービスに接続しますが、このサービスでは多数の IP アドレスが継続的に変化します。ファイアウォールルールに新しい IP アドレスを絶え間なく再入力する時間はないため、この大学の IT チームはより効果的で管理しやすいセグメンテーションソリューションを探すことにしました。
サーバー間でのマルウェアの拡散を制限するために Akamai が役立つことは知っていました。驚いたのは本当に簡単にできるという点です。特に、Akamai Guardicore Segmentation を使えば、当大学のルールを適用して、クラウドサービスで絶えず変化する IP アドレスに対応できます。しかも、これらすべてがセキュリティの強化に役立ち、在校生、入学志望者、教職員の体験の向上にもつながるのです。
米国の大学の IT チームメンバー
クラウド IP アドレスの変更に応じたルールの自動調整を実現
Akamai Guardicore Segmentation で課題を解決できることがわかり、同大学の IT チームは、大学のオンプレミスとクラウドのサーバーにこのソフトウェアをインストールしました。クラウドサービスで使用される IP アドレスは頻繁に変更されますが、変更されると即座に Akamai がルールを調整し、新しい IP アドレスが反映されます。
大学関係者はこのソリューションの効果をすぐに実感しました。たとえば、これまで IT チームは、新たに発見されたセキュリティ脆弱性を修正するために、250 台すべてのサーバーの設定をできる限り迅速に更新する必要がありました。しかし、サーバーは多数の IP アドレスを持つクラウドリポジトリから新しい設定を取得し、それらのアドレスは変更されているのです。
ある IT スタッフメンバーは次のように話します。「今もセグメンテーションにファイアウォールを使用していたとしたら、サーバーは脆弱なままで、私たちは新しい IP アドレスによるルール更新で混乱していたと思います。Akamai のおかげで脆弱性の露出機会が減り、私たちの手間も大きく軽減しました」。
セキュリティの強化に加え、学生とスタッフの体験も向上
現在、セグメンテーションは管理を容易にするだけでなく、さらに大きな効果をもたらしています。ファイアウォールはサーバーへのインバウンドトラフィックを制御しますが、Akamai Guardicore Segmentation はサーバーからのアウトバウンドトラフィックも制御できます。つまり、「イーグレスブロッキング(内→外方向のブロック)」と呼ばれる防御が可能なのです。これは、サーバーにソフトウェアがインストールされていることで実現する機能です。
前述の IT スタッフメンバーは次のように述べています。「ファイアウォールで内→外方向のルールを作成するのは悪夢のようなものですから、以前はしていませんでした。Akamai なら簡単です。これは感染の拡散を防ぐもう 1 つの手段となります」。
IT チームは、ルールが機能しているかどうかの確認に役立つという点でも Akamai を高く評価しています。視覚的なマップを見れば、どの接続が確立していて、どの接続がブロックされているのかが一目でわかります。以前は、同じことを確認するのに、250 台のサーバーすべてにログインしてファイアウォールのヒットカウンターを調べる必要がありました。このような作業に対応できる時間はありません。
IT チームは、セキュリティを強化しながらユーザー体験を向上させたことで、大学の名声を高めています。たとえば、ある入学志望者が午後 8 時に Admissions アプリケーションにログインして、アプリケーションのステータスと学資援助の資格を確認しようとしたとします。一方、AWS が午後 7 時 59 分に基盤となるデータベースを別のサーバーに移動していたとします。アプリケーションとデータベースの間の通信がファイアウォールルールに依存している場合、この入学志望者には後で再試行するように伝えるメッセージが表示されると考えられます。Akamai Guardicore Segmentation を使用していれば、この入学志望者は、クラウドでの IP アドレスのシャッフルに関係なく、最新の情報を確認できるため、大学の第一印象は大きく向上します。
ファイアウォールで内→外方向のルールを作成するのは悪夢のようなものですから、以前はしていませんでした。Akamai なら簡単です。これは感染の拡散を防ぐもう 1 つの手段となります。
米国の大学の IT チームメンバー
貴重な時間の有効活用
現在、IT チームは Akamai ソリューションにサーバーを追加し、サーバー 1 台あたり 5 分にまでプロセスを短縮しています。チームは、Akamai Guardicore Segmentation によって節約された時間を使って新しいクラウドテクノロジーを学び、技術的な負債の削減に取り組んでいます。また、Akamai を使用してランサムウェア攻撃の影響範囲を縮小することも検討しています。
前述の IT スタッフメンバーは最後に次のように締めくくっています。「Akamai を使用すればサーバー間の脅威の拡散を制限できることは知っていました。驚いたのは本当に簡単にできるという点です。特に、Akamai Guardicore Segmentation を使えば、当大学のルールを適用して、クラウドサービスで絶えず変化する IP アドレスに対応できます。しかも、これらすべてがセキュリティの強化に役立ち、在校生、入学志望者、教職員の体験の向上にもつながるのです」。
Akamai について
Akamai はオンラインライフの力となり、守っています。世界中の先進企業が Akamai を選び、安全なデジタル体験を構築して提供することで、毎日、世界中の人々の生活、仕事、娯楽をサポートしています。クラウドからエッジまで、世界で最も分散されたコンピューティングプラットフォームにより、Akamai は、アプリケーションの開発や実行を容易にし、同時に、体験をユーザーに近づけ、脅威を遠ざけます。Akamai のセキュリティ、コンピューティング、配信の各ソリューションの詳細については、 akamai.com および akamai.com/blogをご覧いただくか、 Twitter と LinkedInで Akamai Technologies をフォローしてください。