業界トレンド

ネットワークセグメンテーションが重要な理由

投稿者 Nirav Shah | 2020年4月13日

セグメンテーションという言葉でITリーダーの頭にまず浮かぶのは、VLANやVXLANを使用したネットワーク分割ではないでしょうか。ところが、セグメンテーションの役割はそれだけではありません。ダイナミックなマルチクラウド環境、IoT、BYOD戦略、超分散環境でのワークフローの自動化をセキュリティ保護する上で、セグメンテーションは非常に重要な役割を果たします。

デジタルイノベーションは、企業組織に破壊的な影響を与えつつあります。ダイナミックなマルチクラウドのようなネットワークが新たに登場し、新サービスやビジネスチャンスが創出されています。ところが一方で、リスクも高まっているのです。IoTとモバイルデバイスの爆発的な増加や、複数のクラウドからアプリケーションやサービスが登場したことを背景に、攻撃対象領域は、従来のネットワーク境界を越えて広がっています。この新しい環境には、ワークフロー、アプリケーション、トランザクションを分散環境全体に拡張するといったニーズがあります。ところが、従来のネットワークベースのセグメンテーション戦略は各ネットワーク環境の境界で止まってしまうため、煩雑で複雑なソリューションを導入しなければなりません。

このようなソリューションの導入は、IoTデバイスで収集した情報をクラウドベースのデータセンターと共有する場合や、リモートデバイスがネットワークを介してコミュニケーションする場合、特に大きな問題になります。一方で、攻撃対象領域は拡大と断片化が進行していますから、拡大を続けるネットワーク境界内でネットワークパフォーマンス、セキュリティ、信頼性、可用性を維持することは困難です。

組織を無用なリスクにさらすオープンでフラットなネットワーク

多くの組織は、デバイス間の相互運用性とコミュニケーションのニーズを満たし、トランザクション、アプリケーション、ワークフローを加速するために、フラットでオープンなネットワークを実装しています。次々に構築されるこのようなネットワークの中核にあるのは、高パフォーマンスのルーティング / スイッチングインフラストラクチャです。しかし、ほとんどのセキュリティソリューションにパフォーマンス上の制限があるため、セキュリティ機能は実装されていません。

セキュリティという視点から考えれば、これは危機的状況です。フラットネットワークの場合、ネットワーク境界から侵入したハッカーは、それを足掛かりにネットワーク内を水平方向(ラテラル)に移動し、認証情報、リソース、データにアクセスすることが可能です。また、内部ネットワークにセキュリティインフラストラクチャが実装されていない場合には、不審なトラフィックの挙動やデータフローを可視化する能力が大幅に制限され、侵害の検知はさらに難しくなってしまいます。これこそが、今日のネットワークにおいて、脅威の特定にかかる平均時間が197日、封じ込めと排除にはさらに69日もかかる理由です。また、セキュリティリソースに制限がある中小規模企業の場合、状況はさらに深刻であり、脅威の潜伏期間は2年を超えています。

内部セグメンテーションがもたらすメリット

急拡大するネットワーク全体を確実にコントロールする方法の1つが、内部セグメンテーションです。これにより、ビジネス目標を「適用範囲(Where)」、「方法(How)」、「内容(What)」へと効率的に変換できます。「適用範囲(Where)」では、セグメントの場所と、IT資産をセグメント化するためのロジックを確立します。「方法(How)」では、ビジネス目標を粒度の高いアクセス制御に適用し、継続的でアダプティブ(適応型)な信頼に基づいて維持します。「内容(What)」では、高性能で高度な(レイヤー7)セキュリティをネットワーク全体に適用することで、アクセス制御を行います。

上記の3つの要素は、セキュリティコンポーネントが統合されたファブリック内で動作し、このコンポーネントは他のネットワークやインフラストラクチャデバイスと通信します。また、マクロ / マイクロセグメンテーションアーキテクチャに加えて、アプリケーション / プロセス / エンドポイントレベルでのセグメンテーションも実装することで、攻撃対象領域が縮小され、管理しやすくなります。

この状態でNACソリューションを導入すれば、個々のデバイスがアクセスするネットワークを特定および分類し、デバイスを継続的に可視化できます。また、認証済みのデバイスに、デバイスの種類やユーザーロールに基づいてネットワークセグメントを自動的に割り当てることが可能です。デバイスがネットワークセグメントに割り当てられると、自動ワークフローセキュリティによって水平方向のセキュリティが生成され、さまざまなネットワーク環境に接続する個々のデバイスまたはデバイスグループ間で発生するコミュニケーションやトランザクションがセキュリティ保護されます。

以上により、セキュリティ対策の強化、リスク軽減、コンプライアンスや運用効率のサポートを全社的に実現でき、ネットワークアーキテクチャを変更する必要もありません。

内部セグメンテーションに求められる最高のパフォーマンス

ところが、セキュリティソリューションの中には、今日の内部ネットワークトラフィックで求められるパフォーマンスニーズに応えることができないものがあります。この場合、内部セグメンテーションは、市場競争力の強化に役立つデジタルイノベーションを阻害しかねません。アプリケーションは、驚異的なスピードでビジネスクリティカルなサービスを提供する必要があります。IoTデバイスは大量のデータを生成し、そのデータをクラウドベースのデータセンターが収集 / 処理しなければなりません。また、高い処理能力を要するプロセスにはハイパースケールアーキテクチャが不可欠であり、アーキテクチャ内では高度なレンダリング / モデリングプロジェクトなどによる大量のデータフローが発生しています。

このような環境では、古いセキュリティソリューションで十分なセキュリティ保護を行うことや、今日のビジネスイノベーションのスピードに追い付くことはできません。今日のインフラストラクチャでは、前例のないレベルのパフォーマンス要件が求められます。ところが、ほとんどの企業に導入されている従来型のセキュリティプラットフォームは、汎用CPUと統合されていないセキュリティコンポーネントで構築されているため、このような要件を満たすことはできません。このような企業は、動的にセグメンテーションを行なってインフラストラクチャを安全に保護しようとしますが、インフラストラクチャのボトルネックとなり、ユーザーやアプリケーションのエクスペリエンスの低下につながります。その結果、内部ネットワークセキュリティはVLANやレイヤー4でアクセスすることになり、高度な脅威や標的型サイバー犯罪にはまったく太刀打ちできない状況へと陥ります。

しかしながら、セキュリティがネットワークを低速化させるとは限りません。Apple、Microsoft、Google、Amazonといった企業は、自社の高度なデバイスやインフラストラクチャ向けに高速ハードウェアを次々と開発しています。高まり続けるネットワークパフォーマンス要件に対応できるセキュリティプラットフォームを構築するには、新たな世代のプロセッサが必要です。また、あらゆる環境やフォームファクターとシームレスに統合できる設計、セキュリティの可視化、およびポリシー適用を複数のプラットフォーム間で一貫した方法で行う機能も必要です。

さらに、高パフォーマンスのセキュリティプラットフォームは、ハードウェアを活用した高速VXLAN(Virtual eXtension LAN)機能により、極めてスケーラブルで適応力の優れた内部セグメンテーションを実現します。これにより、物理 / 仮想両方のプラットフォームでホスティングされるコンピューティング、ストレージ、アプリケーションを含め、大規模に拡張されたサービス間での超高速通信が可能になります。このように高度な拡張性を備えた仮想サービスアーキテクチャを活用すれば、サービスやアプリケーションを非常に俊敏に立ち上げることで生産性向上や収益機会の獲得が可能になり、重要なセキュリティインスペクションやセキュリティ保護が犠牲になることもありません。

内部セグメンテーションでは、ワークフロー自動化とオープンなエコシステムのサポートが必須

セキュリティプラットフォームには、自動化されたワークフローのサポートという要件もあります。これにより、アクセスからトランザクションにいたるあらゆるものを動的にセキュリティ保護することが可能になります。特殊な構成を行わなくても、ネットワークを介して相互通信するデバイスをセキュリティ保護し、インタラクションをセグメント化しなくてはなりません。これはつまり、ビジネスポリシーを自動的にトリガーすることで、ワークフローをセキュリティ保護して安全なインタラクションを実行する機能になります。さらに、オープンな業界標準やAPIによってサードパーティソリューションとの統合を推進し、エンドツーエンドのセグメンテーションを実現すべきです。

これは、アクセスも同様です。たとえば、ウイルスに感染したノートPCがネットワークにアクセスしようとした場合、ネットワーク接続を制御可能なアクセスポイントへと自動接続し、隔離セグメントに自動リダイレクトする必要があります。複数のベンダーが提供する独立コンポーネントで構成されるセキュリティアーキテクチャには相互運用性の問題が存在しますが、統合されたプラットフォームならば、この問題をワークフローの自動化によって解決できます。

パフォーマンスとセキュリティ保護は二者択一ではない

ビジネス目標の達成のために組織を無用で深刻なリスクにさらさないようにするには、今日のパフォーマンス要件と分散リソースアーキテクチャに特化したセキュリティデバイスを使用して、内部ネットワークセグメンテーション戦略を実施することが不可欠です。デューデリジェンスとコンプライアンスは、従来のセキュリティデバイスでは対応が難しい要件でしたが、次世代セキュリティプラットフォームが発揮する優れた能力とパフォーマンスを踏まえて、再検討する必要があります。

組織のデジタル攻撃対象領域全体(IoTからエッジ、ネットワークコア、マルチクラウド環境まで)にわたり、幅広い適用領域で(Broad)システム連携し(Integrated)、自動化された(Automated)保護を、フォーティネットのセキュリティ ファブリックがどのように実現できるか、ぜひご確認ください。

Echoenergiaニュージーランド赤十字社が、ネットワークエッジからコアまでの包括的なセキュリティ保護に、フォーティネット セキュリティ ファブリックをどのように活用しているかご確認いただけます。