「ゼロから学ぶ」ゼロトラストセキュリティ#08:実装編3「Illumio」ラテラルムーブメントを封じ込め

境界型セキュリティと真逆の考え方で守るゼロトラスト。この概念を具体化する製品が続々と登場するものの各社で開発方針が異なり、どの企業も「うちのが一番!」と張り合っている状況です。

そんな企業のひとつ「Illumio」のゼロトラスト戦略について紹介します。

 

Illumioが考えるゼロトラストセキュリティ

ゼロトラストモデルを提唱した、アメリカの調査会社「Forrester Research」が、2020年9月、「Zero Trust eXtended Ecosystem Platform Providers, Q3 2020」を公開。ゼロトラストソリューションを提供するベンダーのうち、優れたベンダーとして15社を発表しました。
その中でも、Illumioは15社のうち、さらにリーダー企業として選出されています。さて、その理由とは。

巨大企業たちをも牽引するIllumio

選出された15社の内、他の14社には従業員数7,000名超のPalo Alto NetworksやAkamai Technologies、誰もが知るネットワークソリューション巨大企業のCiscoやGoogle、Microsoftが名を連ねており、設立が2013年と比較的新しく、従業員数も400名弱というIllumioがトップリーダーとして選出されていることは注目に値します。

<引用:The Forrester Wave™: Zero Trust eXtended Ecosystem Platform Providers, Q3 2020

では、IllumioのZERO TRUSTソリューションはどのようなものなのでしょうか。

Illumioの主要製品

Illumioの製品と言えば、次の2製品と言っても過言ではありません。前述の「Zero Trust eXtended Ecosystem Platform Providers, Q3 2020」でも、評価対象製品はこれら2製品となっています。

・Illumio Core (旧:Illumio ASP)
ワークロードセキュリティ製品「Illumio Core」は、データセンターやクラウド環境をリアルタイムで可視化、マイクロセグメンテーション(ネットワークを小さな論理セグメントに分割)機能を提供する製品です。
これにより、アプリケーションの通信状況を常時確認し、脆弱性に対処します。

・Illumio Edge
エンドポイントセキュリティ製品「Illumio Edge」は、マルウェアを1台のPCに封じ込めてマルウェアの拡散を防ぎます。

共通項はラテラルムーブメントの阻止

これらIllumioの主要2製品に共通するのが、「横方向の動き(ラテラルムーブメント)」の阻止にあります。
ラテラルムーブメント(Lateral Movement)とは、企業・組織のネットワークに侵入したマルウェアが、内部の偵察やアクセス権限の取得を繰り返しながら、感染拡大を図る攻撃手法です。
ネットワーク内部で、縦横無尽に動きながら被害を広げていく様から、Lateral(横方向)のMovement(動き)と呼ばれています。

ラテラルムーブメントは、持続的標的型攻撃(APT攻撃)で頻繁に使用される他、世界中で感染が拡大した悪名高きランサムウェア「NotPetya」や「WannaCry」でも、エンドポイント間やデータセンターでの拡散に利用されました。

そして、Illumioは、ゼロトラストセキュリティの主な目的とは、“横方向の動き”に対処することであると言い切っています。(参考:https://www.illumio.com/blog/zero-trust-architecture

 

Illumioが提案するゼロトラスト実装ステップ

Illumioは、ゼロトラストモデルの実装方法として、次の6つのステップを紹介しています。

ステップ1:何を保護すべきか決める
ゼロトラストモデルの実装は長期的な目標であるため、優先事項がぶれないようにまず保護すべき対象を定義しておきます。

ステップ2:焦点を当てるゼロトラストの柱を決定する
人・ワークロード・デバイス・ネットワークのうち、どの柱に焦点を合わせるかを決定します。

<引用:DEFINING METRICS TO SUCCESSFULLY MANAGE YOUR ZERO TRUST IMPLEMENTATION PLAN

<見出し3>ステップ3:正確にコントロールできる手法を決定する

例えば、ワークロード保護と言っても、OSやアプリケーションのセキュリティ保護機能やパッチの適用、マルウェア対策ソフトやEDR、ファイアウォールなど、様々なセキュリティ機能があります。ステップ3では、正確に制御できる手法を選択します。

ステップ4:必要なデータを見極める
自社のビジネスを実行するために必要な、ワークロードへのアクセスとワークロードからのアクセスを見極めます。

ステップ5:ポリシーを設計する
ゼロトラストの原則に従い、自社のビジネスを実行するために必要なアクセスのみを許可するように、ポリシーを設計します。

ステップ6:ゼロトラストの運用(検証と監視)
テストを行い、設計したポリシーを検証します。

 

Illumioの製品でゼロトラストを実装した企業

実際にIllumio製品を実装してゼロトラストモデルを取り入れた企業について、導入理由を紹介します。

香港のインターネットサービスプロバイダー「HGC Global Communications Limited (HGC)」。
2019年にはモスクワの通信会社の買収などにより、世界中に拠点が散らばり、当時、2000台以上のPCを抱えていたといいます。
このため、ネットワーク環境がさらに複雑化し、リアルタイムで組織内ネットワークを可視化できていないという問題に直面していました。
HGCは、顧客企業にセキュリティコンサルティングを提供していることからも、まず自社内のゼロトラスト化を早急に進め、セキュリティ体制を対外的に示す必要があったといいます。

Illumioの技術的優位性が決め手となり、「Illumio Core」を導入。
機能に加え、製品のコンセプトや仕組みも成熟していたことも、導入理由としては大きかったとしています。

結果として、HGCが設置していた10台のファイアウォールを廃止し、ハードウェアコストを大幅に削減。
ネットワークセキュリティの運用に関する工数が、25%削減という結果となりました。

 

次回、”「ゼロから学ぶ」ゼロトラスト#9”では、「Akamai Technologies」のゼロトラスト戦略について紹介します。

 

【執筆:編集Gp コンドウマリ】

関連記事

ピックアップ記事

  1. 「身内であっても全員疑え!」そんな手厳しい考え方が主流になろうとしています。 10年以上前に提唱さ…
  2. テレワーク(在宅勤務)はコロナ禍以前にも東京オリンピック2020の混雑緩和を目的に「テレワークデイズ…
  3. 常に新しい用語が生まれてくる情報システム部門は、全ての用語を正しく理解するのも一苦労。ましてや他人に…
  1. 松田軽太の「一人情シスのすゝめ」#21:システム内製化は言うほど簡単じゃない!?

  2. シリーズ【SSL可視化とセキュリティ】3)クラウドサービス活用時代における ネットワークセキュリティの必要性

  3. 「ゼロから学ぶ」セキュリティ知識#01:そもそも脆弱性って何?

  4. DX時代の情報システム部門をアップデートする『情シスサミット 2021 ONLINE』開催

  5. シリーズ【企業の情報漏洩の原因】#03 インターネットサービスの利用に伴う情報漏洩パターンと対策-is702

  6. Are you ready for DX? あなたは「DXの本質」を理解してますか?

  7. セキュリティ事故が発生した場合の被害額って想像できてますか!?~JNSAレポートより~

  8. 松田軽太の「一人情シスのすゝめ」#20:PDCAはKPTと合わせ技で行うと効果的!?

  9. 株式会社ビジネス・アーキテクツ「社内SE/ヘルプデスク/インフラエンジニア」ポジションのご紹介[PR]

  10. Microsoft 社 Internet Explorer のサポート終了(EOS)について-IPA

プレスリリース

登録されているプレスリリースはございません。

関連サービス

IT-Manager AS

IT-Manager SD

情シス求人

  1. 第二創業期を基盤から支えます。大手クライアント中心。リモートワーク可/フレックス求人! 『サイ…
  2. Findyで1人目のコーポレートエンジニアを募集!会社と組織の基盤づくりをお任せします。 「テ…
  3. 圧倒的な成長、ITによる事業貢献を実現したいあなたへ。 皆さんもスポーツ用品やアウトドア用品で…
  4. あなたのやりたいことを、叶えてください! 今回は、千代田区岩本町に本社を構える株式会社クリアス…
  5. 帰宅後や休日の束の間、ゲームでストレス解消! なんて方も多いのではないでしょうか? 今…
ページ上部へ戻る