[Security Days 2015 インタビュー] 仮想化レベルの標的型攻撃内部対策、マイクロセグメンテーションとは(ヴイエムウェア)
2014 年 9 月、IPA が「高度標的型攻撃対策に向けたシステム設計ガイド」を公開しました。ネットワークセグメントを分割し、セグメント間にファイアウォール(FW)を設置することにより、アクセス制御の範囲を細かくしていくような対策の必要性が述べられています。
研修・セミナー・カンファレンス
セミナー・イベント
セキュリティベンダの印象は薄い、仮想化ベンダのヴイエムウェアがどのような講演を行うのか、3月5日と3月6日の両日、「標的型攻撃に対する拡散防止型セキュリティの実現」と題した講演を行う、ヴイエムウェア株式会社 ソリューション営業本部 本部長 兼 Network & Security部長 秋山将人氏に話を聞いた。
――セミナープログラムをみると「拡散防止型セキュリティ」という言葉が入っています。どんなコンセプトの対策ですか。
拡散防止型セキュリティについてお話する前に、まずその背景から説明させてください。
例えば JP モルガンチェースのような大手金融機関も被害にあうなど、最近の標的型攻撃は高度なものが増えています。その背景のひとつには侵入経路の多様化を挙げることができると思います。やり取り型のメール攻撃や水飲み場攻撃に加え、最近では取引先や出入りの業者を買収してマルウェアを仕込むといった方法さえとられています。その結果、企業はこれまでの方法ではマルウェアの侵入を防ぐことが難しくなっています。
攻撃者の第 1 の目的は、まずどんな端末でもいいから 1 台の PC に侵入または汚染することです。侵入後にその端末を調べ、ネットワーク構成やサーバーなどの情報を調べます。その過程で他の端末を汚染させたり、サーバーにバックドアを仕掛けたりしていくのです。
ある調査では、企業のセキュリティ対策の 80 %は入口対策に投資され、内部の対策が十分ではないといいます。そのため、1 台でも汚染されると、そのあとは比較的簡単に汚染を広げることができるのです。日本の大手航空会社が被害にあったのもこの手法で、最初の 1 台を起点に、結果的に 23 台の PC が汚染され情報が抜き取られていました。
――入口対策に対して出口対策の強化が叫ばれた時期もありましたが、さらに内部の対策強化が必要な状態ということでしょうか。
昨 2014 年 9 月、IPA が「高度標的型攻撃対策に向けたシステム設計ガイド」を公開しました。述べられていたのは、入口を突破される前提で、突破されたあと内部で被害を拡大させないようなシステムやネットワークの設計をしましょうということです。ネットワークセグメントを役割に応じて分割し、セグメント間にファイアウォール(FW)を設置することにより、アクセス制御の範囲を細かくしていくような対策の必要性が述べられています。あるいは仮想デスクトップ環境(VDI)によってOSやアプリを一括管理するといった対策も考えられます。
しかし、これらの対策を真正直に実現しようとすると、莫大なコストアップや運用負荷増大が避けて通れない。物理セグメントごとに FW を設置するにしても、一定のパフォーマンスを持った FW 製品は安価ではありません。仮想環境を利用した場合は、コスト的な問題はある程度クリアできますが、セキュリティ管理はネットワークセグメント単位となってしまい、同一セグメント内でのアクセス制御や不正検知が難しくなります。
――つまり、セグメント化を物理的に行うとコストの問題が出て、VDI のような仮想化で対応するとセグメント化が難しくなるということですね。対策はあるのでしょうか。
VMware では、ハイパーバイザーのカーネルモジュールにセキュリティ機能を追加すること(VMware NSXの導入)によって、仮想マシンごとのフィルタリングやアクセス制御を行うことでこの問題のソリューションにならないかと考えました。仮想マシンごとのすべての通信は脅威を含むものとして、許可された相手、信頼された通信しか通さないようなしくみをイントラネット内に導入します。このようなソリューションを「マイクロセグメンテーション」と呼んでいますが、金融機関、官公庁などを中心に一般企業への導入が増えています。
――なるほど。ここで VMware とセキュリティがつながるのですね。
各仮想マシン毎のFWは、NSX の分散ファイアウォールというカーネルモジュールで提供されるのですが、ハイパーバイザーのカーネルレベルで動作するため、パフォーマンスの問題を回避しながら、ネットワークファイヤーウォールとして機能することでOS やアプリの保護機能をすり抜けるトラフィックも検知できます。
ただし、弊社はセキュリティベンダーではないので、実際のマルウェアの検知や駆除といった機能は持っていません。実際の対策は他のセキュリティベンダーが提供するソリューションと連携する必要があります。
――どのような連携をするのですか。
今までの、セキュリティソリューションは ベンダー毎にいろいろなソリューションを提供していますが、ベンダーをまたいでソリューションを連携させることは、セキュリティベンダー同士のエコシステムがなかったため、実質的に不可能だったと思います。しかし、VMwareは、セキュリティ専門ベンダーでないことが強みになり、各種セキュリティベンダーとのエコシステムが構築できています。例えば、アンチマルウェアソフトとファイヤーウォールと連動させ、マルウェアを検知した仮想マシンに対しては、ファイヤーウォールルールが非常に厳しいものが適用されるといったことが自動的に実現できる仕組みを持っています。
このような連携については、当日のセミナーで連動例を他にも紹介します。今まさに対処が必要な標的型攻撃への対処のみならず、マイナンバー制度等の導入を控え、データセンター環境をいかに、高いセキュリティレベルに保つことが可能なのかを、マイクロセグメンテーションという新しいセキュリティソリューションで実感してもらえたらと思います。
――ありがとうございました。
《中尾 真二》
関連記事
この記事の写真
/