[Security Days 2015 インタビュー] 仮想化レベルの標的型攻撃内部対策、マイクロセグメンテーションとは(ヴイエムウェア) | ScanNetSecurity[国内最大級のサイバーセキュリティ専門ポータルサイト]
2017.10.22(日)

[Security Days 2015 インタビュー] 仮想化レベルの標的型攻撃内部対策、マイクロセグメンテーションとは(ヴイエムウェア)

研修・セミナー・カンファレンス セミナー・イベント

3月5日から2日間にわたって東京 JPタワー(KITTE)で開催される「Security Days 2015」は、国内外のセキュリティベンダーによるセミナー中心のイベントだ。多くの企業や専門家が最新知見の講演を行う。

セキュリティベンダの印象は薄い、仮想化ベンダのヴイエムウェアがどのような講演を行うのか、3月5日と3月6日の両日、「標的型攻撃に対する拡散防止型セキュリティの実現」と題した講演を行う、ヴイエムウェア株式会社 ソリューション営業本部 本部長 兼 Network & Security部長 秋山将人氏に話を聞いた。


――セミナープログラムをみると「拡散防止型セキュリティ」という言葉が入っています。どんなコンセプトの対策ですか。

拡散防止型セキュリティについてお話する前に、まずその背景から説明させてください。

例えば JP モルガンチェースのような大手金融機関も被害にあうなど、最近の標的型攻撃は高度なものが増えています。その背景のひとつには侵入経路の多様化を挙げることができると思います。やり取り型のメール攻撃や水飲み場攻撃に加え、最近では取引先や出入りの業者を買収してマルウェアを仕込むといった方法さえとられています。その結果、企業はこれまでの方法ではマルウェアの侵入を防ぐことが難しくなっています。

攻撃者の第 1 の目的は、まずどんな端末でもいいから 1 台の PC に侵入または汚染することです。侵入後にその端末を調べ、ネットワーク構成やサーバーなどの情報を調べます。その過程で他の端末を汚染させたり、サーバーにバックドアを仕掛けたりしていくのです。

ある調査では、企業のセキュリティ対策の 80 %は入口対策に投資され、内部の対策が十分ではないといいます。そのため、1 台でも汚染されると、そのあとは比較的簡単に汚染を広げることができるのです。日本の大手航空会社が被害にあったのもこの手法で、最初の 1 台を起点に、結果的に 23 台の PC が汚染され情報が抜き取られていました。


――入口対策に対して出口対策の強化が叫ばれた時期もありましたが、さらに内部の対策強化が必要な状態ということでしょうか。

昨 2014 年 9 月、IPA が「高度標的型攻撃対策に向けたシステム設計ガイド」を公開しました。述べられていたのは、入口を突破される前提で、突破されたあと内部で被害を拡大させないようなシステムやネットワークの設計をしましょうということです。ネットワークセグメントを役割に応じて分割し、セグメント間にファイアウォール(FW)を設置することにより、アクセス制御の範囲を細かくしていくような対策の必要性が述べられています。あるいは仮想デスクトップ環境(VDI)によってOSやアプリを一括管理するといった対策も考えられます。

しかし、これらの対策を真正直に実現しようとすると、莫大なコストアップや運用負荷増大が避けて通れない。物理セグメントごとに FW を設置するにしても、一定のパフォーマンスを持った FW 製品は安価ではありません。仮想環境を利用した場合は、コスト的な問題はある程度クリアできますが、セキュリティ管理はネットワークセグメント単位となってしまい、同一セグメント内でのアクセス制御や不正検知が難しくなります。

――つまり、セグメント化を物理的に行うとコストの問題が出て、VDI のような仮想化で対応するとセグメント化が難しくなるということですね。対策はあるのでしょうか。

VMware では、ハイパーバイザーのカーネルモジュールにセキュリティ機能を追加すること(VMware NSXの導入)によって、仮想マシンごとのフィルタリングやアクセス制御を行うことでこの問題のソリューションにならないかと考えました。仮想マシンごとのすべての通信は脅威を含むものとして、許可された相手、信頼された通信しか通さないようなしくみをイントラネット内に導入します。このようなソリューションを「マイクロセグメンテーション」と呼んでいますが、金融機関、官公庁などを中心に一般企業への導入が増えています。

――なるほど。ここで VMware とセキュリティがつながるのですね。

各仮想マシン毎のFWは、NSX の分散ファイアウォールというカーネルモジュールで提供されるのですが、ハイパーバイザーのカーネルレベルで動作するため、パフォーマンスの問題を回避しながら、ネットワークファイヤーウォールとして機能することでOS やアプリの保護機能をすり抜けるトラフィックも検知できます。

ただし、弊社はセキュリティベンダーではないので、実際のマルウェアの検知や駆除といった機能は持っていません。実際の対策は他のセキュリティベンダーが提供するソリューションと連携する必要があります。

――どのような連携をするのですか。

今までの、セキュリティソリューションは ベンダー毎にいろいろなソリューションを提供していますが、ベンダーをまたいでソリューションを連携させることは、セキュリティベンダー同士のエコシステムがなかったため、実質的に不可能だったと思います。しかし、VMwareは、セキュリティ専門ベンダーでないことが強みになり、各種セキュリティベンダーとのエコシステムが構築できています。例えば、アンチマルウェアソフトとファイヤーウォールと連動させ、マルウェアを検知した仮想マシンに対しては、ファイヤーウォールルールが非常に厳しいものが適用されるといったことが自動的に実現できる仕組みを持っています。

このような連携については、当日のセミナーで連動例を他にも紹介します。今まさに対処が必要な標的型攻撃への対処のみならず、マイナンバー制度等の導入を控え、データセンター環境をいかに、高いセキュリティレベルに保つことが可能なのかを、マイクロセグメンテーションという新しいセキュリティソリューションで実感してもらえたらと思います。

――ありがとうございました。
《中尾 真二》

関連記事

Scan PREMIUM 会員限定記事

もっと見る

Scan PREMIUM 会員限定記事特集をもっと見る

Scan BASIC 会員限定記事

もっと見る

Scan BASIC 会員限定記事特集をもっと見る

[Web小説] サイバー探偵 工藤伸治の事件簿サーガ (シーズン 1~6 第1話)

もっと見る

[Web小説] サイバー探偵 工藤伸治の事件簿サーガ (シーズン 1~6 第1話)特集をもっと見る

カテゴリ別新着記事

研修・セミナー・カンファレンス カテゴリの人気記事 MONTHLY ランキング

  1. 米メールセキュリティ企業が提供するBEC対策 (日本プルーフポイント) [ Email Security Conference 2017インタビュー]

    米メールセキュリティ企業が提供するBEC対策 (日本プルーフポイント) [ Email Security Conference 2017インタビュー]

  2. 2017年8月25日 名和利男の目に映った光景

    2017年8月25日 名和利男の目に映った光景

  3. 超音波サイバー攻撃技術「ソニックガン」、中国ハッカーが公表

    超音波サイバー攻撃技術「ソニックガン」、中国ハッカーが公表

  4. 井之上PR社長 鈴木孝徳のセキュリティ事故発生時の記者会見「べからず集」

  5. 企業のネットワーク管理者必見!Internet Week 2017 セキュリティセッション紹介 第1回「インシデント対応ハンズオン2017」について語る

  6. 企業のネットワーク管理者必見!Internet Week 2017 セキュリティセッション紹介 第2回「今求められるSOC、CSIRTの姿とは~世界の攻撃者をOMOTENASHIしないために~」について語る

  7. デロイト丸山満彦の危機管理広報論~セキュリティインシデント発生後のマスコミ対応ポイント

  8. 最も大事なものはすでに盗まれている(Niサイバーセキュリティ)[Security Days 2017 インタビュー]

  9. 総務省の「自治体情報システム強靱性向上」、その成果と新たな課題

  10. ラグビー山田選手がJSOCの一日センター長に、情報モラルの親子勉強会も(ラック)

全カテゴリランキング

特集

★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★
<b>★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★</b>

経営課題としてサイバーセキュリティに取り組む情報システム部門や、研究・開発・経営企画に携わる方へ向けた、創刊19年のセキュリティ情報サービス Scan PREMIUM を、貴社の事業リスク低減のためにご活用ください。

×