マイクロセグメンテーションを強化する「NSX Advanced Threat Prevention」

マイクロセグメンテーションを強化する「NSX Advanced Threat Prevention」

目次

「ラテラルムーブメント(横展開)」による被害が拡大

情報処理推進機構がまとめた「情報セキュリティ10大脅威 2021」では、1位にランサムウェアによる被害、2位に標的型攻撃による機密情報の窃取が挙げられました。この2つの脅威に共通するのは、いったん企業の境界防御をくぐり抜けて社内システムに侵入したら、「ラテラルムーブメント(横展開)」によって次々と被害が拡大することです。これに対抗するには、システム内の怪しい振る舞いを検知し、対処できる手立てが必要です。

今、日本企業がどのような脅威に直面し、どのような対策を取るべきかを考える上で指針の1つとなるのが、情報処理推進機構(IPA)が毎年まとめている「情報セキュリティ10大脅威」です。個人と企業の2つに分けて、社会的に大きな影響を与えた脅威を10件ずつまとめています。

2021年2月に発表された「情報セキュリティ10大脅威 2021」では、組織(企業)向けの脅威の第1位に、PCやサーバ内のデータを暗号化して使えなくしてしまい、元に戻してほしければ金銭を支払えと要求してくる「ランサムウェアによる被害」が、また第2位には、特定の組織を狙って重要な情報を盗み取る「標的型攻撃による機密情報の窃取」が挙げられました。

「情報セキュリティ 10 大脅威 2021 「個人」および「組織」向けの脅威の順位

マイクロセグメンテーションとAdvanced Threat Preventionで企業を脅かす「ラテラルムーブメント」を封じ込め

これまでシステム構築の教科書では、「内と外を分ける境界を見張り、外部からやってくる悪意あるものを入れないようにする」という境界防御型のセキュリティが常識とされてきました。しかしいくら境界をしっかり見張っていても、フィッシング詐欺にだまされたり、脆弱性の対策漏れを突かれたりして「すり抜け」は起こり得ます。そして、境界を通り抜けた後はノーチェックでは、攻撃者が自由に社内システムを泳ぎ回れてしまいます。

従ってこれからのセキュリティ対策は、“防御壁を設けても侵入されることはあり得る”という前提に立ち、ラテラルムーブメントをいかに封じ込めるかがポイントと言えるでしょう。仮にシステムの内側に入られたとしても、早期に検知し、システムの暗号化による業務停止といった深刻な事態に至る前に対処できれば、被害は最小限に食い止められるはずです。

こんな考え方を先取りしてきたソリューションが、「VMware NSX-T Data Center」です。ネットワークとセキュリティの機能をソフトウェアで仮想的に提供し、柔軟なインフラ構築を可能にします。中でも、分散ファイアウォール機能は、機能や業務ごとに細かくネットワークを分割するマイクロセグメンテーションによってアクセス範囲を最小化し、仮にどれか端末がマルウェアに感染しても被害の拡散を封じ込めてきました。

新たに追加された「VMware NSX Advanced Threat Prevention」は、脅威の検知・対応をさらに強化するものです。サンドボックス機能によってネットワークコンテンツを検査し、未知の脅威やマルウェアを検知するほか、NTA(Network Traffic Analysis)やNDR(Network Detection and Response)機能によってネットワーク全体を可視化します。アプリケーションのコンテキスト(文脈)も把握した上で、「誰がどのようなアプリケーションやデータにアクセスしているか」を可視化し、それが本来のルールに沿っているか、異常な振る舞いではないかを検知できます。

特徴の1つは、さまざまな機械学習機能を活用していることです。実は「NSX Distributed IDS/IPS」でも、内部ネットワークのトラフィックを精査し、不審な動きを検知/ブロックすることができましたが、基本的にはシグネチャに基づく既知の攻撃手法の検知がメインでした。VMware NSX Advanced Threat Preventionの機械学習機能を利用したサンドボックス機能により、ゼロデイ攻撃、未知の攻撃も検知できますし、NTAによってネットワーク上の危険な振る舞いを検出できるのです。

また、1日に何千件と出てくるアラートのそれぞれに対応していてはいくら人手があっても足りません。それでなくても不足気味なセキュリティ担当者のリソースを補うため、NDR機能は、文脈全体を見た上で、問題かそうでないかを判断する機能を提供しています。何千件ものアラートを相関付けて分析し、本当に注力すべき問題のみを示すことによって、インシデントレスポンスを効率化します。脅威への対処は早ければ早いほど、傷が浅くて済みます。それに必要な情報を示してくれるでしょう。

エンドポイントの情報も組み合わせて幅広い視点で脅威を判断

こうしたNSX-TおよびVMware NSX Advanced Threat Preventionの機能によって、攻撃者が自在に闊歩している内部ネットワークのトラフィック、いわゆるEast-Westのトラフィックを可視化し、マルチベクターで保護していくことができます。さらにVMwareのほかのソリューションを組み合わせることで、より包括的な保護が実現できるでしょう。

まずVMware NSX Advanced Threat Preventionは、VMwareが持つ脅威インテリジェンス基盤「VMware Threat Analysis Unit」を活用しています。ここには、さまざまなワークロードやクラウドから得られた情報だけでなく、Carbon BlackのEDRから得られるエンドポイントの情報が含まれています。

最新の脅威に関する動向に、VMwareのセキュリティアナリストの知見とさまざまな機械学習技術を組み合わせることで、幅広く、かつ奥行きのある視点で状況を把握し、「悪意あるものかどうか」について適切な判断を下す材料が得られます。

もう一つ重要なポイントがあります。テレワークやクラウドサービスの普及に伴い、企業の内と外を分ける境界はいろいろな意味で崩れつつあります。物理的な場所やデバイスに頼ってだけ制御するやり方では、実効性は保てません。

今回紹介したNSX-TやVMware NSX Advanced Threat Preventionを提供する「VMware NSX Security」に加え、「VMware SASE」や「VMware SD-WAN」といった、物理的な場所にとらわれずにネットワークやセキュリティ機能を実現するソリューションと連携することによって、「境界」を再定義し、デジタルビジネス時代にふさわしい新しい対策を実現できるでしょう。

目次