このページをご覧になっている皆さんが、下記のことに興味があったり、
悩んだりしているのであれば、ぜひ最後まで確認いただけるとお役に立てると思います。
・「ゼロトラストネットワークをどう構築していくか?」に興味がある
・ラテラルムーブメントによる内部拡散被害を食い止める方法を知りたい
・SSL暗号化通信が増える事で、導入済みのセキュリティ製品(NGFW, NG-IPS, DLP, APTなど)をくぐり抜けているかもしれないという不安がある
はじめに、ラテラルムーブメントについて概要を説明しておきます。
ラテラルムーブメントとは、「Lateral Movement(横方向への移動)」を意味しています。攻撃者が、外部から企業のセキュリティ担当者に気付かれる事なく、セキュリティの境界線の突破に成功したとします。通常のセキュリティ対策は、基本的に外部からの侵入を防ぐ事を想定して作られています。ラテラルムーブメントにおける活動とは、一度、組織内のネットワーク内に進入した後で、脆弱性のある端末を経由し、ユーザのクレデンシャル情報(ID、パスワードなど)情報を取得し、企業内の機密情報を搾取する活動です。
一般的なセキュリティ対策では、このような活動を想定していないので、検知することは難しくなります。
従来のセキュリティ対策を回避し、継続的に行われる複雑で高度なサイバー攻撃。日本では、脅威の検知へはできていても、ブロックのための取り組みは、まだまだ不十分だとわれています。サイバー攻撃による情報漏えい事件が多発するなか、脅威を検知するだけでなく、検知した脅威を分析し,迅速に対処するための仕組みをどう構築するかは、企業にとって喫緊の課題でしょう。
現在、攻撃者の手法として拡大しつつあるのが、強固なセキュリティで守られたデータを取得するためにラテラルムーブメントです。パブリッククラウドなどの利用拡大で、情報の物理的な保管場所が特定しにくくなったこともあって、様々な手段を用いて、様々な対象に、継続的な攻撃を行うのが最近の傾向といえます。
こうした攻撃に対して有効なのが、内部ネットワークを含むすべての通信をチェックし、検知と遮断を行うゼロトラストネットワークでしょう。クラウドコンピューティングの活用が進み、あらゆる場所から、あらゆる端末を利用してリソースが使われるようになった環境下で、ネットワークの構成に依存しないセキュリティを実現しようというものです。
内外を問わず、すべてのアクセスを認証して制御するゼロトラストネットワークに求められるのは、ユーザー認証の仕組み、脅威を検知する仕組み、そしてその脅威を遮断する仕組みです。F5では、FireEyeとの協業により、この3つを包括的に実現するソリューションを提供しています。
アプリケーションへの認証、認可、シングルサインオンを提供し、あらゆるアプリケーションへの接続を安全、快適に実現するF5のBIG-IP Access Policy Manager(BIG-IP APM)と、サイバー攻撃を正確かつ速やかに検知・防御できるFireEye Network Security(FireEye NX シリーズ)を連携するソリューションです。
このソリューションでは、例えばオフィスネットワークからアクセスがあった場合、まずBIG-IP APM で認証を行い、サーバへのトラフィックをミラーしてFireEye NX シリーズに送ります。
そのログを BIG-IP APMにフィードバックすることで、感染された IP アドレスからの通信を遮断することができます。
今回のソリューションのメリットの一つは、ネットワークのパフォーマンスとセキュリティの両立が可能なことでしょう。
例えば、SSLで暗号化された通信をセキュリティチェックのために復号化すると、パフォーマンスの低下を招く場合があります。
ゼロトラストネットワークの実現を視野に、企業内外で複数のセキュリティ製品を組み合わせて利用する環境では、それぞれの機器で復号化を行うことで、ネットワークの効率は大きく低下してしまう可能性があるのです。
今回提案するソリューションでは、BIG-IPを利用してSSL通信を一元的に復号化し、FireEye NX シリーズで高度なセキュリティ検査を実施するため、パフォーマンスに影響を及ぼすことなく、不正通信対策が可能となります。
また、PCやサーバにエージェントを導入する必要がないこと、F5、FireEyeそれぞれに、AWSに代表されるパブリッククラウドで展開構築可能なイメージを用意していることで、どのような環境下であっても、迅速で容易な導入が可能なこともメリットの一つでしょう。
▼F5+FireEye 無料デモ動画