DC／IaaSのゼロトラスト～サーバーをホストレベルで制御するマイクロセグメンテーションの最新手法～

はじめに

データセンター（DC）／IaaS環境におけるゼロトラストとワークロード保護について解説します。過去のブログ記事「工場のゼロトラスト～IoT/OT端末をリスクに基づいて動的に通信制御する最新手法～」で、拠点や工場内部のセグメンテーションについて説明しましたが、本記事ではデータセンター側、つまり、サーバーサイドのセグメンテーションについてご紹介します。ホストベースのアプローチに焦点を当て、サーバー、ホスト、およびIaaS内部の通信をどのようにセグメント化するかについて説明します。

目次

1. DC/IaaSをなぜ保護すべきか
2. ホストベースセグメンテーションの登場
3. 拡大するセグメンテーション

1.DC/IaaSをなぜ保護すべきか

守るべきはDC/IaaS上のワークロード

まず、なぜデータセンターやIaaSを保護する必要があるのかについて、簡単に説明します。ランサムウェアの最終的な標的は、ワークロードであり、その上で格納されている重要情報を含むリソースやデータです。 

ランサムウェアの手口は、重要なデータを暗号化し、復旧と引き換えに身代金を要求するものです。そのため、最も重要なのはデータセンターやIaaS上にあるワークロード（サーバー上で動作するOS、アプリ、データ等）を守ることです。ここを守ることがセキュリティにおける最優先の課題となります。

ラテラルムーブメントによる侵入とランサムウェアの脅威

攻撃者は、脆弱な外部公開機器を踏み台にして、内部に侵入し、EDR（Endpoint Detection and Response）やアンチウイルスソフトの検出を回避しながら、サーバーからサーバーへ、エンドポイントからエンドポイントへと移動、最終的に機密情報が持ち出します。最悪の場合、データが暗号化され、復旧が困難になる可能性もあります。

＜例．攻撃者が利用する様々な侵入経路＞

• デバイスからデバイスへ横移動（ラテラルムーブメント）して侵入
• 工場のネットワーク/OT環境を経由してデータセンターに侵入
• フィッシング攻撃を通じてWeb経由で侵入

また、ラテラルムーブメントのスピードは年々高速化しており、EDRを導入していても、検知から隔離までに時間を要した場合、脅威は拡散していきます。そのため、「内部に侵入されることを前提にした防御策」が求められます。

ワークロードのゼロトラスト「マイクロセグメンテーション」

事後の検知だけに頼らず、事前に拡散も防ぐことが重要

サイバー攻撃への対策として、EDR（Endpoint Detection and Response）を導入し、脅威を検知・隔離するという方法があります。しかし、これは受動的なアプローチであり、「脅威の検知」だけでは不十分です。侵入を完全に防ぐことは困難であるため、「侵入後の拡散を防ぐ」ことが重要になります。そのための有効な手段が、ワークロードのゼロトラストを実現する「マイクロセグメンテーション」です。

デバイスやサーバーが侵害される可能性を前提とするならば、あらかじめ適切にセグメントを設定しておくことで、仮に一部のシステムが侵害された場合でも、被害の横展開を防ぐことができます。このような封じ込めの考え方は、セキュリティ対策の基本であり、検知システムと併用することで、より強固な防御を実現できます。

近年、EDRを回避・無効化する攻撃手法が増えており、EDRのみでは十分な防御とは言えない状況になっています。そのため、侵入を前提にした対策として、事後の検知に依存するのではなく、侵入後の拡散を事前に防ぐ仕組みが求められています。

デバイス間やサーバー間において適切にセグメントを設定することで、攻撃のラテラルムーブメントを抑制し、被害の拡大を防ぐことが可能です。例えば、デバイス間でセグメンテーションを適用すれば、早い段階で横展開を防ぐことができます。同様に、サーバー側でもセグメントを適切に設定しておけば、万が一侵入された場合でも、重要なシステムやデータへのアクセスを阻止できます。

このように、セグメントを適切に有効化することで、攻撃の拡散を防ぎ、より強固なセキュリティ環境を構築することができます。

2.ホストベースセグメンテーションの登場

近年、マイクロセグメンテーションの実装手法としてホストベース型が主流になりつつあります。

従来、データセンター内のセグメンテーションは、データセンターの出入口にハードウェアアプライアンス型のファイアウォールを設置し、アクセスリストの設定やポリシーの適用によって制御されていました。しかし、多くの企業では、システム単位やロケーション単位での粗いセグメンテーションが一般的で、細かく制御できていないのが現状です。

これまでのセグメンテーション手法としては、

• ファイアウォールベース（ネットワーク機器による制御）
• ハイパーバイザーベース（仮想化ソフトを用いた制御）

などがありました。しかし、これらの手法はネットワーク機器のベンダーに依存したり、同一ハイパーバイザー内でのみ通信を制御可能といった制約がありました。

一方、最新のホストベース型セグメンテーションは、各ホストにエージェントを導入することで、

• 物理環境
• 仮想環境
• クラウド
• コンテナ
• エンドポイント

といったあらゆる環境でセグメンテーションを適用可能にするというメリットがあります。

さらに、データセンター内のサーバーワークロードに留まらず、クラウドやエンドポイントなど幅広い環境でセグメンテーションを適用できるため、データセンターに到達する前の段階で脅威を封じ込めることが可能になります。

また、ホストベース型であれば、同セグメンテーション上サーバー間通信でもホストレベルで制御できるため、従来のように複雑なACL（アクセス制御リスト）を設計・管理する必要がなくなります。ホスト単位で「このサーバーとこのサーバー間では、このプロトコルとポート番号のみ許可する」といった柔軟な設定が可能となり、直感的に細やかな通信制御を実現できるのが大きな特長です。

ラベルを用いたサーバー間通信の可視化とセグメント化

ホストベース型のセグメンテーションの大きな特徴の一つは、OSを問わず、どんな環境でも適用可能である点です。エージェントを導入できれば、物理環境・仮想環境・クラウド・コンテナなど、あらゆる環境に対応できます。

しかし、ホスト単位で制御するとなると、サーバーが100台・1,000台・10,000台と増えた場合、どのように管理するのかという課題が生じます。この課題を解決するために、多くのホストベース型セグメンテーションのソリューションでは、「ラベル」という概念を採用しています。

 具体的には、各サーバーに対して「タグ」や「ラベル」を付与し、以下のような情報を持たせることができます。

• サーバーの種類（Webサーバー、ファイルサーバー、データベースサーバー など）
• 稼働環境（本番環境、QA環境、開発環境 など）
• ロケーション（東京DC、大阪DC、AWSなど）
• OSの種類（Windows、Linux、Oracle など）

このラベルを基にサーバーをグルーピングし、サーバー間の通信依存関係や通信状況をマッピング・可視化することが可能になります。

さらに、ラベルを活用することで、抽象度の高いポリシー設計が可能になります。従来のようにIPアドレスやサブネットを意識せず、以下のような直感的なポリシーを設定できます。

• 本番環境のシステムAと開発環境のシステムBの間で、特定方向の通信のみ許可
• 販売系アプリケーションと財務系アプリケーション間では、財務系アプリから販売アプリへのインバウンド通信のみ許可

このように、ラベルを活用することで、どのサーバーグループ間で通信を許可するかを明確に設計でき、大規模なサーバー環境でもシンプルかつ柔軟な制御が可能になります。

また、単に可視化するだけでなく、ラベルを用いたグルーピングによって通信の制御まで実施できるのが、ホストベース型セグメンテーションの大きな特長です

マイクロセグメンテーションの活用シーン

マイクロセグメンテーションを活用することで、データセンター内のサーバーや通信の可視化ができ、その後の制御にもつなげることができます。 例えば、以下のようなケースで有効です。

• データセンター内の通信状況の可視化と制御
  どのサーバーがどのような通信を行っているのかを把握し、適切な制御を適用。可視化によって、不要な通信の遮断や、異常なトラフィックを検知
• 脆弱性を抱えたサーバーの分離
  古いバージョンのOSを使用しているサーバーや、脆弱性があるサーバー群を特定し、適切なセグメントに分離することで、リスクを低減
• クリティカルなシステムの保護
  機密情報を扱う重要なシステムを独立したセグメントに配置し、特定の通信のみ許可することで、データ漏えいのリスクを最小限に抑える
• ランサムウェアなどの攻撃対策
  悪用される可能性の高いポートや通信をあらかじめブロックすることで、不必要なリスクを排除。これにより、侵害された場合でも影響を限定的に抑える
• レジリエンスの向上（被害の局所化）
  これまでの環境では、データセンター全体が攻撃の対象となるリスクがあったが、マイクロセグメンテーションを導入することで、被害範囲を限定し、迅速に復旧
• OT・IT・IoT環境の分離
  産業用システム（OT）と企業のIT環境、IoTデバイスを適切にセグメント化し、ロケーションごとに分離することで、セキュリティリスクを管理しやすく

マイクロセグメンテーションの導入ステップ（可視化から制御へ）

導入プロセスは、「可視化 → 制御」 の流れで進めるのが一般的です。

1. 可視化フェーズ（ラーニング）
   データセンター内でどのようなサーバーが稼働し、どのようなワークロードがどのようにつながっているのか、数カ月間にわたり通信状況を監視・学習し、通常の通信を把握
2. 制御フェーズ（ポリシー適用）
   可視化を行い、通信の依存関係が明確になったら、不要な通信を制御

• 不要な通信の遮断：「この通信は不要なのでブロックする」「このシステム間の通信はセグメントを分ける」といった形で、適切に通信制御を実施
• 悪用リスクの高いポートの遮断：RDPやSSHなど、業務で使用していないポートをあらかじめブロックし、不正アクセスのリスクを排除
• クリティカルなシステムの通信制限：特定のシステムには特定の通信のみ許可するなど、セキュリティ強化
• 脆弱な環境の隔離：古いOSやアップデートが適用されていないサーバー群を特定し、特定の通信のみ許可することで、被害を最小限に抑える

このように、可視化を通じてネットワークの状況を把握し、段階的に制御を適用することで、安全かつ効率的にマイクロセグメンテーションを導入できます。

3.拡大するセグメンテーション

守るべきワークロードは物理、仮想、IaaS、コンテナへ

セグメンテーションの適用範囲は、物理サーバー、仮想サーバー、クラウド、コンテナへと広がっており、これによりハイブリッドな環境に対応する必要性が高まっています。クラウド環境（AWS、Azureなど）では、APIを活用することで、エージェント不要でセグメンテーションが実現可能となっています。これにより、データセンターのように物理的なサーバーを管理するよりも迅速で効率的にセグメンテーションを適用できるようになっています。

4.まとめ

ホストベース型のセグメンテーションソリューションの適応範囲は、物理サーバーやエンドポイントだけでなく、クラウド環境にも徐々に拡張しています。この進展で、統合的なセグメンテーションが実現できる時代が到来しています。これにより、さまざまな環境でセグメンテーションを一貫して管理することで様々な内部脅威に対応することが可能になりつつあります。

本記事の内容を動画で視聴する