極めて困難な課題とその解決策:「ピコ」セグメンテーションによるIoTセキュリティの強化

この1年ほどの間、企業のネットワークとデータセンターをサイバー攻撃から効果的に保護する新たな方法として、セグメンテーションやマイクロセグメンテーションという言葉を何度も耳にしました。しかし、それだけで十分なのでしょうか。さらに徹底した第3のセグメンテーション手法を挙げるとすれば、おそらくそれは「ピコ」セグメンテーションになるでしょう。

説明を始める前に、最初の2つについて簡単に解説しておきましょう。セグメンテーションまたはネットワークセグメンテーションとは、あるコントロールドメインから別のコントロールドメインへのトラフィックフローを制御するものです。これらのセグメントは、ドメイン間通信が不正に確立されないようにするためのものです。たとえば、インターネットからDMZに流れ込んでくるトラフィックが通信できる相手は、DMZのみに限定されるべきです。また、逆にDMZの通信相手はそのトラフィックのみに限定される必要があります DMZサーバーのセキュリティが何らかの理由で侵害された上に、DMZからドメインの異なる別のシステムへのパス (たとえばPOS、金融トランザクションシステムなど) が確立された場合、境界セグメンテーションルールによって通過を拒否することで、POSドメインからのデータがインターネットに送信されないようにする必要があります。

セグメンテーションは、データセンターまたはクラウドの垂直(North-South)方向のトラフィックにほぼ必ず(データセンターまたはクラウドに送信されるトラフィックが公衆インターネット上のクライアントからのものである場合は特に)適用されます。マルチテナント型の環境においては、セグメントによってテナントの特定のグループやアセットが定義される場合もあります。セグメンテーションは、一般的にファイアウォールなどのゲートウェイセキュリティ製品で使用されますが、これは安価、いいえ容易な方法ではありません。数百万に及ぶこともあるセッションの送受信両方の状態を管理するには、高い処理性能を備える先進のファイアウォールが必要です。このレベルの処理や分析は極めて複雑であり、大量のリソースを必要とします。

マイクロセグメンテーションとは、コントロールドメインの内部でトラフィックをコントロールすることです。これにより、単一のコントロールドメイン内において許可されたソース、宛先、およびサービスのみが相互に通信可能となります。一方のセグメンテーションでは、一度ドメインの内部に入ったトラフィックは管理されません。

マイクロセグメンテーションを用いると、WAN、LAN、ネットワークサブネット、VLAN、また場合によっては信頼できるデバイスで構成されたメッシュネットワークやアドホックネットワークがコントロールドメインとなります。マイクロセグメンテーションは、一般的にデータセンターまたはクラウドにおける水平(East-West)方向のトラフィックを想定して設計されます。たとえば、カスタマーポータルのサーバーはローカルLDAPサーバーおよびローカルDNSサーバーとの通信が許可されていますが、LDAPサーバーおよびDNSサーバーは相互に通信する必要はありません。コントロールドメイン内のマイクロセグメントに各サーバーを配置することで、効果的に「セグメント内セグメント」を作成できます。ネットワークで従来型のゲートウェイセキュリティしか利用できない場合に、マイクロセグメンテーションは、通信が可能で当該ドメイン内の他の全デバイスを妨害する可能性のあるコントロールドメイン内の感染サーバー/デバイスによって増大するリスクに対処できます。最大のリスクとは、ほぼすべてのコントロールドメインのどこかで、境界を「越えて」他のサービスと通信するサーバーが存在することです。そのようなサーバーが感染してしまうと、他のドメインへの攻撃のポータルとして悪用される可能性があります。

上記の点を念頭に置いたうえで、このモデルをさらに進化させることが可能かどうかを考えてみましょう。ピコセグメンテーションは、次世代のセキュリティセグメンテーションとなる可能性があります。マイクロセグメンテーションの考え方をもう一歩進めたのが、ピコセグメンテーションです。これは、単一ドメイン内にマイクロセグメントを構築するだけではありません。使用されるポート、許可されるプロトコル、時刻、トラフィック量、パケットサイズなどをさらに制限し、正規のトラフィックと不正な接続や攻撃を識別するヒューリスティック検知機能を実装することを意味します。

次のようなシナリオについて考えてみましょう。マイクロセグメンテーションが適用された水平(East-West)方向のトラフィックが存在していて、そのトラフィックは明らかに通信を必要としているクライアントとサーバー間に厳しく限定されているとします。しかし、これに追加のルール (何らかのアプリケーション制御、トラフィック量の上限と下限、このトラフィックが許可される時刻など) を適用できれば、感染したデバイスが近隣のデバイスを攻撃する能力を低下させたり、異常な通信を検出する能力を向上させたりできるようになる可能性があります。また、当該のマイクロセグメントの中でそのデバイスを信頼できると見なしているにもかかわらず、すべての接続についてアプリケーション自体にサービスレベルの認証(ログオン)の取得も要求したとしたら、どうなるでしょうか。

いずれの標準化団体も、セグメンテーションマイクロセグメンテーションの定義について正式な決定も合意もしていないことに留意してください。 ここでピコセグメンテーションと呼んでいるものの一部はすでに利用可能になっていますが、一般的に他の形態の多層型セグメンテーションとは綿密に融合していません。

セグメンテーション、マイクロセグメンテーション、ピコセグメンテーションのすべてを綿密に考察することで、セキュリティアーキテクトおよびリスクマネージャーは、今よりも詳細な制御モデルを構築してインフラストラクチャに適用できるようになると、筆者は考えます。少なくとも、特定の情報資産に関して、より質の高いアドバイスや精度の高い保証とリスク計算を提供できるようになるはずです。

ピコセグメンテーション普及のきっかけになり得るIoT

リスクと責任の観点から言えば、一部のシステムやアプリケーション(ゲーム、ソーシャルメディアなど)に必要なのは、サービスレベルと可用性に関して然るべき配慮と誠意を示すことができるセグメンテーションだけなのかもしれません。一方、IoTのシステム、そして(安全性が重要な機能やインフラストラクチャのサポートのために配備されたような)その構成要素であるデバイスにとっては、同レベルの然るべき配慮と誠意を示し、さらに(インシデント発生時に過失を訴えられる可能性に加えて)リスクと責任を最小限にとどめるために、ピコセグメンテーションが必要な場合があるかもしれません。

多くのIoTデバイスが、セキュリティ機能の限られたベンダーの製品であることは広く知られています。つまり、ピコセグメンテーションなどの方法を用いて、ゲートウェイやネットワークなどの場所にリスク回避機能を適用する必要があるということです。

つまり、セグメンテーションという考え方を次のレベルまで進化させる方法を本格的に検討すべき時がきているのです。IoTの爆発的な広がりが続く現在、新たな環境そしてIoTのシステムとサービスのセキュリティを強化できるよう、今よりも堅牢なセグメンテーション戦略を策定することが大切です。