内部セグメンテーションファイアウォールによる内部ネットワークの保護

脅威の状況は刻々と変化しています。既知の攻撃方法が明らかにされ、無力化される一方で、それに代わる新たな攻撃手法が登場しています。加えて、最近の高度な脅威は以前よりも巧妙にゲートウェイセキュリティをすり抜けて、保護されていない内部ネットワークに到達できるようになっています。エッジファイアウォールはネットワーク境界の保護に有効ですが、セキュリティ侵害が発生した後ではどうすることもできません。

侵入した脅威は、機会を見て重要なインフラストラクチャに対する攻撃を開始するまでの間、数ヵ月間も休眠状態になる悪意のあるコードかもしれませんし、重要なデータや知的財産をひそかに抜き取るハッカーかもしれません。ネットワーク内部にいったん侵入されると、その存在や活動を検出する術はほとんどないのが実情です。まして阻止することはできません。それゆえに、近年発生したいくつかのセキュリティ侵害は長期間にわたって検知されず、その損害額は数百万ドルまで膨れ上がっています。

注目を集めるようなセキュリティ侵害の件数が増加している主な要因は、とどまるところを知らない脅威の高度化です。それと同時に、攻撃の機会が拡大していることも影響を及ぼしています。今日のネットワーク環境は極めて複雑化しており、それに伴ってリスクも高まっています。モバイルデバイスとワイヤレス接続の急増、BYODポリシー採用の拡大、クラウドベースアプリケーションへの移行、そしてモノのインターネット (IoT) の台頭のすべてが、ネットワークの境界が浸食される原因となっているため、脅威の侵入や活動が容易になっています。

内部ネットワークは、速度と俊敏性を高める目的でフラットかつオープンになるよう設計されています。ネットワークトラフィックに高速なギガビットレベルのスピードが必要な場合、従来型ファイアウォールなどのゲートウェイセキュリティを内部で稼働させることは、ボトルネックがすぐに発生してしまうなどの理由から現実的な方法ではありません。また、フラットでオープンな内部ネットワークで保管されるすべてのもの (企業秘密、個人情報、独自のアプリケーション、その他重要な資産など) のセキュリティは、比較的低くなります。

強力な境界保護機能を提供する従来型ファイアウォールがネットワークセキュリティにとって重要であることに変わりはありませんが、今やそれだけでは企業、政府機関、およびその他の組織を十分に保護できません。発生の可能性が高まっているセキュリティ侵害に備えて、重要なデータおよびシステムを保護する対策を追加する必要があります。

内部ネットワークには、高速な環境の要件に適した特別なタイプのセキュリティを直ちに導入しなければなりません。また、セキュリティコンポーネントの新規導入やアーキテクチャの新規構築が不可能になるほどネットワークが拡大し、デバイスが増加する前に、この問題に対処することが不可欠です。

新たな種類のデバイスが登場すれば、企業ネットワークにおけるファイアウォールの制約や制限は取り除かれます。内部セグメンテーションファイアウォール (ISFW) は、内部ネットワークに侵入する脅威からネットワークセグメントを保護するよう設計されています。

ISFWはネットワーク内の要所に配置され、重要なリソースにアクセスしようとする潜在的脅威をセグメント化によって阻止します。これにより、ユーザートラフィックおよびデータフローをより視覚的に把握できるだけでなく、セキュリティ侵害が発生した場合の被害を最小限に抑えることができます。ISFWのアーキテクチャは、最大限のパフォーマンスとセキュリティを実現すると同時に、企業内のどこにでも導入できる柔軟性を備えています。複数のデバイスに適用されるポリシー全体を容易に管理し、内部ネットワークのセキュリティを保護することが可能になります。

効果的なセグメント化が実用的となったのは、つい最近のことです。それまでは、パフォーマンス、価格、および作業量の問題が、優れたセグメント化手法を実装する妨げになっていました。

ISFWは、従来型の垂直方向のセグメント化に加え、新たな水平方向のセグメント化にも対応しています。ISFWはネットワーク内の特定の場所に導入されるため、ネットワーク内部を移動するデータの監視と検出にフォーカスさせることが可能です。攻撃者が資産や価値のあるデータの場所を特定しようとして、感染ホストから別のホストへと横方向に拡散すると、ISFWは内部ネットワークをセグメント化し、悪意のあるコードの横方向の移動および拡散を抑制します。

ISFWは、複数のデバイスに適用されるポリシー全体も管理できるため、企業の内部ネットワークのセキュリティが確保されます。ネットワーク内のさまざまな場所において、異なるレベルの可視化、制御、および減災機能を活用することが可能です。エッジファイアウォールと同様に、すべてのISFWポリシーにおいて同じレベルの検査が要求されるわけではありません。希望する場所にいつでもセキュリティ対策を配備できる柔軟性が、ISFWの最大のメリットの1つです。

ネットワーク内でセキュリティ対策を実施するポイントが増えれば、デバイス管理およびポリシー管理の重要性も高まります。ポリシーベースのセグメント化によって、各ユーザーのアイデンティティをセキュリティポリシーに関連付ける作業が自動化され、そのユーザーによる潜在的な攻撃や脅威が抑制されるため、ネットワーク、アプリケーション、およびリソースへのアクセス制御が可能になります。

ユーザーのアイデンティティは、物理的な場所、ネットワークへのアクセスに使用されるデバイスのタイプ、使用されるアプリケーションなどの属性を組み合わせたものだと定義できます。適用されるセキュリティポリシーも、ユーザーのアイデンティティに従って動的に変化しなければなりません。

特定のセキュリティポリシーが適用されることになるユーザーのプロファイルとの関連付け処理は、ユーザーのデバイスまたはアクセスポイントにできるだけ近い場所で実行される必要があります。したがって、組織のさまざまなレベルに配備されているすべてのファイアウォールが、動的にユーザーを識別し、組織全体で適切なポリシーを適用する機能を備えていなければなりません。つまり、ファイアウォールインフラストラクチャ全体が、実質的にインテリジェントなポリシーベースのセグメンテーションファブリックに変わるということです。

ISFWソリューションによって上記のような問題を解決し、ネットワークを保護する方法については、フォーティネットのテクニカルホワイトペーパー「Security Where You Need It, When You Need It (必要な時に必要な場所に適用可能なセキュリティ対策)」をご覧ください。このホワイトペーパーでは、ISFWの導入を希望されるお客様向けの設計アプローチとリファレンスアーキテクチャをご紹介しています。

ホワイトペーパー「Security Where You Need It, When You Need It(必要な時に必要な場所に適用可能なセキュリティ対策)」をダウンロード