ネットワークをいくつかの区分に分割する「セグメント化」は、標的型サイバー攻撃からネットワークを保護する上で、最重要かつ積極的なセキュリテイ対策です。そしてまた、ユーザおよびユーザがアクセスするネットワークを適切に特定し、分類することは、企業にとって不可欠となります。
ネットワーク管理者が、ユーザ権限やネットワークトラフィックを適切に分割できるようにすることは、重要なセキュリテイ対策です。それにより、企業の機密情報にアクセスする社員を制限したり、他のネットワークと幅広く情報を通信することを目的としたネットワークを設定することができます。企業の最重要の情報を保護するセキュリテイ対策については、トレンドマイクロでもこれまでに何度も論じてきていますが、セグメント化はこうした対策を容易にします。
また同時に、企業が直面する脅威を広範囲に評価することになります。企業が直面しうる脅威は、業種などのさまざまな要素によって異なります。そのため、企業は、どのような脅威がその企業にとって脅威となりえるか、またネットワーク内ですでに何が行われているかを理解する必要があります。特に後者は難しく、大企業でさえこの段階で困難に直面するでしょう。しかし、企業に必要なセキュリテイ対策を向上させる前に、まず何から始めるかを理解することが大切です。
こうした対策は、これまではもっと容易だったかもしれません。なぜなら、すべての機器は IT部門の管理下にあり、接続はすべて有線ネットワークでした。つまり、すべてが IT部門の責任下にありました。一般的に論理的な集団と言われる IT管理チームは、論理的な方法で容易にすべてを調整し、安全を確保しました。
しかし、現在はそうではありません。モバイル端末や、個人所有の端末機器を職場で利用する「Bring Your Own Device(BYOD)」の導入により、ネットワークを適切にセグメント化することが非常に困難になりました。同時に、社員に求められる役割も絶え間なく変化し、さらに柔軟になってきているため、社員が日々の業務で必要とする情報も頻繁に変化しました。さらに、企業のネットワーク内に流れる情報量も格段に増加しました。
ユーザやネットワークのセグメント化は難しいセキュリテイ対策ですが、また同時に必要なものです。今日の標的型サイバー攻撃に対抗するためには、正規のトラフィックやユーザを特定することが不可欠です。平常時のトラフィックやユーザにより深く精通することは、標的型サイバー攻撃の兆候を示す、通常とは異なるネットワーク活動を検出する上で非常に役に立ちます。
ネットワークを特定し分類するのに利用できる基準は何でしょうか。ここでいくつか例を挙げましょう。
ネットワーク上にどのような情報がありますか
ネットワークの各セグメントは、機密性の度合いがそれぞれ異なる情報を扱うように設定されるべきです。弊社では、情報漏えい事例が発生した祭、それが企業にどの程度被害を与えるかによって情報を分類することを以前に述べました。また、企業の部門によって、企業内の異なる情報へのアクセスを要求する可能性があります。
つまり、企業のネットワークの各区分ごとに、日々の作業で必要な情報へのアクセス権を与えるべきです。また、法律や契約上の理由により、社内の一部の情報は、特定の社員だけにアクセスを制限する必要があるかもしれません。
こうした要求は複雑で、矛盾する結果を生む可能性があります。しかし、ネットワークのセグメント化は、標的型サイバー攻撃の危険性を軽減するために不可欠です。
どのような機器がネットワークにアクセスするために利用されていますか
複数の電子機器が利用されている現在の環境では、以前よりもはるかに多くの機器がネットワークに接続しています。企業の所有する機器は、IT管理者が把握している状態にありますが、その他の機器に関してはそうとは言えません。特に、BYOD の導入は、この問題を全範囲で複雑にします。遠隔から管理される機器もあれば、そうでないものもあります。
IT管理者が管理しない機器を企業のネットワークのより制限されたセグメントに置くことは 1つの可能な解決策でしょう。こうした機器で起りうるセキュリテイ上の問題を比較的迅速に、ほとんど労力をかけずに切り離すことができ、問題がネットワーク中に広がるのを防ぎます。
誰がネットワークに接続していますか
ネットワークに接続するすべてのユーザが同等のアクセス権を必要とするわけではありません。会社役員は、一般社員に比べてより重要な情報に通じています。また、エンジニアは、最高経営責任者は定期的に読まない運用情報にアクセスする必要があります。こうしたケースも、ネットワークのセグメント化を考慮すべきでしょう。業務が異なれば、アクセスが必要な企業内ネットワークも異なります。低い特権を持つネットワークのセグメントが、上位の特権レベルのセグメントにアクセスできるようにするのは、業務上必要な場合のみとすべきです。
■ネットワークをセグメント化する利点
ネットワークの適切なセグメント化は、さまざまな方法で標的型サイバー攻撃から防御するのに役立ちます。おおまかに言うと、ネットワークのセグメント化は、標的とされた企業のネットワーク内を縦横無尽に動きまわる不正活動を困難にします。つまり、攻撃するためには、より多くの PC を侵害するか、もしくはより多くの認証情報を入手しなければならなくなります。ネットワークのセグメント化は強固な防御を提供し、攻撃者は企業に侵入するために必要以上の労力を費やさなければならなくなるでしょう。セグメント化は、バイナリコードをアクセスさせる、させないの決定を必ずしも必要としません。アクセスの制限(例えば「読み取り専用」など)でも可能でしょう。
取引先への攻撃を保護する
大企業にとって、取引先を狙った攻撃はセキュリテイ上の既知の課題です。しかし、適切なネットワークのセグメント化によって、取引先が必要とする ITネットワークだけにアクセスを制限することができます。その場合、企業のイントラネットのより深い部分に侵入する前に、取引先への攻撃の段階でさらなる障害に直面することになります。大企業は取引先と協働し、こうした取引先のネットワークから起こり得る危険を最小限に抑える必要があります。
内部による攻撃から保護する
内部による攻撃への防御は難しい対策です。とりわけ、攻撃者はすでに企業内部にいて、攻撃に対して企業がどのように対応するか、またどのような情報が企業にとって最も重要であるかなどを知るために最適の場所にいます。
しかし、内部からの攻撃は必ずしも高い権限を必要としません。また、すべての内部犯行者が企業のすべての機密情報へのアクセス権を持っているとは限りません。内部からの攻撃は、より限定的な目的や、資金、能力しか持たない可能性があります。こうした状況では、ネットワークのセグメント化は、内部犯行者がネットワークの他の部分にアクセスするのを防ぎます。これは万能の解決策ではありませんが、攻撃をより困難にします。
■トレンドマイクロの対策
ネットワークとユーザのセグメント化は、現在のネットワーク環境では難しいセキュリテイ対策ですが、大企業のネットワークを安全に保つためには必要なものです。そのため、ネットワークのセグメント化は、企業が直面する脅威を評価する統合的なアプローチに組み込まれるべきです。次の対策は、危機管理を実行するすべての企業にとって合理な方法となるでしょう。
- 保護すべき資産や情報を特定し、これらをセキュリテイ基盤で可視化するために、どのような管理が実施されているかを確認する
- 確認後、どのようなネットワーク上のサービスが使用され、適切な管理が実施されているかを確認する
- こうした資産や情報はどのようにアクセスされているか(HTTP、HTTPS、SMB など)、またどのように保存されているか(SQLデータベース、平文、NSA や SAN など)を特定する
- 既存のセキュリテイ対策製品を使用して、過去や現在の脅威を特定し、現在の脅威活動の基準を確立する。その後、さらに一歩進んで、セキュリテイ業界は、あなたの企業と似たような情報を持つ企業にとって、何が脅威だと見なしているかを特定する。例えば、弊社の標的型サイバー攻撃に関する分析レポートでは、現在の脅威を特定する上で有益な傾向を知ることができる
- これらの脅威を評価し、適切なリスク評価を行う。その後、これらの脅威や危険レベルを念頭に置いたネットワークおよびその他の防御策を設計する
すべての企業は、このような対策を講じることにより、直面する危機に対する理解を深め、効果的かつ経済的な方法でこれらの脅威から保護できます。企業のネットワークを適切に保護するために、こうした対策はネットワーク管理者にとって非常に重要です。
参考記事:
- 「 Identifying and Dividing Networks and Users」
by Jay Yaneza (Threats Analyst)
翻訳:品川 暁子(Core Technology Marketing, TrendLabs)