ITpro Special
週間WEEKLY ITpro Special ITpro

民間企業のための「マイナンバー」カンファレンス 2 REVIEW|標的型攻撃への対策は拡散防止型セキュリティ 二つの仮想化でセキュアなITインフラを実現

ヴイエムウェア

標的型攻撃への対策は拡散防止型セキュリティ
二つの仮想化でセキュアなITインフラを実現

標的型攻撃の手口が巧妙化する今日、企業内部に侵入されても被害を最小限に抑える拡散防止型セキュリティが注目されている。ヴイエムウェアは、セキュリティゾーンを仮想マシン単位に最小化して拡散を防ぐマイクロセグメンテーションの考え方に基づき、デスクトップ仮想化と ネットワーク仮想化の二つの仮想化でマイナンバーに運用に必要なセキュアなITインフラを実現する。

標的型攻撃の内部対策に有効な感染端末からの脅威拡散防止

ヴイエムウェア株式会社
ソリューション技術統括部
統括部長
種子野(たねの) 亮

 標的型攻撃に起因する大規模な情報漏洩が相次いで発覚する中、マイナンバーのセキュリティ対策がますます重要になっている。特定個人情報保護委員会では「特定個人情報の適正な取扱いに関するガイドライン(事業者編)」を公開。企業にマイナンバーを適正に取り扱うための規程づくりや、特定個人情報に関わる組織的、人的、物理的、技術的な観点から安全管理措置を求めている。

 マイナンバーの取り扱いに限らず、企業にとってサイバー攻撃、特に標的型攻撃は大きな脅威となっている。攻撃者は標的とする企業・組織の関係者を装った標的型メールを送りつけ、端末をウイルス感染させる。その後、外部から端末を不正操作し、企業システムの内部に侵入・調査して目的の機密情報や個人情報を盗み出すといった手口が知られている。

 標的型攻撃からマイナンバーや企業の機密情報を守るためには、侵入を防止する入口対策と機密情報の外部流出を防ぐ内部対策が有効であるとされてきた。「標的型攻撃の手口が巧妙化し、攻撃手法の変化が激しい今日、入口対策は後手に回りやすいといえます。それに対し、内部対策は攻撃手法がそれほど変化していません。入口と内部では対策の傾向が異なるのです」とヴイエムウェアの種子野亮氏は指摘する。

 内部に侵入後、時間をかけて拡散、継続的に攻撃するのが、標的型攻撃の主なパターンだ。そのため、インターネットと企業ネットワークの境界にファイアウォールやIPS(侵入防止システム)などのセキュリティ製品を配置する従来の侵入防止型セキュリティの入口対策だけでは不十分だという。「攻撃者の侵入を前提に、拡散防止型セキュリティを講じることが内部対策のポイントになります」と種子野氏は話す。

脅威の拡散防止で注目される「マイクロセグメンテーション」

 そして種子野氏は、「拡散防止型セキュリティ対策では、“マイクロセグメンテーション”という概念が重要になります」と続ける。標的型攻撃ではウイルス感染した端末から、内部のほかの端末に侵入、感染を拡散することで攻撃を仕掛ける。マイクロセグメンテーションは、内部ネットワークのセグメントを最小化することで、仮に侵入されても感染端末の影響を局所化し、拡散を防止する。これにより、標的型攻撃の被害を抑え込み、機密情報の社外流出や漏洩などを防ぐという考え方だ。

 内閣サイバーセキュリティセンター(NISC)の「高度サイバー攻撃対処のためのリスク評価等のガイドライン」には、システム設計要領としてマイクロセグメンテーションが明記されており、標的型攻撃の新たな対策として注目されている。

 とはいえ、マイクロセグメンテーションを物理ネットワークで構成するのは非現実的だ。ヴイエムウェアはデスクトップ仮想化と、ファイアウォールなどのネットワークリソースをソフトウエアで制御するネットワーク仮想化技術を用い、マイクロセグメンテーションによるセキュアなITインフラを提案する。

 例えば、仮想デスクトップ環境の整備により、「マイナンバー利用時にサーバーから端末にデータを送るのではなく、暗号化された画面イメージを転送するので通信時の盗聴を防止できます」と種子野氏は説明する。また、管理者はUSBデバイスの使用や画面キャプチャーの禁止などの制御を一元的に管理でき、内部犯行による情報漏洩の防止が可能だ。

 仮想デスクトップは様々な利点があるものの、同一セグメントに多数の仮想デスクトップが配置され、拡散防止が難しいといった問題も指摘されている。また、マルウエアを検知した場合、仮想デスクトップの設定を変更してポートを遮断するなど管理が煩雑になる問題もある。

安全管理措置のイメージ
ヴィエムウェアはデスクトップ仮想化とネットワーク仮想化で対応する
[画像のクリックで拡大表示]

仮想ファイアウォールやログ管理も組み合わせて不正動作を検知

 こうした仮想デスクトップの課題を解決する手段としてマイクロセグメンテーションを活用する。「例えば、分散仮想ファイアウォールによって仮想マシン単位にセグメントを最小化すれば、ある仮想デスクトップが感染しても、仮想デスクトップ間の通信は遮断され拡散を防止できます」(種子野氏)。

 さらに仮想デスクトップと仮想ファイアウォール単位でアクセス制御を行ない、正規社員と非正規社員が利用できるシステムを分けるなど、企業のルールに合わせた運用が行える。

 ヴイエムウェアではネットワーク仮想化技術を用い、様々なセキュリティベンダーとの協業を推進。システムの脆弱管理やマルウエア感染防止、ネットワーク保護などのセキュリティ強化を支援する。例えば仮想デスクトップでマルウエア感染を検知した場合、自動的にそのネットワークを隔離することができる。

 こうした仮想ネットワークや仮想デスクトップなどのログをリアルタイムに収集し、可視化して分析するツールもヴイエムウェアでは用意している。「内部トラフィックの異常な動きを検知するなどログを常時監視することで攻撃を防いだり、セキュリティインシデントの原因究明に役立てたりすることができます」と種子野氏はログ管理の必要性を述べる。マイナンバー制度で求められる安全管理措置を徹底するためにも、デスクトップ仮想化とネットワーク仮想化によるセキュアなITインフラ構築を推進する構えだ。

vRealize Log の画面例
複数のコンポーネントから飛んでくる syslog データを収集し可視化して分析する
[画像のクリックで拡大表示]
お問い合わせ