サイバーインテリジェンス セキュリティマネジメントSummit 2025 summer
アカマイ・テクノロジーズ

次世代マイクロセグメンテーションで
ランサムウエアの横展開を阻止する

ランサムウエア攻撃の被害を最小化する方法として注目されているのが、マイクロセグメンテーションに基づく通信制御だ。攻撃の影響範囲を局所化することでビジネスリスクを低減する。アカマイ・テクノロジーズは、独自ソリューションを用いた次世代マイクロセグメンテーションを提案。従来方式では困難だった高度な通信の可視化と、運用負荷の低減を可能にしている。

ネットワークを
セグメントに分けて延焼を防ぐ

アカマイ・テクノロジーズ合同会社 セキュリティ事業部 セキュリティセールススペシャリスト 岸野 太郎氏
アカマイ・テクノロジーズ合同会社
セキュリティ事業部
セキュリティセールススペシャリスト
※所属と役職は講演当時(2025年6月)のものです。
岸野 太郎
 IPAの「情報セキュリティ10大脅威」によると、ランサムウエアによる被害は2021年から4年連続で1位となっている。また「サプライチェーンの弱点を悪用した攻撃」「標的型攻撃による機密情報の窃取」など、2位以下の脅威の中にもランサムウエア攻撃と関係するものが多くある。

 「世の中のデジタル化によってクラウドやIoT/OTの利用が加速し、グループ会社や子会社、取引先を含むサプライチェーンのネットワーク化も進みました。攻撃対象が広がる中、侵入経路を判別できない攻撃が増加し、ランサムウエアのリスクはかつてないほど高まっています」とアカマイ・テクノロジーズの岸野 太郎氏は指摘する。

 社外からの通信はVPNやゼロトラスト製品などを利用することで強化されたが、社内の通信方式は20年前とあまり変わっていない。拠点間や関係会社間の横方向の通信は、ファイアウオールやスイッチなどの従来製品の組み合わせで成り立っているケースが多いだろう。ネットワークでつながる拠点は拡大しているのに、その仕組みや管理手法は状況に適応できていない。これがリスク拡大の要因にもなっている。

 「その結果、一度侵入を許すとなかなか検知できず、ネットワーク内で横展開(ラテラルムーブメント)されてしまうケースが多発しています。脅威の侵入から横展開開始までの平均時間はわずか62分であり、その前に速やかに検出して対応できる仕組みが強く求められています」と岸野氏は続ける。

 また最近は環境寄生型(Living off the Land)という新手の攻撃も台頭してきた。商用ツールやオープンソースツールなど、侵入先の環境にある機能やツールを現地調達して悪用する攻撃だ。これは正規の利用ログと見分けがつかないため、検知をさらに困難にしている。平時から対策を徹底することが、より重要になっている。

 対策に有効なのがEDRやXDRだが、それだけで十分ではない。防火対策に例えるならEDRはスプリンクラー、XDRは警報機のようなものといえる。加えて、日ごろから点検を行うことや、火災が発生したら延焼を防ぐ防火扉のような仕組みも必要になる。

 「EDRやXDRをもう1歩進めた対策として、能動的な通信制御と脅威ハンティングを行うことが肝心です」と岸野氏は主張する。具体的には、平時から通信を継続的にモニタリングして、アタックサーフェス(攻撃対象範囲)と攻撃影響範囲を特定する。同時に、平時とは異なる状態を素早く検出できるようにしておくことで、インシデント発生後の迅速な初動対応を実現するものだ。

 その重要性はNISTの「サイバーセキュリティフレームワーク」でも提唱されている。また2024年10月に金融庁から公表された「金融分野におけるサイバーセキュリティに関するガイドライン」改訂版でもラテラルムーブメントの阻止が重点対策の1つとなっているという。
  • アカマイ・テクノロジーズ調べ

エージェント型ファイアウオールが情報を集約

 通信制御では、ネットワークを適切にセグメント化して管理することが有効だ。しかし、既存のスイッチやファイアウオール製品を用いたセグメンテーションでは、運用と安全性を両立する上で多くのハードルが存在する。

 まずネットワーク機器の可視化が難しい。既存のスイッチやファイアウオール製品が吐き出すテキストログを、その都度集約して解析し、全体像の把握に役立てるのは非常に骨の折れる作業となる。現在の通信トラフィックは増加傾向にあり、さらにシステム環境の多様化によって運用ツールも複数存在している。この状況で、適切な可視化を実現するのは現実的ではないだろう。

 そこで、アカマイ・テクノロジーズが提案しているのがホスト型マイクロセグメンテーションというアプローチだ。異なる環境を統合し、一貫したポリシーに基づいた一元的な運用管理を実現する。同社はこれを実現するソリューションとして、次世代マイクロセグメンテーション製品「Akamai Guardicore Segmentation」を提供している。

 特徴は、独自開発のエージェント型ファイアウオールを用いる方式にある。端末ごとにインストールしたエージェントが情報を吸い上げ、1つのインタフェース上でリアルタイムに可視化する。「これにより、端末単位の全検査とアプリケーションプロセスレベルでの通信制御を簡単に実現できるようにします」と岸野氏は説明する。

 IPアドレスに基づく通信制御の場合、ポリシーの数が膨大になって運用が複雑化しがちだ。その点、Akamai Guardicore Segmentationはサーバーの持つ共通属性や特徴に基づいた「ラベル」を用いてグループ管理できる。「IPアドレスを意識せずに、直感的かつ効率的にポリシーの設定・管理を行えます。運用工数を大幅に削減できるでしょう」(岸野氏)。

 エージェント型のため、インフラに依存せず幅広く展開することも可能だ。どのようなネットワーク機器、ハイパーバイザーを使用しているかにかかわらず、クラウドとオンプレミスを併用するマルチクラウド環境のネットワーク制御の運用を統合することができる。

AIによるルールの自動作成・更新によって運用を効率化

 また、企業・組織ごとのポリシーや業務スタイルに合わせて、柔軟にルールを定義できることも強みだ。「Allow」「Alert」「Block」など様々なルールを適用できるほか、それぞれのオーバーライドや例外も設定可能。ホワイトリスト型/ブラックリスト型、どちらでの運用にも対応する。

 過去の通信状況などに基づき、ルールの作成・更新をAIに自動実行させることも可能(図1)。通信の重要度に応じて範囲の粒度を決定したり、目的や用途などの通信種別に合わせてルールを適用したりするといったダイナミックかつ柔軟なセグメント設計を行えるという。  L4レイヤーのIPアドレス、ポート番号での制御に加えて、L7レイヤーのアプリケーションごとのプロセスも制御できる。これにより、詳細かつ厳密な可視化と制御を実現する。この制御はWindows環境とLinux環境の両方で行うことが可能だという(図2)。  「さらに、検知・防御のベストプラクティスとして、当社のセキュリティーエキスパートの知見やデータ分析のノウハウを集約して設計したポリシーセットもご提供しています。これを使えば、脅威から組織を守るための高度な通信制御を簡単に始めることが可能です」と岸野氏は語る。加えて、Akamai Guardicore Segmentationをベースにした環境構築・運用支援サービスを利用すれば、自社での環境構築に不安のある企業・組織でも取り組みを確実に進めることができるはずだ。

 アカマイ・テクノロジーズの次世代マイクロセグメンテーションは、管理負荷を高めず、ランサムウエア被害の拡大を抑える方法として、今大きな注目を集めている。
TOPへ
関連リンク
お問い合わせ
アカマイ・テクノロジーズ合同会社 URL:https://www.akamai.com/ja/why-akamai/contact-us/contact-sales