侵入されても被害を最小限に抑える
マイクロセグメンテーション活用のポイント

　IPAが毎年発表している「情報セキュリティ10大脅威」の2025年版（組織編）を見てみると、1位となった「ランサム攻撃による被害」をはじめ、その多くが、サーバーなどへの横感染で深刻な被害をもたらすものとなっている。また、4位の「内部不正による情報漏えい等」は、過剰な権限付与や監視の不足が主な原因と考えられる。

　2025年ならではの特徴としてイルミオジャパンの河合 瑞気氏は、「AIがコーディングに本格的に使用されるようになってきた一方、バイナリファイルをAIでリバースエンジニアリングすることで、脆弱性を効率的に発見できる懸念があり、ゼロデイ攻撃の増加に警鐘が鳴らされています」と語る。

　こうした状況の下、セキュリティー対策のコンセプトにも変化が起きている。「侵入の防御が一層困難になり、被害の抑制強化が合理的になってきています」と河合氏は指摘する。

　ここで河合氏は、一般的な4つの攻撃シナリオを紹介。まず、端末感染から横方向への拡散（ラテラルムーブメント）による基本的な攻撃シナリオだ。従業員が不用意に怪しいファイルを開いたり、リンクを踏んだりすることを完全に防ぐのは難しい。「一般端末がマルウエアに感染すれば、内部通信の自由度が高いとサーバーセグメントに横感染し、重要システムにまで侵害が及んでしまいます」（河合氏）。

　2つ目は管理者端末経由の感染拡大だ。一般従業員の端末が感染し、システム管理者権限を持つ端末に感染が広がると、管理者アクセスで重要システムへの侵害が行われる。

　3つ目はクラウド経由の攻撃だ。パブリッククラウドがDirect ConnectやExpressRouteでオンプレミスと接続されているケースは多い。「適切な通信制御ができていないと、外部公開サーバーが侵害され、クラウド経由でデータセンターに到達し、重要システムに横感染する恐れがあります」河合氏は語る。

　4つ目はグループ会社経由の攻撃だ。管理が行き届かないグループ会社で感染が発生し、グループネットワークを伝わってデータセンターに横感染、重要サーバーへ到達することもある。特に海外のグループ会社とネットワークがつながっている場合はリスクが高い。

　「DXの名の下にデジタル化が進み、ネットワークを通じて連携を広げていく。その結果、小さなインシデントが重要システムを停止させてしまうリスクが無視できなくなってきています」と河合氏は警鐘を鳴らす。こうしたリスクへの対処法として、大型船や潜水艦の水密隔壁、大型ビルの防火壁など、小さな事故が大きな被害とならないように封じ込める伝統的な仕組みがある。そのような仕組みがITインフラにも必要になってきているといえるだろう。

　そこで注目されるのが、ネットワークを複数のセグメントに分割して通信を管理・制御する「マイクロセグメンテーション」だ。特に「Illumio」は、ホストベースでマイクロセグメンテーションを提供するソリューションであり、「今の環境を見えるようにする」「それを理解できるようにする」「見えて理解できたものを、シンプルな仕組みとシンプルなポリシーで制御する」という3点の特徴を備える。

　さらに、安全で実績のあるアーキテクチャも大きな特徴だ。Illumioはエージェントを使うが、エージェント自体は直接通信に触れず、OSのカーネルにも変更を加えない。ネットワーク構成も変更する必要がなく、サーバーのIPも変更不要だ。

　河合氏は、マイクロセグメンテーションの効果を先述の4つの攻撃シナリオで検証した。

　「まず、従業員が不審なファイルやリンクを踏んで感染しても、通信が制限されていれば被害は端末のみに留めることができます」と河合氏。この場合、重要システムは問題なく正常稼働を続けることが可能だ。また、2番目の、一般端末から管理者権限を持つ端末への横感染については、「端末間のPtoP通信が制限できていれば、横感染を抑制できます」と説明する。

　「パブリッククラウド上の公開サーバーが侵害されたシナリオでも、環境を超えてくる通信の制御が適切に行えていれば、被害を極小に留めることが可能です。グループ会社での感染シナリオについても、通信できる相手が適切に限定できていれば、被害は封じ込められます」と河合氏は説明する。

　2013年に米国で創業したイルミオは、この領域の専業ベンダーとして10年以上の歴史を持つ。大規模環境を得意としており、Fortune 100の20社以上が採用。また、調査会社からも高い評価を受けている。

　Illumioが提供する機能は、見える化と通信制御の2点だ（図1）。見える化では、サーバーやエンドポイント、IaaS/PaaSの上に構築したアプリケーションとそれらの通信を、リアルタイムかつ環境を横断的にビジュアル化する。通信制御では、見える化された状態から、OSやクラウドの標準機能を使って任意の場所・任意の塊で通信制御を行う。 　河合氏はそうした機能をデモで紹介。管理コンソールの画面では、サーバーがどことどのような通信をしているかを示す線が表示され、サーバーの名前やOSなどの情報も把握できる（図2）。複数台のサーバーで動いているシステムを名寄せしてグループ化する機能も備えている。 　クラウド環境についても、APIで連携することでAWSやAzureなどの環境の中身を可視化できる。オンプレミス、エンドポイント、さらにパブリッククラウドすべてを環境横断的に1つの面として捉え、ポリシーで制御していくことができる。

　「侵害は避けられません。それを深刻化させないために、Illumioが存在しています。業務をシンプルにして負荷を抑制する様々な工夫もあります」と河合氏。シンプルでわかりやすい製品設計と、既存環境への影響を最大限考慮した安全で導入しやすいアーキテクチャもIllumioの特徴だ。

　通信制御をミスなく、わかりやすく、簡単に実施できる点も強みとなっている。セキュリティーの基本は当たり前を徹底することにあり、通信制御についてもミスを抑えて分かりやすく作業できるツールが、当たり前の徹底を実現する。

　今後の企業のセキュリティー対策において「見える化と通信制御で被害を最小限に抑える」という考え方は、ポイントを押さえた合理的な判断として主流となっていくかもしれない。