米国を中心に150以上の空港を結ぶAlaska Airlinesは、クラウドファーストのITインフラ移行に伴い、マイクロセグメンテーション方式によるセキュリティ対策を構築している。同社のIT部門でネットワークおよびコネクティビティソリューションディレクターを務めるBrian Talbert氏は、「従来の境界防衛ベースの手法では難しいシステム間を“横移動”する脅威へ対処する必要があった」と話す。
同社は約6000台のサーバで航空機の運航業務や航空券の販売・決済、座席予約などのさまざまなシステムを運用している。特に長期休暇を控えた時期は、販売サイトに航空券を買い求める利用者のアクセスが集中するなど、「まるでECサイトのような状況」(Talbert氏)という。大量のクレジットカード決済を正しく処理するだけでなく、膨大な利用者の個人情報やクレジットカード情報などを保護しなければならない。
Alaska AirlinesのIT部門では、データセンターにあるこれらシステムの仮想化を推進すると同時に、複数のクラウド環境を利用するITインフラの移行、さらにはコンテナやマイクロサービスアーキテクチャによる刷新を進めている。こうした中で課題となったのが、データセンター内部に侵入したサイバー攻撃者がシステム間を探索・移動する「ラテラルムーブメント(水平移動、横移動)」と呼ばれる脅威へのセキュリティ対策だった。
昨今のサイバー攻撃では、攻撃者がいったんシステムに侵入すると、そのシステムだけではなく、他のシステムにも侵入範囲を広げ、次のステップの攻撃で踏み台となり得る環境あるいは、さらなる利益につながるような機密情報の存在を探し回るケースが多い。この様子を表現したセキュリティ用語がラテラルムーブメントだ。実際にラテラルムーブメントが一因と見られるインシデントが多発し、同社がITインフラの刷新を進める上で大きな懸念事項であったという。
多くの企業では、インターネットと内部ネットワークの境目にファイアウォールなどのセキュリティ対策を講じる「境界防衛」のアプローチを採用している。Talbert氏は、「この伝統的な手法はいわゆるNorth-Southのトラフィック(境界を北側、システムを南側とするシステム構成の概念)を保護するもので、コンテナやマイクロサービスによるシステム間のEast-West(横方向)には対応しづらいため、新しいアプローチが必要だった」と語る。
同社がコンテナやマイクロサービスに着目するのは、商戦の前後で激しく変動するシステムリソースを迅速かつ柔軟にスケールアップ/スケールダウンできるようにするためだ。一方で決済情報や個人情報も処理することから、PCI DSS(クレジットカード情報などのセキュリティ標準)などを厳守しなければならない。
「従来型の対策でNorth-Southの経路としてしまうと遠回りになり、データセンター内部の暗号化通信の検査処理に伴う負荷も大きいため、コンテナやマイクロサービスのメリットが十分に得られなかった」(Talbert氏)
このためTalbert氏は、コンテナやマイクロサービスに適したセキュリティ対策手法を調査し、マイクロセグメンテーションに注目。複数ベンダーのソリューションを評価・検討した結果、ShieldX Networksを選定し、同社とパートナーシップを締結した。
マルチおよびハイブリッドのクラウド構成におけるEast-Westトラフィックに対応したセキュリティ環境イメージ(出典:ShieldX Networks)
マイクロセグメンテーションは、データセンターの内部環境などにおいて少数の仮想マシンやコンテナなどを小規模なネットワークのセグメントとして管理するアプローチとなる。Talbert氏は、ShieldXのソリューションでは、ソフトウェアがマイクロサービスとしても稼働(物理/仮想サーバにも対応)することや、セグメント間の不正通信の監視・検知、システムリソース拡大への動的な対応、複数セグメントに対する単一ポリシーの適用、自動的なアプリケーション識別によるポリシー設定といった運用性を評価したという。
「従来の方法でも我々の要件を満たせないわけではないが、柔軟性や導入コストの面からマイクロセグメンテーションが理に適うと判断している。ソフトウェアベースのため処理の遅延も懸念したが、意外にもNorth-Southのトラフィックに比べて遅延が低減される効果もあった」(Talbert氏)
Alaska AirlinesとShieldXはパートナーという関係だが、ShieldX 共同創業者兼最高経営責任者(CEO)のRatinder Paul Singh Ahuja氏は、「近年はマルチクラウドやコンテナベースのシステムへの移行を検討する企業が増えており、ここ数年の概念実証(PoC)でも有用な結果が数多く示されるようになった」と話す。その意味では、Alaska Airlinesの取り組みは先進事例に当たるようだ。
近年は、日本でもITインフラの全面的なIaaSへの移行、オンライン企業を中心としたコンテナやサーバレスなどの新しいアーキテクチャの採用が見られつつある。Talbert氏は、「やはりクラウドは(既存のIT環境の代替ではなく)“変革”に値するものだと痛感している。だからこそIT部門は時間をかけてクラウドがどのようなインパクトをもたらすか慎重に見極めないといけない。セキュリティ対策も同様であり、マイクロセグメンテーションがファイアウォールのリプレースではなく、新しい仕組み作りの“変革”だという意識で臨んでほしい」とアドバイスを送る。
Alaska AirlinesのIT部門でネットワークおよびコネクティビティソリューションディレクターを務めるBrian Talbert氏(左)と、ShieldX 共同創業者兼最高経営責任者のRatinder Paul Singh Ahuja氏