「インターネット分離」と「分門間分離」で守る
企業がセキュリティにどう立ち向かっていくかについては、国や政府機関が公表しているガイドラインが参考になる。基本的な考え方とともに技術対策にも踏み込んだガイドラインとしては、経済産業省の「サイバーセキュリティ経営ガイドライン」が有用だ。
同ガイドラインの付録B-2では、多層防御の例として、「ウイルス感染リスクの低減」「重要業務を行う端末やネットワークの分離」「重要情報が保存されているサーバの保護」「出口対策とログの定期的なチェック」「感染リスクのさらなる低減策」「感染した場合に備えた侵入拡大防止策」の6点が示されている。
ここで技術的に注目しておきたいのが「分離」だ。楢原氏によると、分離には大きく「インターネット分離」と「部門間の分離」の2つがある。
インターネット分離では、仮想化技術を活用することがポイントだ。VDI環境を構築して、OSそのものをサーバ側で管理する。すると、ウイルス感染はサーバ側の分離環境で対処できるようになる。一方、部門間分離は、営業部や開発部、人事部などのネットワークを部門別に分離する方法だ。ここでも仮想化技術が活用できる。
「VMware NSX」と外部SEIM連携の効果
そのうえで、楢原氏は、ITガバナンスとダメージコントールを実現するための「分離」技術の1つとして、「VMware NSX」の活用を上げた。NSXはネットワーク仮想化技術の1つで、分散ファイアフォールと呼ばれる機能を使って、仮想マシン単位で感染端末の特定や隔離を行うことができる。
例えば、VDI環境のなかにある仮想マシンがランサムウェアや標的型攻撃を受けた場合、その仮想マシンをネットワークから隔離し、同じセグメントや別セグメントに所属する仮想マシンへの感染を防ぐことができる。
WannaCryは、ワームのようにLAN上で急速に感染を拡大させたが、こうした仮想マシン単位での「マイクロセグメンテーション」を施すことで、ワームのようなLAN内での被害はほとんど無効化できるというわけだ。
さらに、楢原氏は、NSXを外部SIEMと連携させることで、すみやかに感染疑義端末を特定し、脅威を最小化、隔離するオペレーションも可能だと説明。サイバーセキュリティ経営ガイドラインに示された6つの防御策を実装していく方法などをアドバイスした。
