境界が破られたとき:最後の防衛線としてのマイクロセグメンテーション
企業に導入されているサイバーセキュリティツールに関する最近の調査によると、企業あたりの平均導入ツール数は32個にのぼります。
これらのツールのほとんどは、悪意のある攻撃者が企業の境界を突破するのを防ぐためのものです。
しかし、現代の企業はもはや単一のキャンパスやデータセンターだけで構成されているわけではなく、企業が所有する施設、パブリッククラウド、リモート/在宅オフィスなどに分散したサーバーやエンドユーザーデバイスの集合体となっています。
そのため、境界の定義には、データセンター、パブリッククラウド、LAN、ユーザーデバイス、さらにはユーザーのアイデンティティまでも含める必要があります。
サイバーセキュリティベンダーは、これらの境界を保護するためにさまざまなツールを開発してきました。
しかし、ベンダーによる最善の努力や企業顧客によるツールの設定がなされていても、攻撃者が発見して悪用できる脆弱性は必ず存在するものです。
次に、いくつかの境界セキュリティツールと、それを悪用された弱点について見ていきましょう。
ファイアウォールは、インターネット経由で悪意のある攻撃者が内部システムへ不正にアクセスするのをブロックします。
しかし、設定ミスや過度に許可されたポリシーが存在する場合、攻撃者がSSHやRDPを使用して内部システムへ接続できてしまう可能性があります。
Webアプリケーションファイアウォール(WAF)は、既知の脆弱性の悪用を防ぐことができますが、未知の脆弱性やゼロデイ攻撃に対しては効果が薄いことがあります。
エンドポイント検知と応答(EDR)ツールもこの議論に含めます。
というのも、ノートパソコンは企業ネットワークの外で使用される場合、それ自体が1つの境界となるからです。
攻撃者は、難読化や「Living off the Land(LoL)」といった手法を使って、EDRソリューションを回避することができます。
ここまでに挙げた3つの例は、すべて外部からの脅威に対処するものでした。
次に、マルウェアがデータを外部に持ち出したり、攻撃者のコマンド&コントロール(C2またはCnC)サーバーと通信したりするケースについて考えてみましょう。
セキュアウェブゲートウェイ(SWG)は、通信先のトラフィックを監視し、既知の悪意あるサイトや、Webトラフィックに偽装されたC2通信へのデータ流出を防ぐことができます。
しかし、マルウェアはプロキシチェーンを用いてHTTPセッションを許可されたプロキシやVPN経由でルーティングし、SWGソリューションを回避することがあります。
これまでネットワークやデバイスの境界について語ってきましたが、現在では「アイデンティティこそが新たな境界である」とする見方もあります。
ユーザーが企業内外のネットワークやデバイスからシステムにアクセスするためです。
アイデンティティとアクセス管理(IAM)システムでは、多要素認証のようなより堅牢な認証方式が提供されています。
しかし、認証情報の盗難はいまだに脆弱性となっています。なぜなら、パスワードは使い回されることが多く、ダークウェブ上で容易に見つけられるからです。
また、サービスやエージェントといった非人間のアイデンティティも広く使われており、パブリックなソースコードリポジトリから取得されたアクセスキーによって認証情報が悪用されることがあります。
ネットワークアクセス制御(NAC)ソリューションは、キャンパス環境において、認可され準拠したユーザーのみに企業アクセスを制限します。
ゼロトラストネットワークアクセス(ZTNA)ソリューションは、リモート環境において同様の機能を提供します。これら両方のソリューションにも、攻撃者に悪用された脆弱性が存在します。
これらは、多くの企業のサイバーセキュリティスタックを構成する数多くのソリューションのごく一部に過ぎません。
そして、どのソリューションにも脆弱性は存在しています。
境界を100%の確率で守り切ることが不可能であると理解した今、初期侵害がもたらす影響について考えてみましょう。
多くの場合、攻撃者によって最初に侵害されるシステムは、それ自体では重要ではありません。
しかし、それによって攻撃者はネットワーク内をスキャンし、データベース、ファイルサーバー、ドメインコントローラーなど、外部に持ち出したり、身代金目的で暗号化したりする価値のある他のシステムを発見する足がかりを得るのです。
しばしば、初期侵害されたシステムのすぐ隣にあるシステムも重要性が低いため、攻撃者は1つまたは複数の隣接システムへと横移動を行い、このプロセスを繰り返していきます。
図は、攻撃者がAPIゲートウェイやネットワークアクセス制御(NAC)システムを回避し、ラテラルムーブメントによって関心のあるシステムを見つけ出し、その後プロキシチェーンを用いてセキュアウェブゲートウェイ(SWG)をすり抜けてデータを外部に持ち出す2つのシナリオを示しています。
多くのデータ侵害の事後分析から、攻撃者は企業ネットワークへの初期侵入を果たした後、ラテラルムーブメントを用いて関心のあるシステムを見つけ出すことが頻繁に行われていることが明らかになっています。
境界対策のツールではラテラルムーブメントを防ぐことができないと分かっていながらも、多くの組織がVLANベースのネットワークセグメンテーションやEDRまたはNDRシステムによって十分に防御できていると信じています。なぜこれが誤りなのかについて説明いたします。
VLANベースのセグメンテーションは、ネットワークのブロードキャストドメインを制限し、論理的なネットワークの分離を提供するというニーズに応えるものです。
しかし、ラテラルムーブメントに対する強力なセキュリティ対策とは言えません。
ほとんどのVLANは複数のアプリケーションやシステムにまたがって構成されており、攻撃者はVLAN内を自由に移動し、さらに他のVLANへと飛び移る方法を見つけ出すことが可能です。
EDRシステムはエンドポイントをさまざまな攻撃から保護しますが、ラテラルムーブメントに対応するものではありません。
攻撃者がネットワーク接続を行って探索やラテラルムーブメントを試みた場合、EDRシステムはこれを正規のアプリケーションや管理者による接続と区別することができません。
このように、悪意ある行動と正当な行動とを判別できないことが、侵害後の分析においてEDRのアラートがほとんど、あるいはまったく記録されていない理由です。
ネットワーク検知と応答(NDR)システムは、ラテラルムーブメントの検出に最も適していると考えられます。
なぜなら、NDRはシステム間のネットワーク接続を監視するために設計されているからです。
しかし、これらのシステムをネットワーク全体にわたって広範に展開するには高額なコストがかかるため、多くの死角が生じます。
さらに、これらのツールはラテラルムーブメントの検出は可能でも、誤検知を排除し、対応措置を開始するにはSIEMなど他のシステムへの依存が必要です。
こうした理由から、ラテラルムーブメントを防止するためには、専用に設計されたソリューションが必要です。
そして、主要なサイバーセキュリティ標準化団体や専門家はマイクロセグメンテーションを推奨しています。
マイクロセグメンテーションでは、システムやデバイスごとにマイクロ境界(マイクロペリメーター)を構築することができます。
そのうえで、組織はこれらのマイクロペリメーター間および内部で許可されるべきネットワーク通信を定義します。
マイクロセグメンテーションソリューションは、こうした最小権限のポリシーのテストと強制適用を可能にし、攻撃者による無作為なラテラルムーブメントを防止します。
下図は、先に述べた2つの攻撃経路と同じものを示していますが、今回はネットワークにマイクロセグメンテーションが実装されています。
これにより、初期侵害そのものを防ぐことはできませんが、攻撃者はマイクロセグメント内に閉じ込められ、ネットワークを横断してより重要なシステムを探し出すことができなくなります。
結論として、セキュリティスタック内の各要素は、それぞれ異なる種類の脅威に対応しています。
しかし、ほとんどの境界セキュリティ製品は侵入の防止に焦点を当てており、攻撃者が脆弱性を突いたり、別の侵入口を見つけて内部に侵入した場合には何の対処もできません。
ネットワークのマイクロセグメンテーションこそが、避けられない侵害を初期の被害範囲にとどめ、全社的な混乱やビジネス上の危機に発展させないための唯一の方法です。
もし、マイクロセグメンテーションが貴社の環境でどのように機能するかをご覧になりたい場合は、ColorTokens(カラートークンズ)公式サイトからお問い合わせください。
翻訳元記事
「When the Perimeter Fails: Microsegmentation as the Last Line of Defense」
公開日:2025/5/15
著者:Venky Raju
※本記事では、アメリカのサイバーセキュリティ企業 ColorTokens(カラートークンズ)社が発信しているセキュリティ情報(英文)を、日本の代理店である株式会社電巧社が許諾を得て日本語に翻訳し、要約して掲載しています
※記事は掲載後に修正される可能性がございますので、ご了承ください
※過去の記事もアップしておりますので、現在の情報と異なる可能性がございます。上記の公開日をご参考ください
この記事の著者:電巧社セキュリティブログ編集部
