マイクロセグメンテーション -Akamai Guardicore Segmentation-③　～導入ステップ～

こんにちは、IT基盤本部の Y.Takao ＆ K.Yuto です。
Akamai Guardicore Segmentationブログも第3弾となりました。
今回はAGSの導入ステップについて紹介していきます。

前回までのブログはこちら。
マイクロセグメンテーション -Akamai Guardicore Segmentation-①
マイクロセグメンテーション -Akamai Guardicore Segmentation-②

AGSの導入ステップ

AGSの導入ステップは3つのフェーズに分けられます。

• Step1 : 可視化フェーズ
• Step2 : AGS設計フェーズ
• Step3 : 通信制御フェーズ

AGSではまず通信の可視化というフェーズから導入がスタートします。
可視化フェーズではいきなり通信を制御するのではなく、まず自分たちの環境を正しく理解するための重要なステップとして位置づけられています。
多くの環境では「何と何が通信しているか」を完全に把握できていないケースも少なくありませんが、このフェーズでどのサーバとサーバがどういったポートやプロトコルで通信しているのかを把握することが可能となります。

通信の可視化自体は数日あれば大部分を把握することができますが、環境によっては月に1度程度のパッチやバックアップ通信も発生することを加味すると可視化期間を1か月程度設けておくのが安心かもしれませんね。

この可視化によって、後続の設計や通信制御を安全かつ現実的に進めることが可能になります。

②AGS設計フェーズ

可視化の次のステップとしては、AGSの設計フェーズに移ります。
このステップがAGSの一番大切なフェーズとなっています。

このフェーズを一言でいうと、

可視化で見えた通信をもとに「何をどこまで守るか」を整理するステップ

です。

マイクロセグメンテーションは、製品を導入するだけで自動的に安全になるものではありません。
どのシステムが重要で、どの通信を許可すべきかを整理して初めて、その効果を発揮します。

設計フェーズでは、可視化で洗い出された通信をもとに、サーバーやアプリケーションを役割ごとに整理していきます。
Web、AP、DBといった構成や、業務システム単位でグループ化およびラベリングという作業をすることで、通信の全体像がより明確になります。
このようにして通信の整理と設計が進むと、次のステップである通信制御フェーズでは、業務影響の少ない部分から段階的に通信制御を行えるようになります。

③通信制御フェーズ

設計フェーズで通信の整理が進むと、次はいよいよ通信制御フェーズに移ります。
通信制御フェーズとは、設計フェーズで整理した内容をもとに、必要な通信だけを許可していくステップです。
ただ、業務システムでは、想定していなかった通信が実は必要だったというケースも少なくありません。
なので、AGSでは通信制御フェーズの初期段階では以下のように通信を分類および制御します。

明確に必要な通信
→通信を許可する

業務で使用するか怪しい通信
→通信制御するポリシーでAlertアクションを設定し、業務影響を与えないように必要な通信、不要な通信を判断していく

このように徐々に通信を制御していくことで既存の業務に影響を与えることなく、AGSの導入を進めることができます。
通信制御を行うことで、万が一サーバーが侵害された場合でも、攻撃者が他のシステムへ横展開すること(＝ラテラルムーブメント)を防ぎ、被害を最小限に抑えることができます。

まとめ

本記事では、Akamai Guardicore Segmentationの導入ステップとして、可視化・設計・通信制御の各フェーズを紹介しました。
マイクロセグメンテーションは、いきなり通信を止めることで実現するものではなく、まず環境を正しく把握し、守るべき範囲を整理したうえで、段階的に制御を進めていくことが重要です。
近年は侵入そのものを完全に防ぐことが難しくなっており、侵入後に被害をいかに抑えるかという視点が求められています。
Akamai Guardicore Segmentationは、こうした「侵入を前提とした考え方」に基づき、業務影響を最小限に抑えながらセキュリティ強化を進められる点が特徴です。