Introducing Illumio Insights — breakthrough AI-powered observability, detection, and containment.
Read more

Experienced a Breach?

|
Contact Us
|
+1 855 426 3983
Blog
/
ゼロトラストセグメンテーション

エージェントベースのセキュリティとエージェントレスのセキュリティ: 最適なアプローチは何ですか?

Christer Swartz
ソリューションマーケティングディレクター
Illumio Editorial
2025年3月21日
23分読む

何年もの間、サイバーセキュリティはトレードオフのゲームでした。強力なセキュリティが必要ですか?複雑さとパフォーマンスへの影響に備えてください。軽量なアプローチが必要ですか?可視性と制御を犠牲にする準備をしてください。

そのため、エージェントベースのセキュリティとエージェントレスのセキュリティをめぐる議論がそもそも存在します。

従来のセキュリティでは、チームは緊密な保護と運用効率のどちらかを選択する必要があります。エージェントベースのソリューションは、きめ細かな可視性と適用を提供しますが、リソースのオーバーヘッドが伴います。エージェントレス セキュリティはワークロードへの影響を最小限に抑えますが、深い洞察と正確な制御が欠けています。

では、現代のサイバーセキュリティにとって適切なアプローチは何でしょうか?分解してみましょう。

サイバーセキュリティエージェント:長所と短所

サイバーセキュリティエージェントをワークロードに直接デプロイすることは、セキュリティを強化する強力な方法です。しかし、それにはトレードオフも伴います。  

セキュリティ ソリューションをエージェントとしてワークロードに直接デプロイすると、それを必要とするリソースに保護を可能な限り近づけることができます。これはですね:

  • セキュリティの強化。 信頼の境界は必要な場所にあるため、ギャップのリスクが軽減されます。
  • きめ細かな可視性。 アプリケーションの動作を正確に確認し、プロセスを追跡し、ワークロード自体から直接詳細な分析を収集できます。
  • 脅威検出の向上。 カーネルレベル(システムのコア)からの洞察は、エージェントレスソリューションが見逃す可能性のある脅威を特定するのに役立ちます。

もちろん、ワークロードにエージェントを追加することには欠点がないわけではありません。

  • システムリソースを使用します。 エージェントを実行するには、ある程度の CPU とメモリが必要です。
  • トラフィック管理に関する考慮事項。 エージェントは、列に並んでトラフィックを検査するか (速度が低下する可能性があります)、帯域外モードで実行してボトルネックを回避する必要がありますが、可視性が制限される可能性があります。

一部のチームは、リソースの消耗を避けるためにエージェントレス セキュリティを好みます。代わりに、クラウド サービス、ネットワーク スイッチ、または API に依存して、トラフィック フロー データを収集し、ポリシーを適用します。  

このアプローチにより、オーバーヘッドが削減される可能性があります。しかし、可視性と制御も犠牲になります。ワークロードにエージェントがいないと、プロセスの監視、脅威の早期検出、正確なポリシーの適用が難しくなります。

最終的には、決定はトレードオフに帰着します。ワークロードにエージェントをデプロイする場合は、エージェントの軽量化も決定する必要があります。適切に設計された効率的なエージェントは、ワークロードを遅くすることなく、ディープセキュリティのすべての利点を提供できます。

OSのどこにセキュリティエージェントをデプロイする必要がありますか?

多くのアプリケーション所有者にとって、エージェントはリスクのように感じるかもしれません。ほとんどのクラウドおよびデータセンターホストでは、すでに複数のエージェントが実行されているため、別のエージェントを追加すると懸念が生じます。

  • 既存のエージェントと競合しますか?
  • リソースが多すぎるとシステムの速度が低下しますか?
  • エージェントが失敗した場合はどうなりますか — アプリケーションが壊れる可能性がありますか?

エージェントが停止を引き起こしたために重要なワークフローが中断されることを誰も望んでいません。  

エージェントは、オペレーティングシステム(OS)内の2つの場所のいずれかに展開できます。

  • ユーザー空間:アプリケーションが存在する場所
  • カーネル空間: OSの中核であり、システムライブラリ、メモリ管理、デバイスドライバ、セキュリティコンポーネントを処理します

ユーザー空間のエージェント:より安全でリスクの低いオプション

ユーザー空間にセキュリティエージェントを導入することは、重要なシステムプロセスを中断することなくセキュリティを向上させるリスクの低い方法です。  

ユーザー空間は、アプリケーションを実行する場所です。これは、すべてをスムーズに動作させるコアOS機能とは別のものです。これにより、エージェントはネットワークトラフィックのパスから帯域外に配置され、トラフィックのボトルネックになるリスクを回避できます。  

しかし、このアプローチの欠点は、カーネル空間の奥深くにあるプロセスの詳細な詳細が可視化されないことです。また、より詳細な検査のためにトラフィックを傍受することもより困難になります。

カーネル空間のエージェント:より多くのパワーだが、より多くのリスク

エージェントをカーネル空間に配置すると、アプリケーションとシステムリソースを詳細に可視化できます。これにより、セキュリティチームはプロセスを監視し、ネットワークトラフィックをリアルタイムで検査できます。  

インライン展開では、ユーザー空間エージェントが提供できる以上のディープパケットインスペクションと高度なセキュリティ制御が得られます。  

しかし、この力にはリスクが伴います。エージェントはOSの中核で動作するため、障害が発生するとワークロードが中断されたり、トラフィックがブロックされたり、システムが脅威にさらされたりする可能性があります。  

これらは単なる仮説ではなく、昨年7月に発生した注目を集めた停止は、カーネル・スペース・エージェントの故障によって引き起こされ、誤った管理の展開の危険性を証明した。  

イルミオVEN:軽量でフェイルセーフなエージェント

イルミオの仮想エンフォースメントノード(VEN)は、効率性とセキュリティのために設計された軽量エージェントです。  

複雑さを増す代わりに、オペレーティング システムの組み込みファイアウォールと連携し、トラフィックを中断することなく適用を自動化します。

VENの仕組み

イルミオは、OSの既存のネットワークセキュリティツールを置き換えるのではなく、強化します。Linuxのiptablesやnftables、WindowsのWindowsフィルタリングプラットフォーム、macOSのALFなど、イルミオのVENエージェントは、すでに存在するものを簡単に管理します。

イルミオのエージェントはユーザー空間で実行されるため、トラフィックに並んだり、アプリケーションフローを傍受したりすることはありません。代わりに、OS ファイアウォールから分析情報を収集します。これにより、環境全体のすべてのアプリケーションの依存関係を明確に可視化できます。

また、VENはラベルベースのポリシーモデルを使用しているため、セキュリティポリシーは人間が読みやすく、管理しやすくなります。これらのポリシーは、各 OS ファイアウォールの正しい構文に変換されます。これにより、複雑さを増すことなくシームレスな施行が保証されます。

基本的に、イルミオのエージェントはアンテナのように機能します。トラフィックを傍受したりコピーしたりすることはありませんが、OSファイアウォールからデータを収集し、Illumio Coreに報告します。  

Illumio Agentsを実行する2つのワークロードを備えたIllumio Coreの図で、赤い点線で接続されています。

次に、Illumio Coreは、ファイアウォールを構成するエージェントにポリシー命令を送り返します。このアプローチにより、次のことが保証されます。

  • アプリケーションのパフォーマンスに影響を与えない
  • エージェントに障害が発生した場合のセキュリティギャップなし
  • アプリケーションの依存関係を継続的に可視化

既存のOSファイアウォールを置き換えるのではなく自動化することで、イルミオは、従来のインライン適用のリスクなしに、軽量で効果的、回復力のあるセキュリティソリューションを提供します。

イルミオのフェイルセーフアプローチ

一部のソリューションでは、セキュリティエージェントをカーネル空間の奥深くに配置して、システムプロセスに直接アクセスし、トラフィックを傍受してきめ細かなセキュリティ制御を行います。  

これは良いアイデアのように聞こえるかもしれませんが、冗長な強制ポイントが作成され、トラフィックが 1 つではなく 2 つのファイアウォールを強制的に通過することになります。

カーネルスペースエージェントもトラフィックと並んでいるため、障害が発生すると重大な結果が生じる可能性があります。

  • エージェントが オープンに失敗すると、セキュリティが失われ、システムが公開されたままになります。  
  • 障害が閉鎖されると、すべてのトラフィックが停止し、アプリケーションとビジネス運用が中断されます。

イルミオの軽量エージェントモデルは、これらのリスクを排除します。エージェントはユーザー空間で実行されるため、エージェントの障害はセキュリティやトラフィックに影響を与えません。OS ファイアウォールは、最後の既知のルールでアクティブなままであり、継続的な保護を保証します。

エージェント展開の選択肢を並べて比較:1つはユーザー空間(左)ともう1つはカーネル空間(右)
イルミオはVENエージェントをユーザー空間に展開し、既存のOSファイアウォールを自動化します。

強力で低リスクの薬剤が最良の選択です

現代のサイバーセキュリティの鍵は、適切なバランスを見つけることです。これは、作業を遅くすることなく、信頼境界を必要な場所に正確に配置することを意味します。

イルミオのエージェントベースのアプローチは、ワークロードを遅くすることなく強力なセキュリティという両方の長所を提供します。保護とパフォーマンスの間にトレードオフはありません。また、エージェントの障害によってビジネスが中断されるリスクもありません。  

イルミオは帯域外で実行され、軽量で受動的な状態を保つため、厳格なネットワークルールではなく、ビジネスニーズに基づいて明確な可視性と管理しやすいセキュリティポリシーを提供します。  

実際に見てみませんか? 今すぐお問い合わせください 無料相談とデモのために。  

関連トピック

マイクロセグメンテーション

関連記事

イルミオのエージェントがインラインエージェントよりも信頼できる理由
ゼロトラストセグメンテーション

イルミオのエージェントがインラインエージェントよりも信頼できる理由

リスク軽減の目標に焦点を当て、パケットに対してハンズオフのアプローチをとっているイルミオを使用すると、信頼できるエージェントを心配することなくセキュリティについて考えることができます。

Read more
マイクロセグメンテーションのワークロードラベリングを簡素化するための5つのヒント
ゼロトラストセグメンテーション

マイクロセグメンテーションのワークロードラベリングを簡素化するための5つのヒント

ここでは、ワークロードのラベリングプロセスを簡素化するための 5 つのヒントを紹介します。

Read more
デンマークの史上最大規模の重要インフラ攻撃からエネルギー事業者が学べること
ゼロトラストセグメンテーション

デンマークの史上最大規模の重要インフラ攻撃からエネルギー事業者が学べること

ここでは、この攻撃について私たちが知っていることと、エネルギー事業者がゼロトラストセグメンテーションを使用して同様の侵害に積極的に備える方法を紹介します。

Read more
イルミオのエージェントがインラインエージェントよりも信頼できる理由
ゼロトラストセグメンテーション

イルミオのエージェントがインラインエージェントよりも信頼できる理由

リスク軽減の目標に焦点を当て、パケットに対してハンズオフのアプローチをとっているイルミオを使用すると、信頼できるエージェントを心配することなくセキュリティについて考えることができます。

Read more
イルミオがeBayの大規模なマイクロセグメンテーションプロジェクトをどのように簡素化したか
ゼロトラストセグメンテーション

イルミオがeBayの大規模なマイクロセグメンテーションプロジェクトをどのように簡素化したか

イルミオを使用してネットワーク全体にマイクロセグメンテーションを展開したeBayの成功事例をご覧ください。

Read more
セキュリティと運用の回復力のバランス:安全で安定したソフトウェアリリースのためのイルミオの戦略
IL L U M IO P R O D U C T S

セキュリティと運用の回復力のバランス:安全で安定したソフトウェアリリースのためのイルミオの戦略

最悪のシナリオの影響を軽減しながらセキュリティを維持するのに役立つイルミオプラットフォームで行った設計の選択の概要をご覧ください。

Read more

違反を想定します。
影響を最小限に抑えます。
レジリエンスを高めます。

ゼロトラストセグメンテーションについて詳しく知る準備はできていますか?

Learn more