Introducing Illumio Insights — breakthrough AI-powered observability, detection, and containment.
Read more

Experienced a Breach?

|
Contact Us
|
+1 855 426 3983
Blog
/
Ransomware Containment

ランサムウェアの封じ込めにはファイアウォールが十分ではない理由

Trevor Dearing
インダストリーソリューションマーケティングディレクター
Illumio Editorial
1月 13日、 2022
23分読む

少し前まで、ネットワーク管理者やセキュリティ専門家は、セキュリティ侵害を封じ込めるために物理ファイアウォールまたは仮想ファイアウォールのみに依存していました。しかし、ネットワークの急増、クラウドの台頭、ランサムウェアやその他の攻撃の爆発的な増加により、組織は新しいアプローチを必要としています。

今日、企業が必要としているのは、 マイクロセグメンテーションを適用するための費用対効果が高く、管理が簡単な方法です。言い換えれば、侵害されたマシン、ネットワーク、アプリケーションを隔離して、組織のIT環境全体にランサムウェアを拡散させないようにする方法が必要です。

ホストベースのセグメンテーションは、潜在的な使いやすさ、拡張性、手頃な価格のおかげで、前進する道を示しています。その理由は次のとおりです。

セグメンテーションの 3 つのオプション

セグメンテーションは、大きく分けて3つのカテゴリに分類されます。

  1. ネットワークを介したセグメンテーション
  2. ファイアウォールによるセグメンテーション
  3. ホストベースのセグメンテーション

ネットワーク管理者は、データのセキュリティを確保するためにネットワークアーキテクチャに依存していました。ネットワーク内のアプリケーションとワークロードを分離して、データの共有を防ぎました。このようにして、侵害されたマシンは、別々のネットワーク上のマシンやワークロードに干渉することはありませんでした。仮想ネットワークと仮想 LAN は、物理ネットワークと同様にこの機能を果たしました。

たとえば、管理者は財務システムを 1 つの仮想ネットワークに配置し、人事システムを別のネットワークに配置して、相互に通信できないようにすることができます。

このアプローチは、線路に似ていると考えることができます。データは、ネットワークが行く場所にのみ行くことができます。これは効果的ですが、ワークロードがデータを共有するのが困難になるため、環境に柔軟性はあまりありません。

仮想ネットワークの接続は、ファイアウォールの出番です。ここでは、管理者はどのポートを開いたままにする必要があるか、どの情報を他の資産に渡す必要があるか、新しい脅威に対応してどのルールを変更する必要があるかを判断する必要があるため、すぐに複雑になります。

それでも、セグメンテーションに対するファイアウォールアプローチは、大規模な組織にとって主要なセグメンテーション方法として根強い。これらを使用するには、管理者はグループを作成し、「許可」リストと「拒否」リストの両方のルールを定義して、それらのグループ間の通信を制御します。ルールは、物理、仮想、または分散ハイパーバイザーファイアウォールを介して適用できます。

ファイアウォールはパスポート コントロールのように機能します。ユーザー、マシン、ネットワークを特定した後、ユーザーまたは組織が何をしたいかに応じて、ユーザーを通過させたりブロックしたりします。

ファイアウォールのアプローチは、通常、組織が時間の経過とともにファイアウォールに多額の投資を蓄積し、新しい攻撃に対応するために活用したいため、依然として一般的です。また、チームは管理方法も知っており、ITポートフォリオに製品やコストを追加したくありません。

しかし、今日のIT環境と脅威の状況の性質は、従来のファイアウォールのセグメンテーション機能よりも進んでいます。そのため、企業は現在、ホストベースのセグメンテーションの規模、速度、パフォーマンスを必要としています。

ホストベースのセグメンテーションでは、管理者はワークロードごとに単純なラベルを作成し、ラベルの組み合わせ間の通信ルールを作成します。このアプローチは、ファイアウォール単体よりも費用対効果が高く、より優れたセキュリティを提供します。ファイアウォールには多くの制限があるためです。

ファイアウォールの問題

ファイアウォールには 、いくつかの重大な制限があります。

  • 可視性の欠如
  • 遅い速度
  • アプリケーションリングフェンシングを実装できない
  • 複雑さ
  • 粒度の欠如
  • 費用
  • ランサムウェアに対する脆弱性

ファイアウォールの実装までの時間が遅いことは、ワークロードが拡大し、それに対応する脅威が拡大する時代において非常に重要です。

大きなファイアウォールは、1,000 以上のルールのリストに依存する場合があります。これらのいずれかを変更する場合は、その変更がリストのさらに下にあるルールに影響を与えないようにする必要があります。そして、その変更されたルールをテストすることはできません。ただ展開して、何かが壊れないことを祈るだけです。どれも時間がかかります。脆弱性が急増し、ランサムウェアが拡散する可能性がある時期。

複雑さと時間がかかることを考えると、ある 推定 では、ファイアウォールの設定ミスによるファイアウォール侵害の数が 99% になるのも不思議ではありません。

対照的に、ホストベースのセグメンテーションは、ルールの書き換えプロセスからはるかに短い時間で済み、複雑さを排除できます。それは可視性に依存しています。

ホストベースのセグメンテーションの仕組み

ランサムウェア攻撃中にルールのリストを書き換えるために奔走する必要はなく、ワークロードベースのセグメンテーションは、チームが脅威を常に把握できるように、プロアクティブ機能とリアクティブ機能の両方を提供します。

ホストベースのセグメンテーションにより、セキュリティチームとITチームはすべての通信フローを確認し、リスクを特定できます。

Illumioは、ネットワーク、マシン、ワークロード間の接続のアプリケーション依存関係マップを提供します。ユーザーは、マップ内のリンクをクリックしてテストし、環境全体にルールをすぐに適用できます。

そこから、組織は不要なアクセスルートやリスクの高いポートを迅速かつ簡単にブロックしたり、マルウェアや攻撃者の横方向の移動を制限するためにトラフィックをセグメント化するためのその他の事前対策を講じたりすることができます。

他のすべてが失敗した場合、セグメンテーションは大きな赤い緊急ボタンのように機能します。これにヒットすると、ランサムウェアが脆弱なワークロードに拡散するのを即座にブロックできます。

イルミオによるマイクロセグメンテーション

クラウドは、従来のファイアウォールにさらなる課題をもたらします。サービスをクラウドに移行すると、インターネットゲートウェイもクラウドに移行されるため、インターネットゲートウェイを所有することはなくなります。そして、セグメンテーションを行っていたファイアウォールもそれに付随するため、いずれにせよ、その機能に対して別のソリューションを考え出す必要があります。イルミオはその解決策になる可能性があります。

Illumioは、既存のホストベースのファイアウォールと連携して、クラウド、オンプレミス、ハイブリッド構成のいずれであっても、IT環境全体にリアルタイムの可視性と保護を提供します。また、スケールも提供します。サーバーが 2 台あっても 200,000 台でも同じように機能します。

もちろん、複雑な環境はすぐに視覚化が困難になる可能性があります。大きなスパゲッティのように見えるものに何が起こっているのかを見るのは難しいです。そのため、イルミオはビジュアライゼーションをわかりやすいマップに分割しています。たとえば、地域やクラウド サービスごとに資産を表示できます。

米国であなたのデータで何が起こっているか知りたいですか?ヨーロッパで何が起こっているのか?それとも AWS、Azure、Google ですか?オーストラリアのサーバーとドイツの水槽サーモスタットの間の不審な通信はどうでしょうか?

イルミオは、ワークロードの実際のプロセスからその情報を取得するため、すべてを簡単に視覚化できます。そこから、外部ファイアウォールではなくワークロード自体を使用してセグメンテーションを行うことができ、今日の脅威がどこに現れても対応するために必要な速度、柔軟性、応答性が得られます。

ファイアウォールとホストベースのセグメンテーションのコストの計算

ファイアウォールのコストはすぐに加算されます。ファイアウォールの価格はサイズによって異なり、サイズは次のような要因によって異なります。

  • スループット — つまり、アドレス指定するイーサネット インターフェイスの合計。
  • 仮想ファイアウォールを実行するために必要なプロセッサコアは、通常、サーバーのリソースの約25%を消費します。
  • ソケットの数 — サーバーがサポートできるワークロードの数を決定します。

スループットが高いほど、より多くのコアが必要になるため、より多くのソケットとより高価なサーバーが必要になります。このようなコストはすぐに加算される可能性があります。

これらの総所有コストの計算には、製品のコスト、通常 1 週間に必要な変更の数、変更を実装する人員のコスト、およびその他の要因が含まれます。

セグメンテーションの未来

イルミオは複雑さの層を抽象化し、管理者がネットワークの構成方法を気にすることなく、プロアクティブまたは脅威に直接対応して資産をセグメント化できるようにします。

これは、今日のIT環境に必要なものです。ネットワークセグメンテーション自体がファイアウォールに取って代わられたのと同じように、ワークロードベースのセグメンテーションは、以前のものを構築するために必要な次の技術的ステップです。

クラウドワークロードと拡大する脅威の時代において、今必要なのはワークロードに基づく可視性とセグメンテーションです。これはすべて、今日の企業にとって不可欠なセキュリティへの ゼロトラスト アプローチを提供するためです。

また、ワークロードに基づくマイクロセグメンテーションにより、IT プロフェッショナルは、ファイアウォール ルールを手間をかけて書き換えるよりも生産的なタスクを解放できます。そして、企業は、追いつくために猛烈なスピードでデジタルトランスフォーメーションを行わなければならない逼迫した労働市場において、重要な競争上の優位性を得ることができます。

詳細はこちらの マイクロセグメンテーションの利点 又は 専門家に相談する ランサムウェアやその他のサイバー攻撃から組織を保護するのにどのように役立つかについて。

関連トピック

Ransomware Containment

関連記事

.Net アセンブリを使用したランサムウェア手法の謎を解き明かす: EXE vs. DLL アセンブリ
Ransomware Containment

.Net アセンブリを使用したランサムウェア手法の謎を解き明かす: EXE vs. DLL アセンブリ

.Net アセンブリ (EXE vs. DLL) の主な違いと、最初の高レベル コードでの実行方法について説明します。

Read more
ランサムウェアの拡散を阻止する3つのステップ
Ransomware Containment

ランサムウェアの拡散を阻止する3つのステップ

接続を制限し、可視性を拡大し、応答時間を改善することで、ランサムウェアの拡散を阻止する手順をご覧ください。

Read more
ランサムウェアの封じ込めにはファイアウォールが十分ではない理由
Ransomware Containment

ランサムウェアの封じ込めにはファイアウォールが十分ではない理由

ファイアウォールが脅威に追いつくのに遅すぎる理由と、マイクロセグメンテーションがランサムウェア封じ込めの鍵となる理由を発見してください。

Read more
ランサムウェア封じ込めにイルミオを使用する9つの理由
Ransomware Containment

ランサムウェア封じ込めにイルミオを使用する9つの理由

イルミオのリアルタイムの可視性とシンプルな制御により、未使用のRDPポートなど、ランサムウェアのリスクの最大の発生源を迅速に削減する方法をご覧ください。

Read more
ランサムウェアの拡散を阻止する3つのステップ
Ransomware Containment

ランサムウェアの拡散を阻止する3つのステップ

接続を制限し、可視性を拡大し、応答時間を改善することで、ランサムウェアの拡散を阻止する手順をご覧ください。

Read more
イルミオでClopランサムウェア攻撃を阻止する方法
Ransomware Containment

イルミオでClopランサムウェア攻撃を阻止する方法

Clopランサムウェアの亜種がどのように動作するか、そしてイルミオがマイクロセグメンテーションで組織が攻撃を封じ込めるのにどのように役立つかをご覧ください。

Read more

違反を想定します。
影響を最小限に抑えます。
レジリエンスを高めます。

ゼロトラストセグメンテーションについて詳しく知る準備はできていますか?

Learn more