マイクロセグメンテーション プロジェクトを確実に成功させる: 新しいアプローチが必要な理由

マイクロセグメンテーション は単なる流行語ではありません。

マイクロセグメンテーションプロジェクトの実装に成功すれば、攻撃対象領域を減らし、侵害を封じ込め、攻撃による被害を制限し、規制コンプライアンスを達成し、ゼロトラストなどのより深いセキュリティ戦略の準備を整えることができます。

残念ながら、多くの組織は マイクロセグメンテーションを実装 し、その本質的なセキュリティ上の利点を得るのに苦労しています。

このブログシリーズでは、マイクロセグメンテーションの実装が難しい理由と、プロジェクトを確実に成功させるために何が必要かについて、実践的かつ詳細な視点を提供します。

まず、この最初の記事では次のことについて説明します。

• なぜ組織がマイクロセグメンテーションを必要とするのか。
• マイクロセグメンテーションプロジェクトが失敗する3つの一般的な理由。
• マイクロセグメンテーションに対する新しい、より信頼性の高いアプローチとはどのようなものですか。

何が変わったのか?マイクロセグメンテーションが現代のサイバーセキュリティに不可欠な理由。

マイクロセグメンテーションとは、ハイブリッドデジタル環境内のアプリケーションとシステム間の経路を閉じるセキュリティポリシーを作成する手法です。これにより、インフラストラクチャのさまざまな部分が分離され、攻撃者やランサムウェアが重要なリソースに簡単に拡散するのを防ぎます。

マイクロセグメンテーションは、従来の境界ベースのセキュリティからの有意義な変化を表しています。マイクロセグメンテーションを使用すると、ネットワークと外部世界の間の接続を管理する代わりに、ネットワーク内の接続を管理します。

コンピューティング環境とサイバーセキュリティの脅威の両方がここ数年で劇的に変化したため、組織はマイクロセグメンテーションを必要としています。組織は現在、仮想クラウドと従来のオンプレミスデータセンターで構成される ハイブリッドネットワーク を運用しています。また、企業と従業員が所有するデバイスとアプリケーションの両方を保護する必要があり、その多くは企業のオフィスの外にリモートで分散されています。

今や、解散しつつあるネットワーク境界の周囲に侵入不可能な防御を構築することは不可能になりました。侵害は今や避けられません。また、攻撃者がネットワークに侵入すると、システムとアプリケーション間の多くの正当な接続や通信経路を簡単に通過して、できるだけ多くのコンピューティングリソースを侵害することができます。

従来のセキュリティアプローチだけでは、最新の脅威から保護することはできません。組織はマイクロセグメンテーションを使用して、攻撃対象領域を制限し、攻撃者が拡散できるシステムの数を制限し、組織が被害を引き起こす前に攻撃を検出して阻止できるほど長く攻撃を遅らせる必要があります。

そして、これらはどれも理論ではありません。私たちは最近、 スペシャリストのビショップ・フォックスとレッドチームテスト を実施し、次のことが証明されました。

• 非常に単純な環境分離により、攻撃者の労力が 300% 増加しました。
   
• アプリケーションリングフェンシングにより、攻撃者の労力が450%増加しました。
   
• マイクロセグメンテーションにより、ブロックされた接続が増加し、攻撃者は戦術の変更を余儀なくされ、前進に950%多くの時間を費やす必要がありました。全体として、マイクロセグメンテーションにより、重大な危害を防ぐためにインシデントを早期に検出できる可能性が高まりました。

残念ながら、効果的なマイクロセグメンテーションが最新のネットワークのセキュリティを劇的に向上させることは明らかですが、多くの組織はこの戦略を実現するのに苦労しています。

マイクロセグメンテーションプロジェクトが失敗する3つの理由

イルミオでは、マイクロセグメンテーションプロジェクトを成功させるツールとサービスを提供した豊富な経験があります。最近の例としては、次のようなものがあります。

• ある電子商取引サイトは、イルミオを使用して3か月で11,000のシステムを保護し、重要な監査に合格しました。
   
• 主要なSaaSプラットフォームは、イルミオを使用して、ポリシーと適用を含む完全なDevOps自動化の下で40,000のシステムを保護しています。
   
• 大手金融機関はイルミオを使用して、連邦規制当局の監視下で1日あたり1兆ドルの金融取引を隔離しています。

しかし、マイクロセグメンテーションに興味はあるが、マイクロセグメンテーションプロジェクトを自分で引き受けることに不安を感じているテクノロジーリーダーとも多くの会話をしてきました。通常、彼らは2つのことのうちの1つを教えてくれます。

• 彼らは、マイクロセグメンテーションは紙の上では良いアイデアですが、実際には非常に難しく、正しく行うことはほぼ不可能に思えるほどであると聞きました。
   
• 彼ら、または彼らの知り合いは、すでにマイクロセグメンテーションプロジェクトに着手しようとしましたが、失敗に終わったか、計画を通過できませんでした。

失敗したマイクロセグメンテーションプロジェクトのほとんどは、次の 3 つの理由のいずれかで失敗することがわかりました。

1. 彼らは、プロジェクトを導くために間違った戦略原則を使用しました。
    
2. 彼らはマイクロセグメンテーション戦略を構築するために間違ったロードマップに従い、プロジェクト内のコアリスクに対処しませんでした。
    
3. 彼らは、今日の動的で分散されたハイブリッドコンピューティング環境向けにマイクロセグメンテーションを構築するように明示的に設計された最新のプラットフォームを使用する代わりに、従来のネットワークおよびセキュリティツールを導入しました。

私たちの経験から、マイクロセグメンテーションプロジェクトの失敗の原因となるよくある間違いを排除することを念頭に置いて、適切なアプローチがあれば、マイクロセグメンテーションプロジェクトもシンプル、迅速、かつ信頼性の高いものになることがわかっています。

マイクロセグメンテーションプロジェクトに対する3つの課題をそれぞれ詳しく見てみましょう。

失敗ポイント1:間違った戦略原則

多くのマイクロセグメンテーションプロジェクトは、間違った戦略原則に従っているため、初日から失敗するように設定されています。これは主に経験不足によるものです。セキュリティチームやITチームがこれまでマイクロセグメンテーションプロジェクトを成功させたことがない場合、何がうまくいき、何がうまくいかないのかわかりません。

具体的には、多くのマイクロセグメンテーションプロジェクトは、組織が次の理由で失敗します。

• 標準的なウォーターフォールベースの 「オール・オア・ナッシング」プロジェクト・アプローチに従います。これらのプロジェクトが完了することはめったになく、その構造上、放棄される前に意味のある価値を生み出すことはめったにありません。
   
• マイクロセグメンテーション戦略は、環境、メタデータ、または有用な保護を提供するポリシーを明確に把握せずに設計します。この可視性がなければ、どの戦略が実際に役立つかを知ることは不可能です。
   
• ポリシーの自動化を欠いており、大規模な手作業できめ細かく包括的なマイクロセグメンテーションを構築しようとします。しかし、チームの規模がどれほど大きくても、従来のネットワークファイアウォール制御を使用して、数百、数千、数十万のワークロードの無数のポリシーを管理することはほぼ不可能です。

これらは、マイクロセグメンテーションを必要以上に困難にする根本的な間違いであり、多くの場合、プロジェクトを最初から失敗に導く可能性があります。

失敗ポイント2:リスクベースのロードマップが間違っている

多くの場合、組織はマイクロセグメンテーション戦略を作成しますが、これらのプロジェクトが対処することを意図した最大のリスクに対処したり解除したりすることはできません。マイクロセグメンテーションプロジェクトは、セキュリティチームまたはITチームが次の理由で失敗する可能性があります。

• 初日から適切な部門横断的な利害関係者やチームをプロジェクトに参加させるわけではありません。
   
• 保護する必要がある価値の高い資産を特定せず、代わりにすべてを保護しようとします。
   
• 組織のアプリケーションがどのように通信し、どの経路を閉じることができるかを確認するために必要な 可視性 が欠けています。
   
• すべてのシステムとアプリケーションに同じマイクロセグメンテーション戦略を適用しようとします。
   
• 適用前にポリシーをテストすることはなく、起動時にビジネスシステムを壊すことになります。
   
• 長期的な政策管理のための持続可能な計画を作成できない。

これらのリスクのいずれかがマイクロセグメンテーション プロジェクトを失敗させる可能性があります。多くのマイクロセグメンテーションプロジェクトには、すべてではないにしても、これらのリスクの少なくとも1つが伴います。

失敗点3:間違ったマイクロセグメンテーションツール

多くの場合、組織はファイアウォール、VLAN、サブネットなどの従来のネットワークおよびセキュリティツールを使用してマイクロセグメンテーションを作成しようとします。しかし、これらのツールは、ネットワーク内ではなくネットワークの周囲に従来のセキュリティ境界を構築するか、ほぼ静的なネットワークセグメント間にのみ広範なファイアウォールを作成するように設計されています。

組織がマイクロセグメンテーションプロジェクトでこれらのツールを使用する場合、各ツールの数百、数千、さらには数十万の個別のインスタンスをインストール、管理、および定期的に更新する必要があります。このプロセスは、費用がかかり、複雑で時間がかかり、最終的には管理が事実上不可能です。

マイクロセグメンテーションを成功させるための新しいアプローチに従う

これらの失敗点は、 マイクロセグメンテーションプロジェクトを頓挫させる可能性のあるいくつかの大きな課題を浮き彫りにしています。ありがたいことに、これらの各問題は、マイクロセグメンテーションに対するより効果的で信頼性の高いアプローチに従うことで対処できます。

具体的には、次の方法で信頼性の高いマイクロセグメンテーションプロジェクトを提供できます。

1. マイクロセグメンテーション プロジェクトを成功させる根底にある中核となる戦略原則を学び、それらをプロジェクトに組み込みます。
    
2. マイクロセグメンテーションプロジェクトに対する最大かつ最も一般的な実装リスクを特定して排除します。
    
3. 最新のネットワーク内でマイクロセグメンテーションセキュリティポリシーを構築および維持するように設計された最新のセキュリティツールを使用します。

このシリーズの残りの 3 つのブログでは、これらの各ポイントをより深く探っていきます。各投稿では、マイクロセグメンテーションプロジェクトを成功させるためのアプローチの上記の要素の1つを取り上げ、これらのプロジェクトを確実に計画、戦略化、実装する方法について実践的な理解を提供します。

今のところ、マイクロセグメンテーションとイルミオで正しい一歩を踏み出してください。

• 詳細なガイド「5 つのステップでマイクロセグメンテーション戦略を構築する方法」をダウンロードしてください。
   
• イルミオがリーダーに選ばれた「フォレスター・ニューウェーブ:マイクロセグメンテーション、2022年第1四半期」の無料コピーにアクセスしてください。
   
• 義務のないデモとマイクロセグメンテーションの専門家との相談をスケジュールしてください。