Akamai、Guardicoreを買収。ゼロトラスト・ソリューションを拡張し、ランサムウェアの阻止能力を強化。 続きを読む

ブログ

Akamai + Guardicore:エンドツーエンドのゼロトラスト

Written by

Dr. Robert Blumofe and Ariel Zeitlin

November 03, 2021

見逃すことはできません。ランサムウェア攻撃は爆発的に増加しており、2020 年には 150% を超える 伸びを示しているという指標もあります。犯罪者がネットワークやシステムへのアクセス方法を新たに考え出したり、在宅勤務の継続やインターネット対応機器の普及によりアタックサーフェスが拡大したりすることで、この脅威は増大する一方です。このトレンドこそ、Akamai と Guardicore が正式に手を組むことになったことが非常に喜ばしい理由です。ランサムウェアがもたらす課題はかつてないほど大きくなっており、両社が 1 つになったことで、攻撃を阻止できる機会はこれまでにないほど具体的なものとなっています。両社が力を合わせることで、脅威の増加を食い止めることができます。

ランサムウェアは複雑な問題ですが、ランサムウェアからの保護は 1 つのシンプルな原則に集約されます。つまり、エンドポイントを問わず、すべてのトラフィックフローに検査と制御が必要です。 

ランサムウェアがその機能を実行するためには、移動が必要です。ランサムウェアがどこから発生したとしても、価値の高いデータにアクセスして暗号化できる場所を見つける必要があります。この移動には、通常、複数のデバイスやサーバーを経由するマルチホップを必要とします。各ホップは、南北(ユーザーデバイスとサーバー間)、または東西(サーバー間)のトラフィックフローです。したがって、ランサムウェアをブロックするためには、これらトラフィックフローの一つ一つを検査して制御し、そのフローが許可されたものであり、マルウェアが含まれていないことを確認する必要があります。

Akamai と Guardicore が 1 つになったことで、この戦略を実現することができるようになりました。両社の技術を組み合わせることで、お客様は南北および東西のエンタープライズ・トラフィック・フローを検査し、制御できるようになります。

そもそも、攻撃者はどのようにアクセスするのか 

攻撃者は、エンタープライズ内で最初の足がかりを得るために使用できる戦略をいくつか持っています。その足がかりを得るのがファーストホップです。攻撃者がファーストホップのために使用する戦略には、フィッシング、スクワッティング、盗んだ認証情報の活用、公開アプリケーションの脆弱性の悪用、ラップトップやサーバーへの物理的なアクセスの獲得などがあります。ランサムウェアに対する防御では、これらの戦略のすべてを考慮する必要があります。

フィッシング対策では、トレーニングに頼りすぎることがよくあります。もちろんトレーニングは重要ですが、何かが疑わしいか否かを判断する責任を従業員だけが負うべきではありません。脅威の状況と犯罪者が使用するツールはあまりにも急速に変化しています。理想的には、従業員が判断を下す前に、テクノロジーが介入すべきです。また、テクノロジーは、ヒューマンエラーを修正することでもう 1 つの防御層を提供することができます。たとえば、従業員が悪意のあるリンクをクリックしたとしても、疑わしい Web サイトをブロックするなどです。

Akamai には、ランサムウェアが足がかりを得ようとするこのファーストホップで、ランサムウェアをブロックできる製品がいくつかあります。 

  • DNS ファイアウォールとセキュア Web ゲートウェイ(SWG)- これらはいずれも Enterprise Threat Protector に含まれており、ホスト名と URL のフィルタリングにより、フィッシングサイトやスクワッティングサイトへのアクセスをブロックします 

  • フィッシング対抗用の多要素認証(MFA)- パスワードの要素を持たないことが理想的で、盗んだ認証情報を使用しようとする攻撃者をブロックできます 

  • ゼロトラスト・アクセス製品 - 現在は Enterprise Application Access と呼ばれているものであり、認証・許可されたユーザーのみがサーバーを参照できるようにすることで、サーバーの脆弱性の悪用をブロックすることができます 

  • さらに、Akamai の Web アプリケーションファイアウォール(WAF)により、トラフィックフローに攻撃が含まれないようにすることができます。許可されたアクセスにさえ攻撃が含まれる可能性があります

ランサムウェアの拡散を防止する 

もちろん、完璧な防御はありません。攻撃者が侵入経路を見つけた場合はどうなるでしょうか。サプライチェーンが標的となり、攻撃者がすぐにネットワークにアクセスできるようになってしまったらどうなるでしょうか。 

防御は常に望ましいものですが、現実として脅威が通過してしまうこともあります。組織は、ランサムウェアが最初の防御を突破した場合に、重要な情報やインフラを保護するための戦略を備えている必要があります。そのためには、東西方向、つまり内部のサーバー間のトラフィックを検査し、制御することも重要です。ほとんどの場合、ランサムウェアが価値の高いデータを見つけて被害を与えるためには、少なくとも 1 回の東西方向のホップを必要とします。さらに、物理的なアクセスから発生する攻撃の場合、サーバーからサーバーへのホップを阻止することが、ランサムウェアの拡散を防ぐ唯一のチャンスとなる可能性があります。

Guardicore のマイクロセグメンテーションテクノロジー は、組織内でのマルウェア拡散を阻止するための重要な防御手段です。このテクノロジーは、エンタープライズ組織を論理的にセグメントに分割し、それぞれに明確に定義されたセキュリティ制御を持たせることで、各プロセスが通信する必要がある他のプロセスとのみ通信できるようにします。このアプローチは、イーストウエストムーブメントによってエンタープライズ全体にマルウェアが拡散する問題の有効な対策となります。

次のフロンティア

Akamai と Guardicore がすべてのエンタープライズ・トラフィック・フローの検査と制御を提供することで、境界のないエンタープライズという新たなフロンティアを切り開くことができます。

多くの企業はいまだに、ファイアウォールで保護されたエンタープライズネットワークという時代遅れの概念でセキュリティに取り組んでいます。しかし、このアプローチは、クラウドファーストのどこにいても仕事ができる世界とは矛盾しています。公開されているアプリケーション、仮想化されたサーバー、オンプレミスとクラウドのテクノロジーが混在する環境で、ユーザーやアプリケーションがネットワーク上にあって信頼されているか、あるいはネットワークの外にあって信頼されていないか、という「保護された境界」によるセキュリティアプローチは、組織を非常に脆弱にします。これは、こうした防御が失敗した場合(あるいは信頼されているデバイスにアクセスされた場合)、攻撃者を阻止する手段がないことと、クラウドベースのアプリケーションやインフラを従来のセキュリティ防御の背後に配置しながら、パフォーマンスを維持することが非常に困難であることが原因です。在宅勤務が個人と仕事、家庭とオフィスの境界線を曖昧にし続ける中で、この複雑さは増すばかりです。

ゼロトラストの概念を全面的に取り入れること、そして企業ネットワーク内のものはすべて信頼できるという考えを捨てることが必要です。特に、テレワークが一般的になりつつある中で、企業システムへのアクセスはすべてリモートアクセスとみなし、どのデバイスも(インターンのものでも、CEO のものでも)、完全に自由にアクセスすることはできないようにする必要があります。これにより、脆弱性の悪用を阻止し、1 台のデバイスが侵害されても、企業のエコシステム全体が侵害されないようにすることができます。

エンドユーザー、場所、デバイスを問わず、信頼できるトラフィックフローは存在しないという統一された前提でエンタープライズセキュリティに取り組むことで、組織の防御力は格段に強化されます。Akamai と Guardicore 両者からの保護を組み合わせた包括的なゼロトラスト・アプローチにより、ランサムウェアによる被害を最小限に抑えることができます。



Written by

Dr. Robert Blumofe and Ariel Zeitlin

November 03, 2021