サイバー攻撃の被害拡大は無制限アクセスが要因
最新のサイバー攻撃に対応するためにゼロトラストの考えに基づいた対策が有効です。インターネットもイントラネットも信用できない前提に脅威対策を行うならば、イントラネット内のIT資産もインターネットに公開されるIT資産と同様に高いセキュリティが求められます。ランサムウエアの被害が甚大化する主な要因はラテラルムーブメントと呼ばれる水平移動が成立するからです。ゼロトラストの最小アクセス権限の概念であるマイクロセグメンテーションを取り入れて、不要な通信の制限を行い、被害の最小化対策を進めましょう。それをIllumio Segmentationがサポートします。
システム管理者のよくある課題をIllumio Segmentationが解決します
各IT資産がどのようにつながっているのかを把握できていない
ネットワーク可視化の機能により何と何がつながっているかグラフィカルに表示します。
VLANによるセグメント分けをしていたが仮想化やクラウド化で制御ができていない
ワークロード単位での制御によりVLAN、仮想ネットワークに依存しません。
通信のつながりが複雑すぎる
IT資産の論理的なつながりをビジュアル化し、グループ化によりシンプルな表示を実現します。
ワークロード単位でUTMを設置するのは費用面、運用面で現実的でない
OS標準のファイアウオールの設定を一元的に管理する方法のため追加でハードウエアを設置する必要がありません。
Illumio Segmentationとは?
Illumio Segmentation はIllumio社が提供するネットワーク可視化とマイクロセグメンテーションのクラウドサービスです。マイクロセグメンテーションの代表的なサービスの1つで、従来型のVLANや仮想ネットワークによるセグメンテーションと異なり、サーバーやクライアントPCにエージェントソフトをインストールし、OS標準のファイアウオールを操作して通信の制御を行う方式を採用しています。またIaaSなどのクラウドに対してはAPI連携によるエージェントレスで通信の可視化とマイクロセグメンテーションを実現できます。
Illumio Segmentationの構成図
マイクロセグメンテーションとは?
VLANやファイアウオールのような従来の大きなセグメント単位の通信制御ではラテラルムーブメントの抑制が効かずサイバー攻撃の被害が甚大化してしまう問題がありました。これを解決するためにワークロード単位での通信制御を行うことをマイクロセグメンテーションといいます。その方法として仮想基盤技術を利用する方法があります。仮想ネットワークにより仮想基盤上のワークロード単位で通信制御を行うことが可能です。
しかし、昨今はクラウドの利用が増加しており、仮想基盤の範囲を超えたワークロードが増加しており、多様な環境に対応する必要がでてきています。それを実現する方法としてワークロードにエージェントを導入し制御ポリシーを一元管理する方式があります。またIaaSなどのクラウドについてはAPI連携によって制御することも可能で、これらを合わせて統合管理できるソリューションが登場しています。
3つのセキュリティセグメンテーションの図
Illumio Segmentationの特徴
サーバー、クライアントPC、クラウド環境の通信を可視化、制御
サーバーとクライアントPCにはVEN(Virtual Enforcement Node)というエージェントソフトをインストールします。クラウド環境はAPI連携の設定をします。これによりワークロード単位で通信の可視化と制御が可能になります。
視認性の高さ
クライアントPCからサーバーへのつながりやサーバー同士のつながりをすべて可視化できます。しかし、大量のつながりを図に表すと複雑になり視認性が悪くなってしまいます。Illumio Segmentationは関係性のあるグループにまとめることが可能であるため抽象化され視認性を向上できます。
可視化の図
手軽に導入
軽量なエージェントで可視化と制御が可能です。マシンのインストールやアップデートにおいて再起動が不要のためサーバーの可用性を維持できます。またクラウド環境においてはAPI連携によりエージェントレスで可視化と制御が可能です。
Illumio Segmentationの主な機能
可視化
各ワークロードからの通信情報を集約しすべてのつながりを可視化します。グループ分けすることで抽象化され可視性が高まります。
抽象化の図
さらにフィルタリングによって、よりシンプルな表現となります。
フィルタリングの図
ラベリング
グループ分けのためにラベリング機能が用意されています。そのワークロードに対して、どこにあるのか、どんなアプリか、どんな役割かなどを関連付けることができます。ラベリングは可視化の抽象化やフィルタリングを行う際に役に立ちます。
ラベルの図
制御
可視化されたつながりに対して通信を許可するかブロックするかの設定を行うことでマイクロセグメンテーションを実現できます。未定義の場合は黄色の線となっています。この線に対して通信の許可(緑)とブロック(赤)を定義することで通信の制御を行います。ラベリングによるグループに対して一括設定が可能です。
色で制御を区別する図
アーキテクチャー
サーバーやクライアントPCにはVENをインストールします。VENはクラウドにあるIllumio Segmentationの管理コンソールであるPCE(Policy Compute Engine)にTCP443のアウトバウンド通信で連携します。PCEの設定によりVENがOS標準のファイアウオールの設定を操作します。VENのインストールやバージョンアップはOSの再起動を必要としませんのでサーバーの稼働率を低下させません。また、クラウドに対してはAPI連携によりエージェントレスで可視化と制御を行うことができます。
アーキテクチャーの図
構成
Illumio SegmentationのライセンスはData Center、Endpoint、Cloudによって構成されます。
活用例
被害拡大を防ぐプロアクティブセキュリティ
サイバーセキュリティ対策の指南書であるNISTのCyber Security Frameworkはセキュリティ対策として、統治および ①特定 ②防御 ③検知 ④対応 ⑤復旧 に整理しています。このうちの特定と防御はインシデント発生前のセキュリティ対策です。検知以降の迅速な対応も重要ですが、被害拡大を防止するには事前の対策が重要です。それがプロアクティブセキュリティです。
昨今のサイバー攻撃における被害拡大の大きな要因はラテラルムーブメントです。ゼロトラストの概念の通り、最小アクセス権限に基づいたアクセス制御を行うことで被害を最小限にすることができます。プロアクティブセキュリティは大規模インシデントにおける損害金額と比べれば、少ない投資で効果を得られる考え方です。EDRやSOCの対策も重要ですが、平時にしっかりとした対策を行っておくことで被害拡大を防ぎます。
商品販売元
Illumio, Inc.
更新日:2025年12月12日
※記載の製品、会社名、サービス名、ロゴマークなどはすべて各社の商標または登録商標です。
