全3922文字
PR

 アカマイ・テクノロジーズ(東京・中央、以下アカマイ)は2022年7月25日、マイクロセグメンテーションを実現するソリューション「Akamai Guardicore Segmentation」(以下、AGS)の国内販売を開始すると発表した。AGSは同社が2021年に買収したイスラエルのセキュリティーベンダー、Guardicore(ガーディコア)の製品だ。

 マイクロセグメンテーションはゼロトラストの考え方に基づくセキュリティーを実現するソリューションの1つ。サーバーなどネットワークの終端(エンドポイント)ごとにファイアウオールを配置してポリシーを適用し、個々の通信の接続可否を検証する。

 ゼロトラストにはいくつかの実現手法があるが、現在主流なのはユーザーIDと認証に基づいてアプリケーションの利用を制御するタイプだ。アカマイの既存のゼロトラスト・ソリューション「Akamai Enterprise Application Access」などが該当する。ただし、この手法ではユーザーIDによる認証を伴わないサーバー間の通信は制限できない。IDによる制御は個々のアプリケーションを保護できるものの、エンドポイント間の通信を監視しない。このため標的型攻撃などでマルウエアが社内ネットワークに侵入した後、ひそかにネットワーク内での横展開を図る動き(ラテラルムーブメント)を検出するのが難しい。

米アカマイ・テクノロジーズのドロール・サレ氏(左)と同社日本法人の金子春信氏(右)
米アカマイ・テクノロジーズのドロール・サレ氏(左)と同社日本法人の金子春信氏(右)
(写真:日経クロステック)
[画像のクリックで拡大表示]

 マイクロセグメンテーションを導入すると、サーバー間通信の制御が可能になる。また「ラテラルムーブメントを完全に防げるとまではいかないが、動きを著しく鈍化できる」(ガーディコア共同創業者で米Akamai Technologiesのドロール・サレRegional Sales Director)という。

自動でトラフィックを識別してラベルを付与

 とはいえ単に「エンドポイントごとにファイアウオールを設ける」のは非常に煩雑だ。例えば次世代ファイアウオール(NGFW)をエンドポイントごとに配置すると、設定や運用管理に大きな手間がかかり、現実的ではない。さらに「今日のクラウドサービスは柔軟性が高く、瞬時に数百もの仮想マシンを立ち上げられる。こうした動的に変わる環境に、NGFWでは追従できない」(サレ氏)。

 そこでAGSではエージェント型のアーキテクチャーを採用した。サーバーなどのエンドポイントにエージェントをインストールし、アカマイのSaaS(ソフトウエア・アズ・ア・サービス)または顧客のオンプレミス(自社所有)のデータセンターに配したマネジメントサーバーからポリシーを配布し、通信を制御する。

Akamai Guardicore Segmentationの構成。アグリゲーター(Aggregator)は大規模環境においてエージェントとマネジメントの通信を簡素化するためのコンポーネント
Akamai Guardicore Segmentationの構成。アグリゲーター(Aggregator)は大規模環境においてエージェントとマネジメントの通信を簡素化するためのコンポーネント
(出所:アカマイ・テクノロジーズ)
[画像のクリックで拡大表示]

 「多数のエージェントを配布すると管理対象は多くなる。マネジメントサーバーでエンドポイントとその通信を可視化して一元管理する」(アカマイの金子春信マーケティング本部 シニア プロダクト マーケティング マネージャー)。ここでユーザーが直感的に理解しやすい可視化と通信制御の鍵となるのが、AGSがエンドポイントの管理に用いる「ラベル」という概念だ。