Trustworthy Network Segmentation for an Untrustworthy World by Kimberly Becan / 2018年12月12日より
課題:既存の防御における欠陥とネットワーク分離の要求
セキュリティチームは、新しいセキュリティ保護機構と多層型防御への追加の層を導入し続けています。 今日、典型的な組織では、AV(ウイルス対策)、IDS(侵入検知)・IPS(侵入防御)、その他多くのシステムを考慮して、外部との境界防御のための多様なアルファベットスープ(訳注:『略語だらけ』の比喩)に取組んでいます。これらのツールは依然重要ですが、絶対的なものではありません。特に、洗練された高度なサイバー脅威に対して評価される場合、これらの防御は依然、脆弱であることが判明しています。
セキュリティを担当する場合、PCやネットワークは侵害されているか、若しくはすぐに侵害されるので、信頼できなくなる事を想定する必要があります。 これは、知的財産、個人情報などの機密データが無防備になることを意味し、コンプライアンス違反、競争力やブランドの低下などのペナルティを負うことになります。
信頼できない世界の中で、どのように信頼できる領域を築きますか? こうした現実はセキュリティチームにネットワーク分離を通じたゼロ・トラストアーキテクチャの確立を迫っています。「ゼロ・トラスト」のコンセプトは賛否両論ありますが、結論は次のとおりです:企業組織は機密資産を、脆弱なネットワーク及びPCから分離する必要があります。
PCI DSSがクレジットカードデータ等の機密情報をセグメント化されたネットワーク内に置くことを推奨する、といったセキュリティのベストプラクティスとコンプライアンス要件を満たす事を求めるのはこのためです。 企業組織は、セグメント化された安全なネットワークを確立することで、機密データ用に独立したドメインを作成することができます。 この取り組みの一環として、セキュリティチームは認可されたユーザーが機密データにアクセスする方法を確立し、提供する必要があります。伝統的には認可されたユーザーに、専用の二台目のPCを用意するか、RDP(Remote Desktop Protocol)やVDI(仮想デスクトップ・インフラストラクチャ)クライアントを使用するという2つの方法があります。しかし、これらのアプローチは、それぞれに顕著な欠点が有ります。
二台目のPC
セキュリティチームが二台目のPCを用意する際は、基本的に二つの制御を確立する必要があります。 まず、これら専用PCだけが、セグメント化されたネットワーク内のサーバー上のアプリケーション(アプリケーション)にアクセス可能にする必要があります。第二に、これらのPCはセグメント化されたアプリケーションやネットワーク以外には、アクセス不能にする必要があります。
これらのコントロールを導入すれば、組織は明確な分離を確立できます。しかしながら、この二台目のPCの用意には、大きなデメリットがあります。
- ユーザーにとって、かなりの労力と複雑さが増加します。
- 技術チームにとっては、追加の調達、セットアップや保守作業の仕事が増加します。
- これらはコストの増加につながります。
リモートデスクトップ(RDP)/ 仮想アプリケーションクライアント
もう1つの選択肢は、承認されたユーザがRDPや仮想アプリクライアントを介してセグメント化されたネットワークにアクセスすることです。 このアプローチは実装が難しく、セキュリティ面で重大な脆弱性を引き起こす事もあります。基本的に、ユーザーデバイス上のホストが侵害されてしまうと、セグメント化されたネットワークは依然、無防備な状態になります。RDPは、サイバー犯罪者の一般的にターゲットにするプロトコールです。RDPや仮想アプリケーション利用の多くの場合はネットワークレベルの認証が必要ですが、このセキュリティ機構では、キーロガーを使用するハッカーが、画面での表示内容の詐取や、アプリケーションメモリからパスワードを抽出したりすることを阻止できません。
二台目のPCの導入や、侵害のリスクがあるRDP及び仮想アプリケーションクライアントで発生する、コストや労力、複雑さなどの犠牲を払わず、機密データとアプリケーションをどのように保護することができるでしょうか。
ソリューション:Bromium Protected App
Bromium Protected Appを使用すると、認可されたユーザーに二台目のPCを用意することなく、アプリケーションが処理する機密情報についてエンドツーエンドで保護を確立できます。 このソリューションで機密情報を扱うアプリケーションを完全に隔離して、クライアントとサーバー間のネットワーク接続を保護することができます。 保護されたアプリケーションは、ネットワークやPCが侵害された場合でも機密データの安全性が保証されます。
Protected App:動作の概要
Bromium Protected Appは、リモートデスクトップと仮想アプリケーションクライアントのハードウェア強制隔離機能を提供します。このソリューションは、ユーザーのWindows PC上で、OS層より下位で稼働し、OSから完全に隔離された保護された仮想マシンで動作します。 もしユーザーのPC自体が侵害されても、パーティション内に保護されたアプリケーションには影響せず、リスクは生じません。 ユーザーは保護されたVMを介してのみ、アプリケーションにアクセスすることができます。このVMはWindows OSと、感染しえるマルウェアから隔離されています。 さらに、Protected Appは、RDPと仮想アプリケーションクライアントをホストPCから隔離するため、セグメント化されたネットワークへの接続を悪用することはできません。
包括的なセーフガード
Bromium Protected Appは、マルウェア、侵害されたホストOS、さらには悪意のある管理者に対しても包括的な保護手段を提供し、これらの脅威から組織を保護します。
- キーロギング:Bromium Protected Appで作業中にユーザーが入力したキーストロークは、ホストからは参照できません。悪意のある行為者やマルウェアがホストを侵害した場合でも、ホスト側から保護されたVM内にキーストロークを送ることはできません。
- メモリの改ざん:メモリはPC本体のWindows OSから分離しており、VMのメモリは改ざんされません。
- ディスクの改ざん:VMは隔離されており、ディスクは暗号化されているため、改ざんできません。
- OSカーネルの悪用:VMはWindows OSとは独立しているため、Windowsカーネルを対象とした攻撃を受けません。
- 許可されていないユーザーコマンド:スクリーンキャプチャ、ダウンロード、コピー&ペースト、印刷など、無許可のコマンドをブロックします。
- 中間者(Man-in-the-middle)攻撃:このソリューションは、Bromium Protected Appクライアントとセキュアサーバー間のすべてのネットワーク通信を暗号化します。これは、ユーザーのホストOSがデータをクリアに表示できないこと、さらにネットワーク上で通信されるデータを表示できないことを意味します。
Protected Appのメリット
Bromium Protected Appの導入で、企業組織は多くのメリットを実現できます。
- 致命的なセキュリティ上の脅威への対処と高い効率と容易さを両立できます。このソリューションの使用で、使用するPCデバイスがマルウェアに感染していないことを確認したり、2台目のPCを用意したりせずに、機密データを処理するアプリケーションを保護することが可能になります。
- 広い範囲の種類の脅威への対策になります。Bromium Protected Appを使用すると、機密度の高いアプリケーションやデータを強力に保護し、機密性とシステムの完全性を確保できます。 このソリューションは、企業組織が持つ知的財産その他の機密データを広範囲の脅威から保護します。
- 利用者の生産性を高め、安定したシームレスなユーザビリティを得られます。Bromium Protected Appの使用でユーザーが混乱することはありません。 ユーザーは、新しいインターフェイスの習得や、新しい手順を行うことなく、普段と同じデバイスで作業し、普段通りアプリケーションを操作することができます。
結論
セキュリティ担当者は、まだハッキングされていない場合であっても、エンドポイントとネットワークが侵害を受ける可能性があるという事実を無視できません。これらの脅威への対策として、ネットワーク分離は重要な指針として挙げられています。Bromium Protected Appの使用で、認可されたユーザー用に二台目のPCの用意に伴うコストや混乱を招かず、真のネットワーク分離によるセキュリティ対策を実現することができます。
本和訳文の著作権は株式会社ブロードに帰属します。