セキュリティコミュニティ「WEST-SEC」

セキュリティ初心者の方でも参加できる「わかりやすい」セキュリティイベント、8割解けるCTFを開催しています。

マイクロセグメンテーション

1.概要

1.1 マイクロセグメンテーションとは

(1)コンセプト

かつてマイクロセグメンテーションは、その導入ハードルの高さからゼロトラスト実現の「最終段階」と見なされがちでした。しかし、米CISA(サイバーセキュリティ・インフラストラクチャセキュリティ庁)の2025年に向けた指針などを踏まえ、その位置付けは大きく変化しています。
現在では、ゼロトラストの初期段階で取り組むべき「基礎的な防御壁」として再定義されています。
 ・外部/WAN: SASE等で境界を守る
 ・内部/LAN: 次世代マイクロセグメンテーションでラテラルムーブメント(横展開)を防ぐ

(2)少し具体的に説明

・micro(非常に小さく) segmentation(セグメント分け)という意味なので、ネットワークを極めて細かくセグメント分けし、各セグメント間の通信を厳密に制御する仕組みです。
・具体的な実現方法として、各ホスト(主にサーバ)にエージェントをインストールし、ホスト単位ではなく、プロセスやサービス単位までのレイヤ7レベルのアクセス制御(=マイクロセグメンテーション)を行うホスト型ファイアウォールです。
・マイクロセグメンテーションにより、ランサムウェアによるラテラルムーブメントを防止します。
・ゼロトラストセキュリティの考え方を実現する方法の一つに挙げられます。

(3)セグメンテーションとは?

❶ネットワークセグメンテーション ※基本機能
・IPアドレス、端末(アセット名)単位が原則。
・ただし、ルールとして、アプリケーションやプロセスを識別してルールを作ることも可能

❷IDセグメンテーション ※付加機能
・ユーザアカウント(ユーザに紐づく)とサービスアカウント(ユーザに紐づかない、サービスに紐づく)

1.3 製品例

(1)Illumio Inc.

・設立:2013年、米国カリフォルニア州
・製品
 ・Illumio Adaptive Security Platform
 ・Illumio Segmentation

(2)Akamai

Akamai Guardicore Segmentation

(3)Zero Networks

https://zeronetworks.com/
2019年設立 イスラエルの会社

1.4 機能

(1)レイヤ7レベルのアクセス制御

・アクセス制御が可能です。FWのポリシーを、IPアドレスやサービス単位だけじゃなく、プロセス単位でできる?★確認
・リアルタイムの可視化も可能(製品による?)
・ラテラルムーブメントを阻止し、被害を最小化する。
・ネットワークジャストインタイムMFAとして、 通信が発生するその瞬間に多要素認証(MFA)を要求します。

(2)一元管理

・複数のサーバのマイクロセグメンテーションを一元管理できます。

(3)振る舞い検知

・インテリジェンス情報をもとに、IPアドレスベースやファイルの種類?での怪しい通信の振る舞い検知
・AIによる振る舞い検知
・RDP経由のログイン試行に対する異常検知ポリシーを設定するなどもできるようだが、これはADそのものでも設定できそう。

(4)学習機能

・(標準)30日ほどの学習期間によって、正常な通信の送信元IPや端末情報を把握できる。攻撃者の通信が来たら、異常としてブロックする。
正常な通信で、新規の通信は例外的に許可などもできる。また、学習モードなるものがある。

(5)メモ:アウトバウンドとインバウンド通信

・基本的はインバウンドの通信の制御。アウトバウンドも可能だが、やることは少ないかも。
・各端末(PC)はインバウンドは無い
・サーバに対してはインバウンド通信があり、攻撃やラテラルムーブメントの通信も来るので、それを防ぐ
・守るサーバは、公開サーバではなく、主に内部のサーバである。例としてADサーバがある。認証のプロトコル(Kerberos、NTLMv2)で通信が来る。正常な端末からの通信が届くのと、攻撃者の通信も来る。
・特権ポートを守るのが最重要項目であり、ADなどの内部サーバでは、内部の通信はALLで許可している場合が多い。それをネットワークベースの二要素認証を付加する。毎朝、社員AのPCがADに通信(認証)してログインし、ファイルサーバからファイルを取る(特権ポートの対象)。この通信時に、社員Aが二要素認証のアクションをする。ALLブロックになっているので、ポップアップ画面が出て、SSOのサーバと認証連携が可能。定められた時間は、追加認証が無しで継続ログインができる。

Q.サーバでポートを閉じていればいいのでは?

A.きめ細やかに制御ができればいいですが、実際には難しいでしょう。マイクロセグメンテーションの製品では、まず、レイヤ3,4のレベルで全てを閉じ、そして、認証をして必要なポートだけを開ける運用にすることで、セキュリティを強化します。

1.5 EDRとの違い

・EDRは振る舞い検知的な動作で、マイクロセグメンテーションは基本的にはFWと同じでホワイトリストによるアクセス制御です。
・EDRはマルウェアによって停止させられる事象が発生しており、また、正常なプロトコルでサーバに接続しようとする動作は検知ができません。→私は、攻撃者による大量の接続エラーなどはログで検知するのがいいと思っていますが、サーバでログを取ってアラートを出すのはまあまあ面倒で、どの企業もやっていないと思われます。

1.6 内部FWではダメなのか

Q.サーバの前に内部FWを置くだけではダメなのか

A.サーバへの攻撃を防ぐのであれば、それでも可能かもしれない。ですが、ランサムウエアなどはPCに感染することが多く、そのラテラルムーブメントの動作を防ぐことはできない。それと、細かな制御をしようとすると、内部FWをたくさん設置しなければならず、現実的ではない。

2.構成

端末にはエージェントを入れます。管理側は、主にSaaS上に、Akamaiの場合はManagementの機能とAggregatorの機能が必要です。

3.Zero Networksの場合

3.1 Zero Networks の構成

(1)エージェントあり
・Zero Networks Agent をインストール
・エージェントが Windows Firewall を制御する方式も選べる。

(2)エージェントなし
・Segment Serverをネットワーク上に配置し、クラウドの管理サーバと各デバイスを仲介する

❶WindowsOS
オンプレAD または Azure AD に参加している Windows 端末であれば、エージェント不要で制御可能。
具体的には、Windows Defender Firewall を (Windows Remote Management) 経由で遠隔操作し、ポリシーを適用。
❷Linux / Mac
・エージェントレス制御が可能。
・SSH 経由でファイアウォール設定を適用。
・Mac 管理には Jamf とも連携可能。
❸IoT 機器
IoT 機器はエージェントを入れられないため、L3 スイッチの NetFlow 情報を API で取得し
通信パターンを分析し、ポート単位でポリシーをスイッチに書き込むという構成が可能。

3.2 機能など

■ セグメンテーションの範囲
Inbound(受信)/Outbound(送信)両方の通信方向に対しポリシーを適用可能。

■ Identity ベースのセグメンテーション
IdP(Identity Provider)と連携して、ユーザー/グループのIDに基づくポリシー(Identity Segmentation)が可能。

■ 検知機能について
ラテラルムーブメント攻撃の “検知” 機能はない。
→ Zero Networks の焦点は「検知ではなく 遮断・防御(セグメンテーション)」。

■Attack Surfaceを減らす
不要なポートを閉じ、通常は外部からポートが空いていない状態にできる。必要なときだけアクセスを許可する JIT(Just In Time)Segmentation に対応。言い換えると、マイクロセグメンテーションでは、普段はポートを閉じてアタックサーフェイス(攻撃対象領域)を消失させ、必要な時だけ認証を経て通信を通すことで、内部環境を要塞化します。
攻撃者のスキャンや侵入経路を最小化できる。
→実際の機能を確認する必要あり

3.3 導入

Q.端末ごとの詳細なポリシーを作るのは不可能ではないか。実質、全通しになってしまうのでは?

A.自動学習およびポリシー自動生成機能があります。クラウド側で 30日間の学習期間を設け、通信パターンを監視し、自動でポリシー生成します。
→★どれほど厳格なルールを作るかは検証が必要。また、他ベンダーも自動学習機能を持つが、導入設計が複雑と言われている。

3.4 ライセンス

・サーバのみ導入する構成も可能だが、端末側も管理すると効果は高い。
・ただしライセンス費用は サーバ側が高め。

3.5 設定画面

❶ダッシュボード
IT資産(PC/サーバー)、OT資産(工場等の機器)、アカウント数が左側に表示されています。
中央のフローに防御の進捗が記載されています。
また、リスク(赤色)として、 まだセグメンテーションされていない(=攻撃に対して無防備な)資産や特権アカウントが「Risk」として警告されています。

・Network Segmentation: ネットワーク層で隔離できている割合(73.76%)。
・Identity Segmentation: IDベースの防御ができている割合。
・RPC FW: ランサムウェアがよく使うRPC(リモートプロシージャコール)ポートが閉じられているか。

❷セグメント済み資産一覧
・これは「保護されているデバイスのリスト」です。エージェントレスでどのように管理されているかがわかります。

・Monitored by(監視方法): "Cloud connector" や "Segment server" と書かれています。これは、各PCにエージェント(監視ソフト)を入れず、コネクター経由でエージェントレスに制御していることを示しています。
・Asset repository: "Entra ID (Azure AD)" や "Active Directory" と連携しており、ディレクトリサービスの情報を元に資産を自動認識していることがわかります。
・Status: 緑色の「Segmented since...」は、マイクロセグメンテーションが適用され、封じ込めが完了していることを示します。

❸ルール管理(自動化されたポリシー)
これは「通信許可ルールの設定画面」ですが、人間が手動で書いたものではなく、多くが自動生成されたものです。

・Platform: Automation: 右端の列に "Automation" とあります。これは、AI/機械学習が普段の通信を学習し、「この通信は業務で必要だから許可する」というルールを自動で作ったことを意味します。
・Destination / Ports: 誰から(Source)どこへ(Destination)、どのポート(RDP 3389など)で通信させるか細かく制御されています。
・Inbound MFAタブ: 上部のタブに "Inbound MFA" が見えます。これは「通信発生時に多要素認証を要求する」という次世代型特有のルールを設定する場所です。

❹ネットワーク分析(通信の可視化マップ)
これは「実際の通信フローの地図」です。特定のサーバーやPCが、誰とどんな通信をしているかをグラフィカルに表示しています。

・中心の "SHARE": 分析対象のサーバー(ファイルサーバー等)です。
・線のつながり: クライアントPC、インターネット、スイッチなど、どこからアクセスが来ているかが線で描かれています。
・右側の詳細パネル: TCP 111, TCP 2049 (NFS), RDP, ICMP など、具体的なプロトコルとポート番号、そしてその通信が「Blocked(遮断)」「Established(確立)」されたかが表示されています。
→ブラックボックスになりがちな内部通信を可視化します。「これをブロックしたら業務が止まらないか?」を確認したり、「普段通信しないはずのPCからRDP接続が来ている」といった異常を直感的に発見するための画面です。