AWS Startup ブログ

Illumio 社が実施するファイアウォールを超えたネットワークセキュリティ

 

PJ Kirner

日々の生活や商取引において、オンライン化がますます進む中、企業は、携わる産業や目指す目標が何であるかに関係なく、どの企業にとっても同じように価値のある資産、つまりデータを守る必要性を理解するようになってきました。最近までは、主にファイアウォールや IPS/IDS などの仕組みを使って、エンタープライズネットワークのセキュリティを構築し、境界を確立することで、攻撃者を遮断していました。しかし、テクノロジーがさらに複雑に、そして相互に連関し合うようになり、PJ Kirner 氏と Andrew Rubin 氏は、従来の安全対策ではより高度なデータ侵害を防ぐには十分ではないと考えるようになりました。そこで両者は、2013 年に Illumio 社を設立し、より迅速で革新的なアプローチを使って、セキュリティを構築することを目指しました。

「設立間もない頃、その当時起こっていた動向を追っていましたが、ワークロードの増加の勢いは、留まるところがありませんでした。また、マイクロサービスが台頭してきていました。昔よりも、物事がもっと深く結びつくようになっていました」と Illumio 社の CTO、Kirner 氏は言います。「このような状態は危険でした。リスクを冒していると考えました。」 そして、彼らの理解は正解だったのです。最近では、大部分の違反はファイアウォールを突破して起こるものではなく、データセンターやクラウドで発生します。攻撃者を数週間、あるいは数か月も見つけ出せないこともあります。

Illumio 社のソフトウェアである Adaptive Security Platform は、データ侵害に対して先手を打つ手法で挑みます。Illumio 社は、マイクロセグメンテーションのパイオニアです。マイクロセグメンテーションとは、すべてのアプリケーションのワークロードのセキュリティの評価と制御を可能にするために、アプリケーション、ワークロード、さらにはプロセスを取り囲むマイクロ境界を構築します。Illumio ASP は、トラフィックフローのリアルタイムマップを表示し、ワークロードがビジネスのネットワーク上で連動する際の動作をモニタリングします。Illumio ASP はワークロードがどのように、どこで、どのワークロードと連動しているかを示し、脆弱性を明らかにし、ポリシーが実施されていることを確認します。違反が検出された場合、Illumio ASP はワークフロー間のデータを瞬時に暗号化し、悪意のある人物がシステムを通過する際にデータをスヌーピングするのを防ぎます。このソフトウェアは、データセンターおよびクラウドの両方にある、あらゆるタイプのサーバーで機能します。

「資産を守ろうとしている時に、最初にやるべきことは、攻撃者のように考えることです。攻撃者なら何をする? どれくらいのパスをたどれる? このように考えて、Illumio は、攻撃者がたどれるパスの数を減らすのです」と Kirner 氏は説明します。「攻撃者が 3000 のうち 3 つのワークロードにしかアクセスできない場合、データ侵害はそれほど重大ではありません。皆、このことを認識しつつあります。」 従来のネットワークセキュリティとは、バリケードや堀で城を守るようなものです。一方でマイクロセグメンテーションとは、各個室にある隠し部屋と言えます。

企業は、データ侵害の危険性とデータ侵害を阻止すること重要性について、これまで以上に気を配ってはいますが、これらの脅威の性質について説明するのは、どんな時でも簡単なことではありません。特に、毎日誕生する新しいテクノロジーとともに、脅威も変化しているからです。顧客と話す際には、「テクノロジーに関することを話す」ことが重要であると Kirner 氏は述べます。そうすれば「顧客のテクノロジーとソリューションに関する知識が増える」からです。

組織とその IT システム内のユーザー権限の最小化と再確認を目的として実施する「データセンターの最小権限の原則について、6 年前には、誰も話したりしませんでした。正直なところ、この原則を実行するには、人の最小権限を必要とするからです。でも、そこから始めなければならないのです」と、Kirner 氏は話します。「では、データセンター内のマシン間のトラフィックと同様に、データについて、さらにモノのインターネットの登場について考えてみてください。事実、このマシン間のトラフィックはすべて増加の一途をたどっています。けれども、その増加がどれほど速く起こり、どれくらいのリスクがそこにあるかを理解していなかったのです。」

Kirner 氏は、組織に自らを守る方法を示すことで、自分が何を保護しているのかについて組織が理解するようになることがあると言います。「王冠の宝石がどこにあるのか、つまり最も重要なデータと資産について、理解する必要があります。当社は、すべてのアプリケーションのリスト、またはすべてのデータがどこにあるかのリストを持つこと、そして分類を行うことを推奨しています。なぜなら、これらは重要な資産だからです。しかしながら、こうした取り組みを行っている組織は少ないのです。セキュリティに投資するお金があれば、それを最も効果的に使いたいと考えます」と彼は言います。「他にも、データをマッピングすることで、顧客のサポートを行います。これは、セキュリティにお金を効果的に使うための詳細な情報を得る方法の 1 つです。どのデータが強く関連しあい、どのデータがそれほど関連しあっていないのかを把握する。 これは、マイクロセグメンテーションのような制御を、合理的かつ効果的に適用するためのもう 1 つの方法です。

彼はこう付け加えます。「このような当社のサポートを体験していくと、誰もが目からうろこが落ちるようです。これは良いことです。その可視性のおかげで、つまり資産やつながりに光を当て、さらにそのマップを見ることで、より良い意思決定ができるようになります。当社がより良い意思決定のためのサポートを行っているということは、すなわち、組織はより良いセキュリティを実施しているということなのです。これは私たちにとっても、うれしいことです。」

 

このブログの作者:ミシェル・クン – Michelle Kung

ミシェルは、AWSのスタートアップマーケティングチームに所属し、コンテンツ制作を率いています。AWSに参加する前は、Index Venturesのコンテンツリードとして活躍していました。それ以前には、The Wall Street Journalにおける貴社および編集者を経験、Huffington Postのビジネス記事編集者、The Boston Globeの特派員、Publisher’s Weekでのコラムニスト、Entertainet Weeklyにおけるライターの経験を持っています。