ピンボール戦車少女

セキュリティ対策の株式会社ラック

閉じる

企(qi)業や組織のセキュリティ事故発生(sheng)時はこちら

緊急対応窓口:サイバー救急センター®

ご相談は予約不要、24時間対応(ying)

電話で相談する
0120-362-119
メールで相談する
サイバー救急センター®のメールアドレス
自分で調べる
「FalconNest」について

セキュリティ製品

Akamai Guardicore Segmentation(AGS)

Solutions & Products

マイクロセグメンテーションで
インシデントの影響を最小限に抑えビジネスを継続

クラウド化やリモートワークの普及により、企業のIT環境に外部から直接攻撃できるポイントが増加(jia)しました。この問(wen)題に対処するため、Akamai Guardicore Segmentation(AGS)は「マイクロセグメンテーション」技(ji)術を用いてネットワーク内に防火壁を配置し、細かくゾーンを設定します。場所に依存(cun)することなく、通信すべきものだけにアクセスを許(xu)可でき、インシデントの影響を最小限に抑えます。

サービスの強み

既存構成のままネットワークを可視化し管理を簡略化、
脅威(wei)の検出や抽(chou)出機(ji)能も

既存の構成のまま、柔軟なラベル付けや動(dong)的ラベルの設定(ding)により、マイクロセグメンテーションを実施します。階層化(hua)可(ke)能なラベルとマップ、ラベルベースのポリシー定(ding)義が可(ke)能で、大規模ネットワークの煩雑な管(guan)理を簡(jian)略(lve)化(hua)し、運用コストを削減できます。複雑なシステムも、スムーズなUIでわかりやすく管(guan)理できます。

ラベルベース管理で運用コストを抑制でき、既存ネットワークの大幅な変更は不要です。

既存のネットワーク構成はそのままに可視化と脅威検知を実現

  1. あらゆる環境に対応し
    スムーズに追える
    オンプレミスのワークロード、仮想マシン、レガシーシステム、コンテナとオーケストレーション、パブリック/プライベートクラウドインスタンス、IoT/OT が混在した複雑なIT環境などあらゆる環境を保護します。
  2. セキュリティ対策をシンプルに
    単一の基盤でネットワークの可視化、セグメンテーション、脅威防御、セキュリティ侵害検知、ガイドに従ったポリシー適用などを促し、セキュリティ管理をシンプルなものにして、ゼロトラストイニシアチブを実現します。
  3. エンタープライズ水準の
    スケーラビリティとパフォーマンス
    最初は重要なデジタル資産を集中的に保護し、さらに複雑性の高い環境や、インフラなどの変更にも柔軟に対応します。パフォーマンス面でのボトルネックの影響を受けることなく、スケールアップしながらエンタープライズ全体を保護します。

マイクロセグメンテーションとは?

マイクロセグメンテーションとは、データセンターやクラウド環境の中に複数の防(fang)火壁を配置することで、細かなゾーンを作成し、各サーバやアプリケーションを隔離することで保護するセキュリティ対(dui)策の手法です。マイクロセグメンテーションにより、場所に依存(cun)することなく「通(tong)信(xin)すべきものだけアクセス許可する」というゼロトラストセキュリティのアプローチを実現(xian)します。

サーバとアプリケーション間のネットワークトラフィックを制限する「AllowList」のポリシーを作成し、通(tong)信を制御(yu)します。IPアドレスだけでなく通(tong)信ポートもマイクロセグメンテーションで制御(yu)することでネットワークの攻撃可能(neng)な経路を極限まで極小化し、ネットワーク侵(qin)害を抑制することができます。

マイクロセグメンテーションは、ベアメタル、クラウド、仮想マシン、コンテナ、エンドポイントなど様々な環境にまたがる形で、アクセスを論理的に定義できる(出典:アカマイ・テクノロジーズ)

マイクロセグメンテーションにおける3つの課題

マイクロセグメンテーションは、ワークロードを保(bao)護して課(ke)(ke)題を解(jie)決するためのベストプラクティスではありますが、既存(cun)の仕組みだけで実(shi)現しようとすると以下3つの課(ke)(ke)題に直面することになります。

1.可視化レベル

可視化レベル

マイクロセグメンテーションを効果的に実施するためには、ワークロードレベルではなく、アプリケーション、さらにはグループや個人の通信まで可視化(hua)しなければ保護できません。深(shen)く可視化(hua)してこそ、環境内の状態を理解し、より適切な意思(si)決定をリアルタイムにできるようになります。

2.多様な環境への対応

多様な環境への対応

現(xian)在の企業は、オンプレミスや仮想基盤、マルチクラウドなど多様(yang)なシステムを持ち、それぞれにワークロードを移(yi)設(she)することもあります。そこで必要になるのが、追(zhui)跡する仕組(zu)みです。異(yi)種混合のハイブリッドな環(huan)境では、個別(bie)の環(huan)境に特(te)化した仕組(zu)みでは十(shi)分な機能を果たせません。

3.柔軟なポリシー設定

柔軟なポリシー設定

企(qi)業の運(yun)(yun)用(yong)担当(dang)者は様(yang)々な要請(qing)に対(dui)応しなくてはなりません。例(li)えば、コンプライアンス上の理(li)由(you)でワークロードと基盤を分(fen)離する、本番環境(jing)と開発環境(jing)を分(fen)ける、新たな規制に対(dui)するルールを全体に適用(yong)するなどです。Guardicoreは、運(yun)(yun)用(yong)担当(dang)者にとって負荷の掛かるこうした要請(qing)への柔軟な対(dui)応を強力に支援します。

複雑な環境でも手間を掛けずにマイクロセグメンテーションを実現

エージェントを全ての端末にインストールするだけ。機器ごとの設定不(bu)要です。

複雑な環境でも手間を掛けずにマイクロセグメンテーションを実現

1.深いレベルでの可視化

  • エージェントが通信ソフトやデバイス情報を収集し、従来のIPアドレス、ポートだけではなく、プロセス/ユーザーレベルで可視化。

2.あらゆる環境をサポート

  • 仮想マシン、ベアメタル、IaaSやコンテナなどの環境を選ばず、マルチクラウドに対応。
  • Windows 2000-Windows Server 2008、Windows 7、Windows XPといったレガシーもサポート。

3.柔軟なラベル付けが可能

  • ラベルによる柔軟なルール設計が可能。
  • 複数ラベルの使い分けで、マップの簡素化を実現。
  • 手動でのラベル付けの他、AI作成や、CSVファイルの読み込み、ホスト命名規約の利用が可能。

ランサムウェアなどの内部セキュリティ対策に有効

4つの機能で封(feng)じ込め、2つの機能で詳細化と制御を行います。

「可視化」「検知」「偽装」「執行」の4つの機能で封じ込め、「検知」「洞察」の2つの機能で詳細化と制御を行う

4つの機能で封じ込め

1.可視化

プロトコル、ポート、プロセス情報(パス、ユーザーなど)の可視(shi)化(hua)(hua)。ラベルの階層化(hua)(hua)とプロセスレベルでの通信の可視(shi)化(hua)(hua)を実現する。

2.検知

プロセスレベルでの不(bu)正アクセスを検知(zhi)。アドレス/ポートが正しくても、実(shi)行プロセスが許可されていない場合、通信を遮断しインシデントを発行する。

3.偽装

全(quan)(quan)ての接続の失敗を、攻撃(ji)者がネットワーク内(nei)のシステムやサーバを移動してより重要な資産(chan)や目的のデータを探(tan)索する「ラテラルムーブメント」の試みとして扱い、ハニーポッドが応答するように、失敗したフローを再接続。ネットワーク全(quan)(quan)体がハニーポッドの入口(kou)となり攻撃(ji)を捕(bu)捉。

4.執行

定(ding)義されたポリシーに従い、ネットワークフローの制御(フローの許可(ke)、警告、遮断(duan))を提供。プロセスレベルでのアクセス制限も可(ke)能。

2つの視点で詳細化と制御

1.情報漏洩の検知

より優れたインテリジェンスで、侵害をより迅速に防止、特定に対応。スケーラブル、マルチ自動分析によるメソッド検出を行い、自動分析IoC抽(chou)出。

2.洞察

デバイスの情報(bao)(bao)を調査の上、OS情報(bao)(bao)の収集をリアルタイムで実施(shi)(shi)、スケジュール機能を使用し、自(zi)動的にラベリング。用意されたルールと連携し、該当デバイスの隔(ge)離(li)を自(zi)動的に実施(shi)(shi)。

Guardicoreの主なキーワード

Akamai Guardicore Segmentationは以下の主要な機(ji)能を備えた、業(ye)界内でもっとも完(wan)全かつ柔軟なマイクロセグメンテーションのソリューションとして提供しています。

インフラに依存しない パブリック、プライベートあるいはハイブリッドなクラウド環境に跨って展開されるお客様のすべてのアプリケーションにマイクロセグメンテーションポリシーを適用できます。またWindows 2000やSolarisなどの過去の環境も保護します。
他にはない現在と過去の可視化 アプリケーション/ユーザーレベルで可視化された状態は現時点のものだけでなく過去の状態も表示でき、過去のある時点と今を比較することもできます。
きめ細やかなポリシー レイヤー7のアプリケーションプロセスレベルでルールを設定・適用し、アプリケーションのコンポーネント間のフローを厳密に制御することができます。重要なプロセスを妨げることなく、最強のセキュリティを実現します。
ブラックリスト/ホワイトリストモデル ホワイトリストのみのモデルでは、アクセスが許可されている通信が特にない限りは何も信頼しません。今日の企業ではこのモデルが許容できるよりもさらに複雑になっています。Guardicoreのお客様はブラックリストとホワイトリストの双方のポリシーを組み合わせて利用できます。
例えば、特定のアクセスニーズに対応する1つの単純な許可ポリシーを作成してから、それ以外のものを包括的にブロックする。この単純化によって作成するポリシーは数千からわずか2つに簡略化できます。
自動化 新しいワークロードは、動的かつ自動的に正しいポリシーが割り当てられます。自動分析によって攻撃者のツール、戦術、ロケーションが特定されます。
インタラクティブな欺瞞機能 統合されたマルチメソッドの侵入検知機能の一部として、実在するデータセンターのサーバー、IPアドレス、OS、サービスをおとりに使い、最初の兆候で疑わしい活動を積極的に見つけ、それに関与する脅威の確認と調査を行うため、隔離したエリアへリダイレクトします。
直感的な設定 アプリケーションの依存関係のマッピングから、ポリシーの提案と設定、アラートモードでのテストまでの簡単なワークフローを提供し、トラフィックに実際に適用するまでのルールの影響を確認できるようにしています。
柔軟なデプロイ エージェントあり/エージェントなしのオプションを選べる、DevOps readyのソリューション。完全クローズド環境も可能。
大規模な環境での実績 ボトルネックを回避するために大規模かつ多国籍に展開した分散アーキテクチャー。

全体構成

Akamai Guardicore Segmentation(AGS)の全体構成

Management(管理)

  • UIの提供と他システム連携のためのAPIを提供
  • 収集データの保存、分析などと各コンポーネントの管理

※ クラウド設置を推奨、オンプレミス設置も可能(neng)

Deception(ハニーポット)

  • ネットワーク全体でのハニーポット機能の提供
  • 通信の記録、分析し、インシデント情報を通知

※ クラウド設置(zhi)を推奨、オンプレミス設置(zhi)も可能

Collector(ネットワーク情報収集)

  • フロー情報をスイッチと連携して収集し、ネットワークスキャンの検出やIP/DNSレピュテーションを分析
  • Agentが関連していない通信を可視化

※ オンプレミス設(she)置(zhi)が可能

Aggregator(Agent管理)

  • AgentとManagerの中間に位置し、Agentへの設定管理、Agentからの受信データの集約、重複排除を実施
  • 数百のAgentの管理が可能

※ オンプレミス設置(zhi)を推奨、クラウド設置(zhi)も可能

Agent(デバイスの情報収集及び通信制御)

  • OSにインストールされ、4つの機能(Reveal、Enforcement、Detection、Deception)を提供
  • 非常に軽量なため、VMやコンテナ、クラウドインスタンスなど、様々な環境に導入可能

ラックから購入で利用できる3つのサービス

1.オリジナルポリシーの提供・更新

オリジナルポリシーの提供・更新

ラックならではの知見(jian)を活かし、セキュリティトレンドやメーカー対(dui)応状(zhuang)況などを踏(ta)まえたラックオリジナルポリシーをご提(ti)供。ポリシーは順次拡充(chong)、更新(xin)を行(xing)うことで継(ji)続的に最(zui)新(xin)のセキュリティ対(dui)策が可能となります。

2.万が一マルウェアに感染しても迅速対応

万が一マルウェアに感染しても迅速対応

Guardicoreが不正な通信を発見しアラートが上がった場合でも当社提供のFalconNestと連携(xie)しマルウェアに感染しているか判定することが可(ke)能となり、その後の調査連携(xie)も可(ke)能となっています。

3.日本語でのテクニカルQ&A対応

日本語でのテクニカルQ&A対応

Guardicoreに関する技術問い合(he)わせに対応(ying)します。標準(zhun)サポートは英語問い合(he)わせとなりますが、当(dang)サービスでは当(dang)社エンジニアを介し日本語での問い合(he)わせが可能(neng)です。

価格

個別にお見(jian)積もりします。お気(qi)軽にお問い合わせください。

「Akamai Guardicore Segmentation(AGS)」に関するお問い合わせ

メールマガジン

サイバーセキュリティや
ラックに関する情報を
お届けします。

page top