ピンボールマシン サーカス

セキュリティ対策の株式会社ラック

閉じる

企業や組織のセキュリティ事故発生時はこちら

緊急対応窓口:サイバー救急センター®

ご相談は予約不要、24時間対応

電話で相談する
0120-362-119
メールで相談する
サイバー救急センター®のメールアドレス
自分で調べる
「FalconNest」について

セキュリティ製品

Akamai Guardicore Segmentation(AGS)

Solutions & Products

マイクロセグメンテーションで
インシデントの影響を最小限に抑えビジネスを継続

クラウド化やリモートワークの普及により、企業のIT環境に外部から直接攻撃できるポイントが増加しました。この問題に対処するため、Akamai Guardicore Segmentation(AGS)は「マイクロセグメンテーション」技術を用いてネットワーク内に防火壁を配置し、細かくゾーンを設定します。場所に依存することなく、通信すべきものだけにアクセスを許可でき、インシデントの影響を最小限に抑えます。

サービスの強み

既存構成のままネットワークを可視化し管理を簡略化、
脅威の検出や抽出機能も

既存の構成のまま、柔軟なラベル付けや動的ラベルの設定により、マイクロセグメンテーションを実施します。階層化可能なラベルとマップ、ラベルベースのポリシー定義が可能で、大規模ネットワークの煩雑な管理を簡略化し、運用コストを削減できます。複雑なシステムも、スムーズなUIでわかりやすく管理できます。

ラベルベース管理で運用コストを抑制でき、既存ネットワークの大幅な変更は不要です。

既存のネットワーク構成はそのままに可視化と脅威検知を実現

  1. あらゆる環境に対応し
    スムーズに追える
    オンプレミスのワークロード、仮想マシン、レガシーシステム、コンテナとオーケストレーション、パブリック/プライベートクラウドインスタンス、IoT/OT が混在した複雑なIT環境などあらゆる環境を保護します。
  2. セキュリティ対策をシンプルに
    単一の基盤でネットワークの可視化、セグメンテーション、脅威防御、セキュリティ侵害検知、ガイドに従ったポリシー適用などを促し、セキュリティ管理をシンプルなものにして、ゼロトラストイニシアチブを実現します。
  3. エンタープライズ水準の
    スケーラビリティとパフォーマンス
    最初は重要なデジタル資産を集中的に保護し、さらに複雑性の高い環境や、インフラなどの変更にも柔軟に対応します。パフォーマンス面でのボトルネックの影響を受けることなく、スケールアップしながらエンタープライズ全体を保護します。

マイクロセグメンテーションとは?

マイクロセグメンテーションとは、データセンターやクラウド環境の中に複数の防火壁を配置することで、細かなゾーンを作成し、各サーバやアプリケーションを隔離することで保護するセキュリティ対策の手法です。マイクロセグメンテーションにより、場所に依存することなく「通信すべきものだけアクセス許可する」というゼロトラストセキュリティのアプローチを実現します。

サーバとアプリケーション間のネットワークトラフィックを制限する「AllowList」のポリシーを作成し、通信を制御します。IPアドレスだけでなく通信ポートもマイクロセグメンテーションで制御することでネットワークの攻撃可能な経路を極限まで極小化し、ネットワーク侵害を抑制することができます。

マイクロセグメンテーションは、ベアメタル、クラウド、仮想マシン、コンテナ、エンドポイントなど様々な環境にまたがる形で、アクセスを論理的に定義できる(出典:アカマイ・テクノロジーズ)

マイクロセグメンテーションにおける3つの課題

マイクロセグメンテーションは、ワークロードを保護して課題を解決するためのベストプラクティスではありますが、既存の仕組みだけで実現しようとすると以下3つの課題に直面することになります。

1.可視化レベル

可視化レベル

マイクロセグメンテーションを効果的に実施するためには、ワークロードレベルではなく、アプリケーション、さらにはグループや個人の通信まで可視化しなければ保護できません。深く可視化してこそ、環境内の状態を理解し、より適切な意思決定をリアルタイムにできるようになります。

2.多様な環境への対応

多様な環境への対応

現在の企業は、オンプレミスや仮想基盤、マルチクラウドなど多様なシステムを持ち、それぞれにワークロードを移設することもあります。そこで必要になるのが、追跡する仕組みです。異種混合のハイブリッドな環境では、個別の環境に特化した仕組みでは十分な機能を果たせません。

3.柔軟なポリシー設定

柔軟なポリシー設定

企業の運用担当者は様々な要請に対応しなくてはなりません。例えば、コンプライアンス上の理由でワークロードと基盤を分離する、本番環境と開発環境を分ける、新たな規制に対するルールを全体に適用するなどです。Guardicoreは、運用担当者にとって負荷の掛かるこうした要請への柔軟な対応を強力に支援します。

複雑な環境でも手間を掛けずにマイクロセグメンテーションを実現

エージェントを全ての端末にインストールするだけ。機器ごとの設定不要です。

複雑な環境でも手間を掛けずにマイクロセグメンテーションを実現

1.深いレベルでの可視化

  • エージェントが通信ソフトやデバイス情報を収集し、従来のIPアドレス、ポートだけではなく、プロセス/ユーザーレベルで可視化。

2.あらゆる環境をサポート

  • 仮想マシン、ベアメタル、IaaSやコンテナなどの環境を選ばず、マルチクラウドに対応。
  • Windows 2000-Windows Server 2008、Windows 7、Windows XPといったレガシーもサポート。

3.柔軟なラベル付けが可能

  • ラベルによる柔軟なルール設計が可能。
  • 複数ラベルの使い分けで、マップの簡素化を実現。
  • 手動でのラベル付けの他、AI作成や、CSVファイルの読み込み、ホスト命名規約の利用が可能。

ランサムウェアなどの内部セキュリティ対策に有効

4つの機能で封じ込め、2つの機能で詳細化と制御を行います。

「可視化」「検知」「偽装」「執行」の4つの機能で封じ込め、「検知」「洞察」の2つの機能で詳細化と制御を行う

4つの機能で封じ込め

1.可視化

プロトコル、ポート、プロセス情報(パス、ユーザーなど)の可視化。ラベルの階層化とプロセスレベルでの通信の可視化を実現する。

2.検知

プロセスレベルでの不正アクセスを検知。アドレス/ポートが正しくても、実行プロセスが許可されていない場合、通信を遮断しインシデントを発行する。

3.偽装

全ての接続の失敗を、攻撃者がネットワーク内のシステムやサーバを移動してより重要な資産や目的のデータを探索する「ラテラルムーブメント」の試みとして扱い、ハニーポッドが応答するように、失敗したフローを再接続。ネットワーク全体がハニーポッドの入口となり攻撃を捕捉。

4.執行

定義されたポリシーに従い、ネットワークフローの制御(フローの許可、警告、遮断)を提供。プロセスレベルでのアクセス制限も可能。

2つの視点で詳細化と制御

1.情報漏洩の検知

より優れたインテリジェンスで、侵害をより迅速に防止、特定に対応。スケーラブル、マルチ自動分析によるメソッド検出を行い、自動分析IoC抽出。

2.洞察

デバイスの情報を調査の上、OS情報の収集をリアルタイムで実施、スケジュール機能を使用し、自動的にラベリング。用意されたルールと連携し、該当デバイスの隔離を自動的に実施。

Guardicoreの主なキーワード

Akamai Guardicore Segmentationは以下の主要な機能を備えた、業界内でもっとも完全かつ柔軟なマイクロセグメンテーションのソリューションとして提供しています。

インフラに依存しない パブリック、プライベートあるいはハイブリッドなクラウド環境に跨って展開されるお客様のすべてのアプリケーションにマイクロセグメンテーションポリシーを適用できます。またWindows 2000やSolarisなどの過去の環境も保護します。
他にはない現在と過去の可視化 アプリケーション/ユーザーレベルで可視化された状態は現時点のものだけでなく過去の状態も表示でき、過去のある時点と今を比較することもできます。
きめ細やかなポリシー レイヤー7のアプリケーションプロセスレベルでルールを設定・適用し、アプリケーションのコンポーネント間のフローを厳密に制御することができます。重要なプロセスを妨げることなく、最強のセキュリティを実現します。
ブラックリスト/ホワイトリストモデル ホワイトリストのみのモデルでは、アクセスが許可されている通信が特にない限りは何も信頼しません。今日の企業ではこのモデルが許容できるよりもさらに複雑になっています。Guardicoreのお客様はブラックリストとホワイトリストの双方のポリシーを組み合わせて利用できます。
例えば、特定のアクセスニーズに対応する1つの単純な許可ポリシーを作成してから、それ以外のものを包括的にブロックする。この単純化によって作成するポリシーは数千からわずか2つに簡略化できます。
自動化 新しいワークロードは、動的かつ自動的に正しいポリシーが割り当てられます。自動分析によって攻撃者のツール、戦術、ロケーションが特定されます。
インタラクティブな欺瞞機能 統合されたマルチメソッドの侵入検知機能の一部として、実在するデータセンターのサーバー、IPアドレス、OS、サービスをおとりに使い、最初の兆候で疑わしい活動を積極的に見つけ、それに関与する脅威の確認と調査を行うため、隔離したエリアへリダイレクトします。
直感的な設定 アプリケーションの依存関係のマッピングから、ポリシーの提案と設定、アラートモードでのテストまでの簡単なワークフローを提供し、トラフィックに実際に適用するまでのルールの影響を確認できるようにしています。
柔軟なデプロイ エージェントあり/エージェントなしのオプションを選べる、DevOps readyのソリューション。完全クローズド環境も可能。
大規模な環境での実績 ボトルネックを回避するために大規模かつ多国籍に展開した分散アーキテクチャー。

全体構成

Akamai Guardicore Segmentation(AGS)の全体構成

Management(管理)

  • UIの提供と他システム連携のためのAPIを提供
  • 収集データの保存、分析などと各コンポーネントの管理

※ クラウド設置を推奨、オンプレミス設置も可能

Deception(ハニーポット)

  • ネットワーク全体でのハニーポット機能の提供
  • 通信の記録、分析し、インシデント情報を通知

※ クラウド設置を推奨、オンプレミス設置も可能

Collector(ネットワーク情報収集)

  • フロー情報をスイッチと連携して収集し、ネットワークスキャンの検出やIP/DNSレピュテーションを分析
  • Agentが関連していない通信を可視化

※ オンプレミス設置が可能

Aggregator(Agent管理)

  • AgentとManagerの中間に位置し、Agentへの設定管理、Agentからの受信データの集約、重複排除を実施
  • 数百のAgentの管理が可能

※ オンプレミス設置を推奨、クラウド設置も可能

Agent(デバイスの情報収集及び通信制御)

  • OSにインストールされ、4つの機能(Reveal、Enforcement、Detection、Deception)を提供
  • 非常に軽量なため、VMやコンテナ、クラウドインスタンスなど、様々な環境に導入可能

ラックから購入で利用できる3つのサービス

1.オリジナルポリシーの提供・更新

オリジナルポリシーの提供・更新

ラックならではの知見を活かし、セキュリティトレンドやメーカー対応状況などを踏まえたラックオリジナルポリシーをご提供。ポリシーは順次拡充、更新を行うことで継続的に最新のセキュリティ対策が可能となります。

2.万が一マルウェアに感染しても迅速対応

万が一マルウェアに感染しても迅速対応

Guardicoreが不正な通信を発見しアラートが上がった場合でも当社提供のFalconNestと連携しマルウェアに感染しているか判定することが可能となり、その後の調査連携も可能となっています。

3.日本語でのテクニカルQ&A対応

日本語でのテクニカルQ&A対応

Guardicoreに関する技術問い合わせに対応します。標準サポートは英語問い合わせとなりますが、当サービスでは当社エンジニアを介し日本語での問い合わせが可能です。

価格

個別にお見積もりします。お気軽にお問い合わせください。

「Akamai Guardicore Segmentation(AGS)」に関するお問い合わせ

メールマガジン

サイバーセキュリティや
ラックに関する情報を
お届けします。

page top