コンプライアンスのためのマイクロセグメンテーションの利点
エグゼクティブサマリー
世界中の企業は、絶えず変化する規制環境へのコンプライアンスの達成に苦労しています。
PCI DSS や HIPAA、SWIFT や GDPR など、規制はますます発展して厳しさを増しており、監査も一般的になっています。
これらの規制を遵守しなければ、罰金、法的措置、収益の損失、企業の評判の悪化を招くおそれがあります。
しかし、コンプライアンスの評価と監査への対応は、リソースに限りのあるセキュリティチームにとって非常に時間のかかる作業です。
多くの組織はマイクロセグメンテーションに着目し、規制コンプライアンスを達成するためのコストと複雑さを軽減しています。
マイクロセグメンテーションは、さまざまな環境で規制コンプライアンスを管理する上で多くの利点をもたらします。
マイクロセグメンテーション は、規制コンプライアンスの管理にあたって大きなメリットをもたらします。マイクロセグメンテーションソリューションは、ネットワークを小規模な境界に分割し、個々のワークロードを分離することで、コンプライアンス環境の範囲を狭め、規制監査を合理化し、機微な情報へのアクセスを制限すると同時に、ネットワークトラフィックとデータフローを比類ないほど可視化することができます(図を参照)。
セグメンテーションの前と後(出典:https://www.akamai.com/site/ja/images/promo/2024/akamai-guardicore-segmentation-product-graphic.png)
ハイブリッド環境におけるコンプライアンスの課題
セキュリティチームやコンプライアンスチームが コンプライアンスを達成し、証明するためには、いくつかの重要な課題を克服できるソリューションが必要です。
複雑な規制。 Payment Card Industry Data Security Standard(PCI DSS)、Society for Worldwide Interbank Financial Telecommunication(国際銀行間通信協会、SWIFT)、Health Insurance Portability and Accountability Act(医療保険の携行性と責任に関する法律、HIPAA)など、変化する規制フレームワークの遵守には多くの困難が伴います。
きめ細かい要件。 多くの新しいサイバーセキュリティ規制では、顧客のプライバシーを確保し、セキュリティ体制を改善し、コンプライアンスを実証するために、よりきめ細かいデータの分離と制御が求められるようになっています。
複雑な環境。 セキュリティチームはこれまで、IT インフラを物理的にセグメント化することでコンプライアンスを確保できましたが、このアプローチはもはや現実的ではありません。従来のネットワーク境界はほぼ消滅しており、ワークロードは複数の地域、タイムゾーン、マシン、ハイブリッドクラウド環境、 仮想マシン(VM)、コンテナにまたがる動的なものになっています。
不十分な可視性。 ハイブリッド環境、クラウドサービス、コンテナ化、その他の IT トレンドにより、IT チームがすべてのデータ資産を把握し、それぞれを単独で保護することが困難になっています。
テレワーク。 多くの従業員が 自宅やオフィス外で働くようになったため、セキュリティチームはデータ、エンドポイントデバイス、接続のセキュリティを確保する際に大きな課題に直面しています。従業員は非管理デバイス上でセキュリティが確保されていない接続を介してネットワークリソースに頻繁にアクセスするため、規制要件の影響を受ける資産を分離、追跡、保護することがますます困難になります。
マイクロセグメンテーションはコンプライアンス目的でどのように機能するか
マイクロセグメンテーションはネットワークセキュリティのアプローチであり、ネットワークを小さなセクションまたは安全なゾーンに分割(セグメント化)し、各セグメントのニーズに基づいたセキュリティ制御で各エリアを保護します。ネットワークのセグメントには、オペレーティングシステム、VM、アプリケーション、および個々のワークロードが含まれます。
データセンター間の垂直方向(North/South)のトラフィックを保護するハードウェアベースのネットワークセグメンテーションとは異なり、ソフトウェア定義のマイクロセグメンテーションではハードウェアは不要で、サーバーとアプリケーション間の水平方向(East/West)のトラフィックのセキュリティを確保します。マイクロセグメンテーションはセグメントごとにカスタマイズされたセキュリティポリシーを使用して、ネットワーク上を移動できるトラフィックのタイプを制限し、アプリケーションとワークロードのデータ共有方法を決定します。
このきめ細かい制御により、攻撃の影響範囲を大幅に制限し、ネットワークの一部を侵害した攻撃者がネットワーク内の他の資産にアクセスできないようにします。
コンプライアンスにマイクロセグメンテーションを利用する利点
マイクロセグメンテーションにより、セキュリティチームは次のことを実現できるようになり、コンプライアンスが促進されます。
可視性の向上
規制対象の資産のセキュリティ強化
コンプライアンス環境の範囲の削減
コンプライアンスの取り組みと監査プロセスの合理化
ゼロトラスト・アプローチによるセキュリティ確保のサポート
可視性の向上
マイクロセグメンテーションとコンプライアンスのためのソリューションは、ハイブリッド IT 環境とその中のすべての接続と通信を広範囲にわたって可視化します。優れた可視性があれば、コンプライアンス関連のデータとワークロードをより正確にセグメント化し、カスタム・セグメンテーション・ポリシーで保護できます。
規制対象の資産のセキュリティ強化
マイクロセグメンテーションは、ネットワークアクセスを厳密に制御し、カスタム・セキュリティ・ポリシーを使用して個々のワークロードを分離することにより、アタックサーフェスを減らし、不正アクセスを防止し、データ漏えいを最小限に抑え、サイバー脅威をブロックして、機微な情報をより強力に保護します。
マイクロセグメンテーションは特に ラテラルムーブメント(横方向の移動) を制限するために効果的です。ラテラルムーブメントとは、防御の突破に成功した攻撃者が、価値の高い資産を侵害するためにネットワークの他の部分に移動しようとする際に実行するステップです。
コンプライアンス環境の範囲の削減
セキュリティチームがコンプライアンス関連のデータをセグメント化して他の IT 資産から分離できれば、コンプライアンス作業の範囲を大幅に縮小し、コストと複雑さを軽減できます。
コンプライアンスの取り組みと監査プロセスの合理化
マイクロセグメンテーションは、コンプライアンス環境の範囲を縮小し、コンプライアンスの実証を容易にすることで、監査要求とプロセスを遵守する作業をシンプル化します。
ゼロトラスト・アプローチによるセキュリティ確保のサポート
マイクロセグメンテーションは、強力なアイデンティティおよびアクセス制御を実行し、最小権限のアプローチでコンプライアンス関連データへのアクセス権を付与できるようにすることにより、 ゼロトラスト ・セキュリティ・モデルをサポートします。
マイクロセグメンテーションによって一般的な規制フレームワークのコンプライアンスがシンプルされる仕組み
マイクロセグメンテーションは、次のようなさまざまな規制環境へのコンプライアンスを確保する上で重要な役割を果たします。
PCI DSS
HIPAA
GDPR
SWIFT
PCI DSS
PCI DSS v4.0 は、ライフサイクル全体でカード所有者のデータを保護することを組織に求めています。マイクロセグメンテーションは、データへの不正アクセスを制限し、認可されたユーザーとシステムのみがそのデータにアクセスできる安全なゾーンを作成することによって、それを支援します。また、マイクロセグメンテーションによって、PCI DSS コンプライアンスの取り組みの範囲が縮小され、データ漏えいの影響が最小限に抑えられるほか、セキュリティチームが各安全ゾーンに適切な制御を確実に適用するためのより詳細な可視性がもたらされます。
HIPAA
マイクロセグメンテーションは、患者の健康情報(PHI)を保護し、重要なシステムを隔離することにより、 ヘルスケア機関のセキュリティ体制の改善 を後押しします。組織は、医療用画像処理システム、電子医療記録(EHR)、その他の重要な資産の専用セグメントを作成できます。マイクロセグメンテーションは、攻撃者によって防御が突破された場合に、ネットワークの他の部分を保護しながら迅速に緩和できるようにします。
GDPR
マイクロセグメンテーションは、機微な情報が存在する場所を可視化し、その情報へのアクセスを制限し、監査をシンプル化することにより、EU 一般データ保護規則(GDPR)の遵守をシンプル化します。
SWIFT
マイクロセグメンテーションは、金融機関が 組織のネットワークの他の部分からコンプライアンス関連のデータを分離する義務を遵守するために役立ちます。また、マイクロセグメンテーションおよびコンプライアンスソリューションを利用することで、きめ細かいアクセス制御、脅威検知機能の向上、インシデント対応の迅速化、SWIFT 要件へのコンプライアンスの実証作業のシンプル化が実現します。
適切なマイクロセグメンテーションおよびコンプライアンスソリューションの選択
マイクロセグメンテーションとコンプライアンスの管理には、さまざまなテクノロジーを利用できます。ソリューションを選択する際、セキュリティチームは以下のことができるソリューションを探す必要があります。
詳細な可視化。 最適なソリューションは、データセンター、レガシーアプリケーション、水平方向(East/West)のトラフィックなど、IT 環境全体を可視化するものです。適切なソリューションを採用することで、豊富なコンテキストで可視性を常時提供し、IT チームがデータセンターで何が起きているかを把握し、特定のセキュリティ対策の有効性を評価できるようになります。
インフラを再設計することなく、セグメンテーションを管理。 賢いセキュリティチームは、ネットワークの再設定、アプリケーションの変更、または仮想ローカル・エリア・ネットワーク(VLAN)の作成を必要とせずにセグメンテーションを実行できるソリューションを選択します。ベアメタルからクラウド内のコンテナまで、あらゆるものをサポートできるテクノロジーを利用すれば、コストを削減し、かなりの時間を節約できます。
1 つのソリューションで複数の要件に対応。 1 つのツールで複数のニーズを満たすマイクロセグメンテーションおよびコンプライアンスソリューションを使用することで、インストール、トレーニング、メンテナンス、設定にかかる時間を短縮しながら、より効果的にコンプライアンスを管理できます。
インフラに依存しない実装。 コンプライアンス要件は変化するため、インフラに依存しない DevOps 対応のソリューションを利用することにより、コンプライアンスプロセスを自動化して運用サイクルに統合できます。
ファイアウォールや VLAN との比較で見るマイクロセグメンテーションの利点
規制コンプライアンスという点では、マイクロセグメンテーションにはファイアウォールや VLAN などの従来のセキュリティアプローチに勝る利点がいくつかあります。
よりきめ細かい制御。マイクロセグメンテーションにより、個々のワークロードやアプリケーションのトラフィックフローをより正確かつ詳細に制御できます。ファイアウォールは通常、境界のトラフィックまたは大規模なネットワークセグメント間のトラフィックを制御します。VLAN はネットワーク層のトラフィックを制御しますが、きめ細かさが劣っています。
より高い柔軟性。 マイクロセグメンテーションポリシーは、ネットワークインフラを大幅に変更することなく、要件の変化に合わせて簡単に調整できます。対照的に、ファイアウォールルールの調整はより困難です。また、VLAN は柔軟性に欠けるため、新しいポリシーを適用するためにより大きな変更が必要になる場合があります。
効果的な侵害の封じ込め。 マイクロセグメンテーションは、侵害後のラテラルムーブメント(横方向の移動)を効果的に阻止し、重要なシステムと機微な情報を保護します。
より容易な監査対応。 マイクロセグメンテーションおよびコンプライアンスソリューションは、 セグメント化されたネットワークの各部分の明確なログと監査証跡を提供し、コンプライアンスレポートの作成をシンプル化します。
一貫したポリシーの適用。 マイクロセグメンテーションソリューションとコンプライアンスにより、物理環境、仮想環境、クラウド環境全体でより一貫してポリシーを適用できます。
より深い可視性。 マイクロセグメンテーションテクノロジーにより、ネットワーク内のトラフィックの可視性を高めて、潜在的な侵害をより効果的に検知できます。従来のファイアウォールは、内部ネットワークトラフィックの可視性がほとんどありません。また、VLAN はトラフィックを管理しますが、セキュリティ確保のために必ずしもトラフィックを分析しません。
Akamai が選ばれる理由
Akamai はオンラインライフの力となり、守っています。世界中のトップ企業が Akamai を選び、安全なデジタル体験を構築して提供することで、毎日、いつでもどこでも、世界中の人々の人生をより豊かにしています。 Akamai Connected Cloudは、超分散型のエッジおよび クラウドプラットフォームです。ユーザーに近いロケーションからアプリや体験を提供し、ユーザーから脅威を遠ざけます。