米国の学区が内部の脅威を阻止

2022 年、75,000 人以上の生徒が在籍するテキサス州の大規模な公立学区は、テキサス州教育局によりグレード「A」と認定されました。卓越した教育のリーダーであるこの学区では、他に類を見ない学習体験を提供し、生徒一人ひとりに充実した名誉ある学校生活を送るための準備と啓発の機会を用意しています。そのため同学区の技術運用部門は、トップクラスのインフラの構築と維持に重点を置き、あらゆる関係者が最新の、そして次世代のデジタルコンテンツやツールを安全に利用できる環境を目指しています。同部門に新たに就任したサイバーセキュリティリーダーがこの学区のセキュリティアプローチの弱点を認識した際、ギャップの解消に役立ったのが Akamai Guardicore Segmentation でした。

このテキサス州の学区では従来、ファイアウォールとジオフェンスを利用して外部の脅威から IT 環境を保護してきました。しかし、内部の脅威、特に悪意のあるインサイダーを阻止するための対策は不十分でした。「あるシステムにアクセスできれば、他のすべてのシステムに簡単にアクセスできるようになります」と、同学区のシステムエンジニアリング担当マネージャーは説明します。

同学区では、内部システム間の正当な通信が可視化されておらず、不正な、悪性の水平方向（East/West）のトラフィックを阻止できませんでした。この脅威を認識した技術運用部門（ネットワークエンジニアリング、システムエンジニアリング、 サイバーセキュリティ で構成）は、リスクを緩和するために包括的なソリューションが必要であることを理解していました。「私たちが適切なソリューションを導入せず、生徒やスタッフに関連する情報の完全なセキュリティが損なわれれば、怠慢と言われるでしょう」と、マネージャーは続けます。

同学区は選択肢を検討したうえで、Akamai Guardicore Segmentation を選びました。「市場にあるソリューションの中で、特に優れていました」とマネージャーは述べています。

技術運用部門は環境を監査して、Akamai Guardicore Segmentation で保護すべきアプリケーションとシステムの特定を図りました。「Tier 1 アプリケーションから始めましたが、求められていたのはすべてのアプリケーションをソリューションで保護することでした」と付け加えます。

同学区は、Akamai の支援を受けながら Active Directory や SQL サーバーといった優先度の高いアプリケーションのリングフェンスを簡単かつ迅速に構築しました。また、精度の高いセグメンテーションポリシーの実装により、システム間の不要なデータフローを排除しています。監査と導入のプロセスによって、部門の枠を超えたコラボレーションも活発になりました。「グループ全体で協力して、デバイスのラベル付けやリングフェンスの構築に関する方法を決定しました。そういった意味で、Akamai Guardicore Segmentation は緊密に連携するための共通基盤となりました」。

リングフェンスが設置されると、同学区は潜在的な問題に関するアラートを受け取るようになりました。「許可されていない限り、どんなトラフィックも通過できませんでした」と、学区のシステムエンジニアリング担当マネージャーは説明します。その結果、同学区のアプリケーションが Akamai のソリューションによって即座に保護されていることを確信できました。

「アプリケーションへ、またはアプリケーションからのトラフィックを検知したら、必要に応じてブロックモードに移行します。Akamai Guardicore Segmentation が提供するシンプルな方法によって、段階的に環境全体を保護できるようになります」と、マネージャーは述べています。

リングフェンスの対象とならないアプリケーションもありますが、それでも、それらのアプリケーションと Active Directory といった他のアプリケーションの間の通信が新たに可視化されたことで、同学区は恩恵を受けました。技術運用部門内のすべてのグループは、リングフェンスの対象となったアプリケーションとの間のデータフローを確認できるので、環境内のすべてのシステムで起きている事象が本質的に可視化されます。「Akamai Guardicore Segmentation は、現在の実行状況を最新の状態で見ることができ、不要なトラフィックを簡単に特定する方法を提供します。さらに、簡単な設定で、必要に応じてトラフィックを許可したりブロックしたりできます」と、マネージャーは述べています。

こうした可視性に基づき、ネットワークエンジニアリング、システムエンジニアリング、サイバーセキュリティの各チームは必要なときに連携し、発生した問題に対応することができます。「不審なトラフィックのアラートを受け取ると、Akamai のソリューションは、望ましくない事態を阻止しながら、システム環境が必要な通りに稼働するよう、解決策を導き出すのに必要なコンテキストを提供してくれます」と、マネージャーは説明します。

同学区のシステムエンジニアリング担当マネージャーによると、Akamai Guardicore Segmentation はサイバー攻撃を阻止するうえで継続的に役立っています。「悪性の IP アドレスは、定期的に私たちのシステムを攻撃してきます。Akamai のソリューションによって、Web サーバー上での異常なポートアクティビティなど、通常とは異なるアクティビティを把握できるため、アクセスや潜在的な攻撃のブロックが容易になりました。」

さらに、Akamai Guardicore Segmentation は他のセキュリティツールとシームレスに連携することで、この学区のセキュリティ状況を改善しています。たとえば、同学区では特権アクセス管理（PAM）ソリューションを使用して、外部ベンダーに特定のシステムに対する必要なアクセスを提供しています。これらのサーバーに対してリモート・デスクトップ・プロトコル（RDP）アクセスを許可するのではなく、学区ではエンジニアリング部門に、PAM ソリューションを使用してサーバーをリモート管理することを求めています。そして、Akamai Guardicore Segmentation はその RDP アクセスの防止に役立っています。

学区のシステムエンジニアリング担当マネージャーが説明したように、このようにセキュリティ対策を統合したことにより、以前はできてしまっていた、リモートデスクトップからサーバーへのアクセスを防止できます。「Akamai のソリューションを使用して RDP アクセスをブロックすることで、誰もリモートでサーバー環境に接続できなくなります」

現在までに、同学区では既存のサーバー 500 台のうち 375 台に Akamai Guardicore Segmentation を実装しており、今後このマイクロセグメンテーションソリューションですべてのアプリケーションを保護する予定です。「私たちは常に新しいアプリケーションを展開しており、週に 1 回のペースで実施する場合もありますが、当初からそれらは Akamai のソリューションで保護しています。Akamai Guardicore Segmentation により、アプリケーションの動作と通信状況を可視化できるため、新しいアプリケーションを展開する際に前よりもっと自信をもって取り組むことができます」と、同学区のシステムエンジニアリング担当マネージャーは締めくくりました。