警察庁が3月16日に「令和4年におけるサイバー空間をめぐる脅威の情勢等について」※発表しました。発表内容によると、2022年(令和4年)のランサムウェア被害の報告件数は過去最多の230件に上り、脅迫手口の悪質化や、被害復旧の難しさなどの実態が浮き彫りになりました。
ランサムウェアの脅威がとどまらない主な理由のひとつとして、境界突破後の「ラテラルムーブメント(横展開)」に対する有効な対策を講じることが困難であるためと考えられます。そのため、ランサムウェアを抑えるポイントは、境界突破後のネットワーク内部での「ラテラルムーブメント」による感染拡大をいかに阻止するかということです。そこで本記事では、ランサムウェアの脅威を踏まえて、VMware NSXによるラテラルムーブメントのセキュリティの実現について解説します。
警察庁 Webサイト「令和4年におけるサイバー空間をめぐる脅威の情勢等について」
目次
- ラテラルムーブメントの危険性とは?
- ラテラルセキュリティとネットワークセキュリティ
- IDS/IPSによる仮想マシンの保護
- 最小権限の原則を実現する分散ファイアウォール
- ネットワークへの攻撃を可視化し、素早く対処するためのNDR
- 脆弱性対策と脅威対策による2次元のセキュリティ
ラテラルムーブメントの危険性とは?
現代のIT環境下では、様々なクラウドサービスを活用、あるいは社外の様々な場所から情報資産にアクセスすることが増加しています。これは攻撃者にとっては、攻撃を行うことができるポイントが増加していることを意味します。このような攻撃ポイントのことをアタックサーフェスと呼びます。そして、一度侵入に成功すれば、権限を昇格させながら、ネットワーク経由で他のデバイスや仮想マシンに侵入範囲を広げ、広範囲のランサムウェア感染や機密情報奪取を試みます。このような攻撃者の動きを、「ラテラルムーブメント」と呼びます。
大半の組織は、ネットワーク境界にセキュリティ機能を実装しているはずです。しかしそのようなネットワーク境界型セキュリティ機能では保護できないアタックサーフェスが増加しています。境界型セキュリティは、一度ネットワークに侵入されると、その後のラテラルムーブメントを防止できません。どこかにセキュリティ侵害が発生することを前提とした被害最小化対策が必要であり、それを実現するのがラテラルムーブメント対策です。VMware はこれを ”ラテラルセキュリティ” と呼んでいます。
ラテラルセキュリティとネットワークセキュリティ
まずセキュリティにおけるリスクの考え方について振り返りましょう。リスクは、保護すべき対象について、「その重要度」、「存在する脅威」、「自身の持つ脆弱性」を掛け合わせて評価されます。リスクを下げるためには、脅威と脆弱性を減らすことが必要です。脅威を下げる対策は、VMware NSXなどのネットワークセキュリティを活用して、攻撃経路となるネットワークの分離・遮断・監視です。そして脆弱性対策は、脆弱性の把握とその修正です。
しかし現実には、脆弱性を発見しても迅速に対処できない場合が多く存在することは多く経験することです。例えば、脆弱性修正度に停止・再起動できないサーバが存在する、あるいは適用すべきパッチが存在しないといったケースです。またパッチが存在していても、検証に時間がかかり、そのタイムラグを突かれて攻撃されるケースもあります。
このように迅速な脆弱性修復ができないケースにおけるエンドポイント保護手段としても、ネットワークセキュリティを活用することができます。ここからは、VMware NSXによるラテラルセキュリティ実現の方法について見ていきましょう。
IDS/IPSによる仮想マシンの保護
仮想マシンにパッチを適用するのが困難な場合に活躍するのが、VMware NSXの分散IDS/IPS ※です。IDS/IPS自体は古くからある技術で、境界型セキュリティにおいて主にアプライアンスとして実装されています。一方、VMware NSXの分散IDS/IPSは、ハイパーバイザーレベルで実装されていることが大きな特徴です。ハイパーバイザー内で稼働する個々の仮想マシンごとにIDS/IPSを実装し、ネットワーク境界という観点とは別の観点で仮想マシンを防御します。これにより効果的なラテラルセキュリティを実現することが可能です。IDS/IPSに最新のシグネチャを適用し続けることで、各仮想マシンへのパッチ適用に代わる脆弱性対策になります。このような効果は、あたからもパッチを適用している状態となることから、仮想パッチと呼びます。
※ IDS/IPS = Intrusion Detection System/Intrusion Prevention System
最小権限の原則を実現する分散ファイアウォール
次に、脅威対策について見ていきましょう。セキュリティの原則として重要な考え方に、「最小権限の原則」があります。ユーザーやソフトウェアに、作業に必要な限度を越えた権限を与えないというものです。この考え方をネットワークに適用すると、できるだけネットワークを小さな単位に分割するということになります。これにより攻撃者がネットワーク内を自由に移動しにくくなります。
ネットワークの分割にはいくつかのレベルがあります。大きなレベルは、従来からの外と内を分割する境界型です。そして組織内のネットワークをセグメントに分割するのが次のレベルです。さらにエンドポイント単位での分割、さらにはコンテナレベルでの分割です。
これはゼロトラストセキュリティでも重要なマイクロセグメンテーションという概念の実装です。大型船舶では、浸水箇所を隔離することで沈没を防ぐ、水密区画と呼ばれる仕組みがありますが、これと同じです。分割単位が小さくなるほど、侵入が発生した箇所を細かく隔離でき、被害拡大リスクを下げることができます。
これを実現するのが、VMware NSXの分散ファイアウォール機能です。この機能もハイパーバイザーレベルで実装されており、仮想マシンやコンテナ単位でネットワークを区切ることができます。ハイパーバイザーによる実装の利点は、例え仮想マシンが特権レベルでの侵害を被った場合でもハイパーバイザーのセキュリティ機能を無効化できないということにもあります。
またポリシー管理からは、仮想マシンを別のセグメントに移動した際に移動先のポリシーが自動適用されるというようなダイナミックな自動適用がなされるので、設定ミスや工数の増加を防ぐことができます。
ネットワークへの攻撃を可視化し、素早く対処するためのNDR
ラテラルセキュリティを実現するためには、ネットワークが攻撃を受けた際に、全容を素早く把握することが必要です。ここで問題となるのが、ネットワークは本質的に可視化しづらい性質がある点です。エンドポイントではログを分析することでそこで発生しているイベントを容易に可視化することができますが、ネットワークではケーブルを通過するパケットを観察し、トラフィックを分析する必要があります。
ネットワークからトラフィックをキャプチャするには、ミラーポートやネットワークタップなどの機器を用います。しかし全てのトラフィックをキャプチャすることは現実にはできません。例えば、物理サーバ間にネットワークタップを設置すればそれらのサーバ間のトラフィックはキャプチャできます。しかしハイパーバイザー内の多数の仮想マシン間のトラフィックはキャプチャできません。つまりは仮想マシン間で発生するラテラルムーブメントを監視することはできません。このように監視不能なトラフィックが生じるポイントをブラインドスポットと呼びますが、VMware NSXでは仮想化環境のトラフィックをすべて監視することが可能で、ブラインドスポットは存在しません。
これらのテクノロジーを組み合わせることで実現したのが、VMware NSX によるNetwork Detection and Response(NDR)です。VMware の NDRは、以下の要素から成り立っています。
- NTA(Network Traffic Analysis)
キャプチャしたトラフィックを機械学習により解析し、異常を検知 - IDS/IPS
シグネチャに基づく攻撃防止 - サンドボックス
未知のマルウェアの検知・防御
さらにVMware は、グローバルで200人以上の専門リサーチャーによる脅威インテリジェンスを持ち、これらのセキュリティ機能を強く支えています。世界中のエンドポイントで発生している膨大なインシデント情報を収集し、それをインテリジェンスとして構築し、高精度なNDRを実現しています。
脆弱性対策と脅威対策による2次元のセキュリティ
ランサムウェアに強い抵抗力を持つ、強固なラテラルセキュリティを実現するには、ネットワークでの脅威対策と、エンドポイントでの脆弱性対策が連携した、2次元的な視点での対策が必要です。ネットワークを中心に守るVMware NSXと、エンドポイントを中心に守るVMware Carbon Black Cloudを合わせることで、VMwareはお客様の環境におけるラテラルセキュリティの強化を実現します。
VMware NSX Security で安全な仮想化基盤を!
記事の中でご紹介したvSphere基盤のラテラルセキュリティについて、本資料でもご紹介しております。併せてご覧ください
ダウンロードはこちら
ラテラルセキュリティについてさらに詳しく
ラテラルセキュリティの必要性については、VMware Security & Network Forum 2023 のJPCERT/CCのセッション(オンデマンド配信)をご覧ください
ランサムウェアとその対策について詳しくは、以下の記事をご覧ください。
ランサムウェアの脅威に備えるセキュリティ対策 – エンドポイント編 –
完全なラテラルセキュリティの実現には、ネットワークセキュリティとエンドポイントセキュリティを組み合わせることが欠かせません。エンドポイントセキュリティについては、「ランサムウェアの脅威に備えるセキュリティ対策 – エンドポイント編 –」をご覧ください
この記事を読む
ランサムウェアの脅威に備えるセキュリティ対策 – 復旧編
ランサムウェアの脅威に備えるセキュリティ対策として、VMwareではVMware Ransomware Recovery for VCDRを提供しています。災害対策を目的とした VCDR にオプションとして VMware Carbon Black Cloud の EDR エンジンを活用した脆弱性スキャン機能を組み合わせて、ランサムウェア被害からの復旧を支援します。
この記事を読む