入口対策(境界型セキュリティ)だけに頼ったセキュリティ対策では、いったんセキュリティゾーンへの侵入を許すと無力になってしまいます。そのセキュリティゾーン内部にあるすべての端末に侵入範囲が拡大し、情報を奪われます。
ますます巧妙化・悪質化するセキュリティ脅威
企業システムのセキュリティにとって、最も深刻なリスクとなっているのが「標的型攻撃」です。狙いを定めた特定の企業やユーザに対して偽装メールを送る、あるいは不正サイトに誘導してマルウェアを送り込むなど、時間をかけて侵入範囲を拡大し、狙いを付けたサーバから機密情報を盗み出すのがその主な手口です。 マルウェアを感染させたい企業や組織の従業員が日常的の利用しているWebサイトを選んで改ざんする「水飲み場攻撃」と呼ばれる手口も見られるようになりました。普段どおりにニュースなどを閲覧すると、マルウェアに感染してしまうのです。
なぜ侵入範囲は拡大してしまうのか?
これまでのセキュリティ対策は、ファイアウォールやIDS/IPSなどによる「入口対策(境界型セキュリティ)」に重点が置かれてきました。しかしながら、それらは新手の攻撃に対してどうしても後追いになるため、完全に侵入を防ぐことができません。 そして、信頼されているセキュリティゾーンにいったん侵入されると、その内部では端末間での自由なアクセスが可能になってしまいます。また、セキュリティゾーン内部では、マルウェア等の拡大を検知する仕組みもなく、侵入範囲の拡大を許してしまいます。これが既存のセキュリティ対策アーキテクチャの限界となっています。
ファイアウォール、IPS/IDSによる境界型セキュリティの限界
- インターネットへ出入りするトラフィックしか防御できない
- 侵入防止型セキュリティではすべての脅威を防ぎきることは不可能
物理ネットワークの限界
- VLANによる部門ごとのセグメント内でのアクセス制御では、スイッチのポート毎に設定が必要
- セグメント内の不正アクセスは検知不可