マイクロセグメンテーションと検出・対応の融合：両者が連携することでより強力になる理由

今日のサイバー攻撃は、これまで以上に高速化、ステルス化、適応性が向上しています。攻撃者は死角をすり抜け、東西の交通に隠れ、サイバー防御のわずかな隙間さえも悪用します。これらの攻撃は予告なく発生します。すでに中に入ってしまうまでは、通常の交通のように見えます。

攻撃者は簡単に溶け込むため、防御者は何が起こっているかを明確に把握し、それを制御できる能力の両方が必要です。そのため、組織には、可視性と制御をどのように組み合わせるかという、セキュリティに関する重要な課題が残ります。暗闇の中で手探りしているときには、コントロールは役に立ちません。可視性だけでは、見たものに基づいて行動することはできません。どちらか一方が欠けると、危険なギャップが残ります。両方必要です。

多くのセキュリティ チームは、手遅れになるまで自分たちがどれほど危険にさらされているかに気づきません。その時点では、攻撃者はすでに横方向に移動し、侵害の原因は監視されていないワークロード、管理されていないフロー、および遅延した対応の下に埋もれてしまいます。

これは、マイクロセグメンテーションと検出および対応戦略が一体となって機能する必要があるポイントです。それぞれが単独でも真の価値を提供します。しかし、これらを組み合わせることで、強力で自己強化的な防御が構築されます。これにより、侵害がビジネスを混乱させる事態にエスカレートするのを阻止できます。

課題：部分的なセキュリティは盲点を生み出す

ここで多くのチームが問題に遭遇します。多くの組織では、 セグメンテーションと検出を別々のプログラムとして扱っています。彼らは多くの場合、それぞれ独自のツール、ロードマップ、優先順位を持つさまざまなチームに所属しています。  

セグメンテーション チームは、東西方向の移動を制限するために最小権限ポリシーに重点を置いています。検出および対応チームは、侵害の兆候や疑わしいアクティビティを探し、攻撃を迅速に阻止できるようにします。その分裂は危険なギャップを生み出します。

• 検出なしのセグメンテーションは、サイレント障害につながります。ルールが広すぎる場合や、予期しないワークロードの動作が発生する場合、安全でないトラフィックが気付かれずに通過してしまう可能性があります。疑わしい活動をリアルタイムで把握できなければ、執行機関は迅速に対応できません。‍
• セグメンテーションなしでの検出は遅くなる 封じ込め環境が無防備な場合、最速のアラートでも攻撃者を阻止することはできません。事前に定義された強制境界がなければ、分離は時間との競争となり、防御側が負けることが多いです。

結果？インシデントのトリアージに時間がかかります。救助隊員は、本来あるべき以上の過酷な労働を強いられています。そして最悪なのは、攻撃者が行動する余地が広がることです。

解決策：可視性、執行、対応の連携

最も回復力のある組織は、次のようにセグメンテーションと検出を継続的なフィードバック ループに統合します。

• 可視性により、ワークロード、アプリケーション、環境全体のトラフィックが表示され、危険な動作や予期しない動作が明らかになります。‍
• 検出では、その動作を分析して、侵害の兆候や異常な横方向の移動を特定します。‍
• 適用は、セグメンテーション ポリシーまたは動的分離を適用して脅威を即座に封じ込めることで、ほぼリアルタイムで対応します。‍
• フィードバックによりポリシーの改良が可能になり、時間の経過とともに環境の安全性が大幅に向上します。

このアプローチはアクティブな脅威を阻止するだけではありません。新たな洞察が集まるたびに、あなたの姿勢は強化されます。

Omdia の主席アナリスト John Grady 氏によると、「セキュリティは、検出と予防の実践が統合されているときに最も効果的に機能します。マイクロセグメンテーションと検出および対応を分断された機能として扱う組織は、リスクを増大させています。セキュリティ チームは、可視性、ポリシーの適用、応答ワークフローを統合フレームワークの一部として組み合わせる必要があります。セグメンテーションと検出の間でこのフィードバック ループを開発する組織は、検出と封じ込めまでの時間を改善し、最終的には横方向の移動と全体的なビジネスの混乱を軽減できます。」

セグメンテーションと検出・対応を統合するための5つの実践的なステップ

マイクロセグメンテーションと検出および対応を接続する方法を検討している場合は、次の 5 つの実行可能な手順から始めてください。

1. 共有可視性レイヤーを構築する

セグメンテーション チームと検出チームに、統合されたテレメトリ、ワークロード コンテキスト、フロー データという同じ信頼できる情報源を提供します。誰もが同じ絵を見るべきです。意思決定を調整し、対応を迅速化します。

2. インシデント発生前に強制執行可能な境界を定義する

最小権限のセグメンテーションゾーンにより、封じ込めが予測可能になります。環境が準備されていればいるほど、より早く行動できます。一秒一秒が重要な時に、その努力は報われます。

3. 可能な場合はポリシーを使用して封じ込めを自動化する

機械は人間よりも速く動作します。そのスピードを活用してください。リンク検出はセグメンテーション アクションを直接トリガーします。これは、ワークロードの分離、ポートの強化、または検疫ポリシーの適用を意味する場合があります。自動化により、攻撃者の滞在時間が短縮され、横方向の移動を数秒で阻止できます。

4. 検出情報を活用してセグメンテーションを洗練させる

すべてのアラートは、環境を強化する機会となります。それらの洞察をより厳格なルールとより少ない開かれた経路に変換します。

5. セグメンテーションチームとセキュリティオペレーションセンター（SOC）を統合する

共有プレイブックとワークフローにより、特にプレッシャーの大きい瞬間に引き継ぎの遅延を防ぐことができます。ゲームプランを共有することで、攻撃者が悪用できる混乱を排除できます。

結果：脅威に応じて拡張できるセキュリティ体制

マイクロセグメンテーションと検出および対応が連携すると、その影響は次の 3 つの主要な方法で増大します。

• 何が重要であるかを把握できるようになります。
• それを制御するには強制力が必要です。
• 脅威が広がる前に阻止するために必要な対応速度を実現します。

攻撃者にとって小さな隙間さえあれば十分な世界では、統一されたアプローチにより、インシデントが重大な侵害になるずっと前に早期に封じ込めることができます。

Illumio Insightsを無料で体験 今日では、検出と実際のセグメンテーション アクションを統合しています。