ADTがマイクロセグメンテーションで生命に関わるシステムを守る方法、1秒ごとに重要な状況で

ADTがマイクロセグメンテーションで生命に関わるシステムを守る方法、1秒ごとに重要な状況で

課題

ADTは、毎年何百万もの住宅や企業からの警報信号を処理する、生命安全環境を運営している。従来の周辺防御はネットワークエッジの保護に役立ちましたが、内部のトラフィックやラテラルムーブメントのリスクを可視化することは限定的でした。ADTは、遅延や時間に敏感な警報・緊急対応信号の伝達を妨げることなく、サイバー脅威から重要システムを安全に保護する方法を必要としていました。

ソリューション

ADTはゼロトラスト戦略の一環としてIllumio Segmentationを導入し、ワークロード通信の可視化と個々のホストへのセキュリティ制御の強制を行っています。ネットワークを再設計せずにマイクロセグメンテーションを適用することで、ADTは重要システムを分離し、横方向移動リスクを低減し、ミッションクリティカルな運用において途切れないパフォーマンスを維持できました。

結果
  • これまで見えなかったワークロードの通信状況やシステムアクティビティを詳細に把握できるようになった。
  • 宿主ベースのマイクロセグメンテーションによるラテラルムーブメントリスクの低減。
  • パフォーマンスや稼働時間に影響を与えることなく、重要な生命安全システムを保護します。
  • 異常活動や潜在的な脅威の識別能力の向上。
  • サイバーインシデントの最中でも重要なサービスを稼働させ続けることで、運用のレジリエンスを強化します。
  • ネットワークの再構築を必要とせずに高度なゼロトラストセキュリティを実現。
営業担当者に問い合わせる
共有

ADTがマイクロセグメンテーションで生命に関わるシステムを守る方法、1秒ごとに重要な状況で

ADTは150年にわたり、大切な瞬間に寄り添うことで信頼を築いてきました。現在、このシステムは北米全域で640万戸以上の住宅や小規模事業所を保護している。その生命安全環境は、毎年何百万もの信号を取り込んでいる。火災警報、一酸化炭素警報、防犯警報、バッテリー残量低下アラートなどだ。それぞれのメッセージは、エージェント、アプリケーション、消防署、警察署といった適切な宛先に、数秒以内に到達しなければならない。

「何らかの中断が発生すると、警報がオペレーターや緊急対応要員に届かない可能性があります」と、ADTのライフセーフティ担当ITエンジニア、ジョシュア・マム氏は述べています。「場合によっては、それが生死を分けることになるかもしれません。」

ADTのセキュリティがクリアしなければならないバーです。毎回信号を動かし続けてください。

周辺防御の問題点

ADTは、ほとんどの企業と同様に、長年にわたってセキュリティの境界を強化してきた。しかし、攻撃者はファイアウォールで止まるわけではない。いったん内部に入ると、彼らは横方向に移動し、静かにシステム間を飛び回りながら、権限を昇格させていく。外周防御は正面玄関を捉えている。彼らは内部の廊下を見ていない。

どの企業もこのリスクに直面する。しかしADTでは、その影響は即座に、そして目に見える形で現れる。例えば、警報が対応者に届かなかったり、信号が不適切なタイミングで途切れたりするといったことだ。

「我々には、境界ファイアウォールだけでなく、サーバー自体に直接的な保護が必要だった」とムンメ氏は語る。「マイクロセグメンテーションは、サブネットファイアウォールが許す以上の細かな可視性と制御をもたらしてくれました。」

チームにはもう一つ譲れない制約があった。それは、新たな制御方法を導入する場合でも、パフォーマンスに一切影響を与えてはならないということだった。生命の安全に関わる環境において、遅延はリスクとなる。信号のトラフィックを遅くするセキュリティツールは、防ごうとしていた故障をまさに生じさせるでしょう。言い換えれば、性能は安全性の一部である。

可視性が第一、それから制御。

ADTはゼロトラストモデルに移行し、ネットワークを再設計せずにワークロードを分割する方法を模索しました。Illumio Segmentationはチームにその道を示しました。トラフィックをチョークポイント経由でルーティングしたり、アーキテクチャを再構築したりする代わりに、ADTは各ホストに直接セグメンテーションを強制できます。保護はもはや環境の境界だけでなく、環境内部にも存在する。

規則が制定される前に、チームは以前には持っていなかったものを手に入れた。それは、システム同士が実際にどのように通信しているかを明確に把握することだった。

「イルミオは私たちに環境についてより深い洞察を与えてくれた」とマメは言う。「これまで見えなかった活動が見えるようになったことで、何が正常で何が調査を必要とするのかをよりよく理解できるようになりました。」

その明確さが政策立案を可能にした。チームは、必要な流れを阻害することなく、不要な流れを封じ込めることができた。

妥協のない封じ込め

現在、セグメンテーションポリシーはADTワークロードの接続方法を制限しています。重要なシステムは孤立したままです。攻撃者が本来着地すべきでない場所に着地した場合、攻撃者は移動できなくなる。業務は継続中です。信号はエージェントに届く。対応要員が派遣される。任務は継続中だ。

「内部システムを保護するということは、攻撃者を阻止することだけではありません」とムンメ氏は語る。「これは、重要なサービスが確実に稼働し続けるようにするためのものです。」

関連記事

eBayがサイバーレジリエンスを実現した方法 ― 3,000台のサーバーをセグメント化し、アプリを中断させない

eBayがサイバーレジリエンスを実現した方法 ― 3,000台のサーバーをセグメント化し、アプリを中断させない

事例を読む
ServiceNowはIllumioを使ってよりスマートなセグメント化方法を見つけました

ServiceNowはIllumioを使ってよりスマートなセグメント化方法を見つけました

事例を読む
Everywhen は Illumio と BT と連携してサイバーレジリエンスを構築し、横方向の移動を阻止します

Everywhen は Illumio と BT と連携してサイバーレジリエンスを構築し、横方向の移動を阻止します

事例を読む
すべてのストーリーを見る