図 2-F
ENTERPRISE SECURITY BLUEPRINT CONTROL LAYER
02
制御レイヤのまとめ
SDPアーキテクチャの制御レイヤは、保護機能を生成し、実施レイヤに配置する役割を担います。保護機能 には、脅威対策、アクセス制御、データ保護という3 つの種類があります。
それぞれの保護機能を、各セグメントおよびそのリソースに付随するリスクに体系的にマッピングすると、APT 攻撃を含むあらゆる種類の攻撃に対する強力な多層防御を実装できます。
制御レイヤで適切な保護機能を生成するためには、組織およびその情報システムに関する知識(アクセス 制御)、脅威に関する知識(脅威対策)、データ資産およびその分類に関する知識(データ保護)が集約され ている必要があります。
また、各実施ポイントで保護できる範囲を最大化するため、セグメントごとにリスク分析を実施し、評価した リスクを関連するセキュリティ制御にマッピングして、相互作用のパスを分析することも重要となります。
管理レイヤは、セキュリティと組織のビジネス・プロセスを統合して、SDPアーキテクチャを具現化するための レイヤです。
組織のネットワーク構成は頻繁に変更されます。特に顕著なのは、サービス指向アーキテクチャ(SOA)に 基づくネットワークや仮想データセンターなど、アプリケーションがホスト間を、仮想ホストが物理サーバ間を 移動し、SDN や API によってネットワーク構成が動的に変更されるような環境です。またモバイル・ユーザの 増加やクラウド・サービスの普及によって、ネットワークの接続範囲が拡大している状況も、構成変更が頻発 する要因となっています。ネットワーク・アドレスやネットワーク・サービス単位でアクセス制御を実施して きたセキュリティ管理者にとって、ネットワーク構成が目まぐるしく変化する現在の状況は非常に大きな負担 となっています。
組織内外のセキュリティ脅威の動向が悪質化の一途を辿っていることも、問題を複雑にしています。困難な 状況に対処するには、最小権限の原則をよりきめ細かく管理し、ユーザ・アイデンティティやロールの割り当て、
ホストのコンプライアンス状況、データ・アイデンティティ、アプリケーション・アイデンティティ、リクエスト・
パラメータなど、これまで考慮する必要がなかった新しい属性についても対応が迫られます。
このようにネットワークの複雑化が進み、きめ細かなポリシーの運用が求められる中で、ビジネス・プロセスの 急速な変化に沿った対応は、セキュリティ管理者にとってほとんど不可能な状態です。SDP の管理レイヤは 以下に示す特徴を備えるフレームワークを提供し、セキュリティ管理者が抱える課題を解決します。
モジュール型 - セキュリティ・セグメント境界と保護機能の単位でのセキュリティ・ポリシー管理を 可能にします。個々のポリシー管理担当者は、与えられた役割を果たすために必要となる最小限の 情報と権限を利用して、シンプルなポリシーのサブセットを管理できます。
オ ープン - API を使用して、制御レイヤと組織のシステムを自動的に同期します。管理者の負担が 軽減すると共に、ネットワーク内でのセキュリティ・ポリシーの一貫性が向上します。
耐障害性 - サイバー攻撃の検出および阻止と被害の抑止が、ネットワークの可視化によって容易 になります。攻撃を受けた場合でもサービス・レベルを一定の水準に保ちます。また追跡調査や復旧、
共同作業も負担が軽くなります。
管理レイヤ
03
ビジネス・プロセスの
急速な変化に沿った対応は、
セキュリティ管理者にとって
ほとんど不可能な状態です
ENTERPRISE SECURITY BLUEPRINT MANAGEMENT LAYER
03
モジュール化
大規模な組織のセキュリティ・ポリシーは非常に複雑化しており、セキュリティ・ポリシーのルールベースを 構成するルールが数千個に及ぶケースも珍しくありません。また多くの組織では、ネットワーク構成の把握が それぞれ局所的に留まる複数のツールを使用してセキュリティ管理を行っています。セキュリティ・ポリシーが 複雑化している上、ネットワークに対する視界が限られているため、管理作業の縦割り化が避けられません。
SDPでは、統合管理コンソールを使用して、ネットワークやホスト、アプリケーション、データのセキュリ ティ・ポリシーをまとめて定義できます。またポリシーのモジュール化により、セキュリティ・ポリシー・ルール をポリシー全体の一部のみ対応する独立したモジュールに分割し、シンプルで扱いやすい、再利用可能なコン ポーネントとして管理することができます。分割された各ポリシー・モジュールを1つにまとめ、完全なポリシー として制御レイヤに渡す役割は管理レイヤが担います。
ポリシーをモジュール化するには、実施レイヤで定義した論理的なセグメント境界の単位でセキュリティ・
ポリシーを定義します。各セグメントおよび関連する相互作用に的を絞ることで、ポリシーの定義が大幅に 簡素化されます。
ポリシーをモジュール化すると、複数のセキュリティ管理者で管理作業を分担し、組織の課題解決に同時並行 で取り組めるようになります。各管理者は、自身の担当分野に関係するセキュリティ・ポリシーのサブセットの みを管理します。環境の規模をスムーズに拡張するためには、複数の担当者による同時並行でのセキュリ ティ・ポリシー管理に、管理レイヤが対応する必要があります。そしてセキュリティ・ポリシーに対して同時に 変更を加えることができ、臨機応変にマージできる対応が求められます。
各ポリシー・モジュールは、保護機能の種類ごとに、ネットワーク・フローやデータ・フロー、規制遵守などの レイヤおよびサブレイヤ単位で定義します。グローバル・ポリシーは、ポリシー違反とならない範囲で、より 詳細な内容の下位ポリシーで上書きできます。管理レイヤは、ポリシー・モジュール間でのポリシーの継承と 競合の解決のためのフレームワークを提供します。
図 3-Aでは、データベース・サーバが内部サーバ・セグメントにホストされ、このデータベースにアクセスする Web サーバが DMZ セグメントにホストされています。この場合、データセンターのネットワーク管理者は、
内部ネットワーク上で特定のプロトコルを許可するグローバル・ネットワーク・セキュリティ・ポリシー・レイヤ
(1)を定義できます。また、承認された Webアプリケーションを定義するサブレイヤ(2)をDMZ 管理者が 管理し、内部サーバ・セグメントから外部へ送信可能なデータ・オブジェクトを定義する独立レイヤ(3)を、
内部サーバ管理者が管理します。
セキュリティ・ポリシーは 論理的なセグメント境界の 単位で定義します
各ポリシー・モジュールは、
保護機能の種類ごとに、
レイヤおよび
サブレイヤ単位で
定義します
ENTERPRISE SECURITY BLUEPRINT MANAGEMENT LAYER
03
管理レイヤでは、管理者の作業と管理レイヤの自動化スクリプトの両方に対し、最小権限の原則と職務分掌の 原則を適用する必要があります。これによりポリシーが簡素化し、設定ミスが発生する可能性や内部関係者に よる攻撃のリスクが低減します。例えば、アクセス制御と脅威対策の管理を、複数のチームで安全に分担でき ます。
職務分掌を実現する強力な機能が用意されていると、権限の委任を体系的に実施し、専任の担当者だけに セキュリティ管理を依存する場合に避けられないボトルネックを排除できます。例えばビジネス・ユーザに 対し、その職務の範囲内にある要素へのアクセス権を管理する権限を付与し、管理作業を行うための適切な ユーザ・インタフェースを提供できるようになります。極端な例では、日常的に下すセキュリティ上の判断
(不審な Web サイトにアクセスするかどうかなど)をエンドユーザに一任できます。特定のファイルやネット ワーク・サービスにアクセスする業務上の正当性をエンドユーザに提示させたうえで、管理者がその是非を 判断するという仕組みを構築できます。
保護機能の管理方法は保護機能の種類によって異なります。組織固有の構成に基づき、セグメントごとに 定義するアクセス制御ポリシーや、データの分類に基づくデータ保護と異なり、各セグメントの脅威対策は、
以下に示す保護機能の一般的な特性に基づいて選択することになります。
ポリシーのモジュール化 図 3-A
インターネット