サイバー攻撃の現状とOCIを活用したネットワークセキュリティ対策

概要

近年、ランサムウェアやゼロデイ攻撃をはじめとするサイバー攻撃は、ますます巧妙化・多様化しており、企業活動に対して深刻な影響を及ぼしています。特にランサムウェアに関しては、従来有効とされていた境界型防御では対応しきれないケースが多く報告されており、従来のセキュリティモデルの限界が顕在化しています。

このような高度化する脅威に対抗するためには、単一の防御策ではもはや十分とは言えず、「多層防御（Defense in Depth）」 の考え方に基づいた、包括的かつ柔軟なセキュリティ設計が不可欠です。多層防御は、ネットワーク、エンドポイント、アプリケーション、ID管理など、複数のレイヤーにわたる防御を組み合わせることで、攻撃の侵入・拡散・被害を最小限に抑えることを目的としています。

本稿では、ネットワーク型の攻撃を想定したうえで、Oracle Cloud Infrastructure（OCI）を活用したネットワークセキュリティ対策について検討します。

サイバー攻撃の対策

サイバー攻撃の脅威に対して複数のレイヤーで防御を構築し、万が一侵入を許しても被害を最小限に抑える仕組みが求められます。さらに、ゼロトラスト・セキュリティの導入や、脅威インテリジェンスの活用、インシデント対応体制の強化など、防御・検知・保護・回復のすべてのフェーズにおいて継続的な改善が重要です。
多層的なセキュリティ対策の例として以下階層別にツールや手法を整理します。

• エンドポイント層

  • 防御：EPP（Endpoint Protection Platform）、OS自動更新、外部デバイス制限
  • 検知：EPP（Endpoint Protection Platform）、EDR（Endpoint Detection and Response）
  • 保護：バックアップ

• ネットワーク層

  • 防御：ネットワークセグメンテーション、Firewall、WAF（Web Application Firewall)
  • 検知（遮断）：IDS/IPS、ログ検知(SIEM)

• サーバー（アプリケーション）層

  • 防御：OSやアプリの最新化、セキュリティ設定、ホスト型Firewall
  • 検知：ログ検知(SIEM)
  • 保護：バックアップ、IaC（Infrastructure as Code）

• ID管理（認証・認可・監査）

  • 防御：MFA、SSO、IDライフサイクル管理
  • 検知：ログイン試行検知、ログ検知(SIEM)
  • 保護：RBAC、セッション管理

• データ層

  • 防御：最小限のアクセス制御
  • 検知：ログ検知(SIEM)
  • 保護：バックアップ、暗号化

昨今のサイバー攻撃の多くはネットワーク経由で行われており、特にリモートワーク環境や取引先の端末が感染しVPN経由で社内ネットワークに侵入されるケースも増加しています。次章では、こうした背景を踏まえ、ネットワーク層におけるセキュリティ対策について検討します。

ネットワーク層の対応策

セグメンテーションとL4 Firewall

• 通信方向毎の防御

  • 垂直方向通信
    ネットワークを外部からの通信を制御するため以下のようにセキュリティゾーンを定義して境界のFirewallによる通信制御を行います。

    • Red Zone：インターネット等に直接接続される領域
    • Yellow Zone：外部からアクセス可能なWebサーバー等、別名DMZ
    • Green Zone：内部アプリケーションサーバー群、Yellow Zoneからのみアクセス可能
    • Blue Zone：極めて機密性の高いDB等のデータ領域、Green Zoneからのみアクセス可能
    

  • 水平方向通信
    従来はFirewall内部のゾーンはセキュアとされていましたが、ゾーン内での侵害拡大（ラテラルムーブメント）による攻撃が一般化されたため、これらを防ぐために同じゾーン内のサーバー間でも不要な通信は許可しないマイクロセグメンテーションの考え方が有効となります。

    

従来Yellow Zoneはインターネットや、取引先からのVPNがアクセスするためのセグメントでした。昨今の状況からリモートワーク環境VPNもGreen ZoneではなくYellow Zoneへの通信に限定して、最小権限通信ポリシーや他の層のセキュリティを組み合わせることにより侵害拡大防御に有効です

• OCIによる実装
  垂直方向通信および水平方向通信の通信制御にはSecurity List(SL)とNetwork security group(NSG)を利用可能です。
  SLおよびNSGは以下のような特徴があります。

  • SLはサブネットに対する通信制御
    　サブネット毎の許可のためゾーン境界のFWとして機能
  • NSGはインスタンスのVNICに対する通信制御
    　サーバー毎の許可のためマイクロセグメンテーションを実現
  • OCI上で管理するため
    • 万が一サーバーに侵入してもポリシー変更は不可能
    • OCI管理者からは該当サーバーに対してアイソレーション操作が可能
  • SLまたはNSGいずれか許可されれば通信可能
  • SLおよびNSGのポリシーは
    • 許可ポリシーのみ設定可能で拒否ポリシーは設定不可
    • 送信元情報および宛先ポートを設定可能
    • ステートフル/ステートレスいずれも設定可能
    • ポリシー許可/拒否はVCNフローログにてログ取得可能

  これらの機能や制限を理解した上でSL/NSGを併用し、最小権限の通信ポリシーを設計することが可能です

  • 作成例：httpsサーバーを公開セグメントに設置する場合
    • SL :外部からのhttpsを許可するポリシーをサブネットに付与
    • NSG:特定の内部サーバからのsshを許可するポリシーを特定サーバーに付与
    

SLおよびNSGは不要な許可が存在しないよう定期的な見直しを行うことをおすすめします
以下はSLおよびNSGをCSV形式で抽出する方法について記載しています
OCI Security listおよびNetwork security groupのアクセスリストをCSVに抽出

• その他対応
  さらにセキュリティを高める場合は、Network Firewallの導入やOCI MartketplaceからFortiGate等のFirewallの購入も可能です。

Web Application Firewall(WAF)

WAF（Web Application Firewall）は、アプリケーション層の通信を解析してWebアプリケーションへの攻撃を防ぎます。
SQLインジェクションやXSSなど、L4 Firewallでは防御できない攻撃に対応します。

• OCIによる実装
  OCIにはエッジポリシーとWAFポリシーの2種類のWAFが提供されています。
  エッジポリシーはWebサーバーの前段のリバースプロキシーにデプロイされます。
  WAFポリシーはL7 Loadbalancerに直接デプロイされます。
  それぞれ特徴がありますので以下サイトからご確認ください。

• その他対応
  WAFを専業でサービス提供しているベンダーもありますのでより高度な制御を行う場合はWAFサービスの利用も有効です。

検知（遮断）：IDS/IPS、SIEM

IDSは、ネットワーク上の不正アクセスや異常な挙動を検知する仕組みで、IPSは、IDSの検知機能に加えて、リアルタイムで攻撃を遮断・防御する機能を持ちます。さらに検知・遮断の監視運用を行っているサービスもあります。
SIEMは、ファイアウォールやエンドポイントなどからのログを一元的に収集・分析・可視化するプラットフォームです。こちらも追加で監視運用を行っているサービスもあります。

• OCIによる実装
  IDS/IPSについては、OCIはNetwork Firewallが提供されています。また、MartketplaceからFortiGate等のFirewallの購入も可能です。

　SIEMについては、OCIでは該当するサービスを見つけることはできませんでした。代わりにOCIの各ログをSplunkやQradar等の3rd PartyからPullすることによる実装が可能です

最後に

巧妙化するサイバー攻撃に対抗するには、レイヤーごとの多層防御と継続的な対策強化が不可欠です。 クラウドのセキュリティ機能を活用することで、柔軟かつ堅牢なネットワーク防御の構築が可能となります。