サキコーポレーション、EUサイバーレジリエンス法を見据えたあるべきネットワーク分離を実現

ビジネスの目標

サキコーポレーションは、電子モジュール自動検査装置のリーディングカンパニーで、良品/不良品の自動判定を行う自動光学検査装置など、独創的な製品で強みを発揮しています。

このビジネスで厳重な対策が求められるのがセキュリティです。製造業を狙ったランサムウェア攻撃の被害が拡大する中、同社の顧客には自動車関連や航空機関連のメーカーやサプライヤーも多いだけに製品の完全性の担保は必須となっています。絶え間ない環境変化に迅速に追随し、セグメントを超えたデバイスの移動やセグメント区分け基準の変更にも柔軟に対応できる、新たなネットワーク分離の仕組みが必要となりました。

お客様の課題

製造プロセスを担っている製品系(OT)ネットワークに対して、意図しない目的外のアクセスが発生しないよう、各ホストに対する通信制御が必須となります。運用ルールで管理するだけでなく会社のセキュリティポリシー+αの要件を満たした仕組みづくりと、証跡の取得が急務となっていました。しかしながら様々なセグメントが存在する中、各システムのクラウド移行や従業員のリモートアクセスの増加などによりその構成や運用形態も大きく変化しており、ネットワーク分離のあるべき姿との間に乖離が生じていたのです

Illumio の価値

ネットワーク分離でまず思い浮かぶのは、Firewall アプライアンスを要所に配置する方法ですが、システム構築のコストが膨らむだけではなく、今後の環境変化に追随していくためにも多大な工数を要するため、現実的とは言えません。そこで辿り着いたのが、Illumioを用いてマイクロセグメンテーションを実装する方法です。「当初はコスト面のハードルが高いという先入観がありましたが、Illumioから詳しい話を聞いて、意外とリーズナブルな費用感で導入することがわかりました。管理コンソールも使いやすく、通信トラフィックを可視化して簡単にデータフロー図を作成することができるのも魅力的で、それだけでも試してみる価値はあると判断しました。」

そして実施したPoCの結果を踏まえ、Illumioの正式導入を決定しました。重点課題として挙がっていた「製品系ネットワークの厳格な分離および開発・デモ系ネットワークの分離(一部通信は許可)」「データフローの可視化とログ保全」「侵害拡大の防止および影響範囲の最小化」などをIllumioによって実現できると確信できたのです。Illumioの技術力とサポート面も評価の一つでした。

Illumio は既存のネットワーク構成に変更を加えることなく、自由にネットワークセグメンテーションを設計し、ポリシーを適用することが可能です。そのため導入が容易で迅速な展開をすることができました。

_{導入後の効果}

• あるべきネットワーク分離の実現
  セグメントを分割して厳格な通信制御を行うことで、サイバー攻撃のラテラルムーブメントを防ぎます。また侵害された際の影響範囲を局所化することで事業継続リスクを最小化します
• 容易な通信の可視化
  管理コンソールも使いやすく、通信トラフィックを可視化して簡単にデータフロー図を作成することができます‍
• 導入がしやすく、迅速な展開が可能
  DXへの柔軟な対応がしにくい Firewall アプライアンスの導入に比べ、ソフトウェアのIllumio は既存のネットワーク構成を大きく変えずにポリシーの運用ができ、迅速な導入が可能です。