L7可視化による現実的な侵入後対策～境界防御だけでは防げないサイバー攻撃（4）

従来の境界防御やL3/L4ベースのネットワークセグメンテーションの限界を整理し、ラテラルムーブメントを抑止するセキュリティ設計としての「マイクロセグメンテーション」を解説する連載の第3回では、L7（プロセス単位）での通信制御により、侵入後のラテラルムーブメントを「止める」アプローチを解説しました。

しかし現実には、多くのエンタープライズ企業では、全てのシステムに対してエージェントインストールを行い、即座にマイクロセグメンテーションをベースとしたインラインの通信制御を実現することは容易ではありません。

多くの企業では、ネットワーク運用やセキュリティポリシー、システム運用が分業されており、さらにファイアウォールやネットワーク機器の運用そのものをSIerや外部ベンダーにアウトソースしているケースも一般的です。このような体制では、通信制御の変更には社内外の調整が必要となり、業務影響の評価や変更プロセスの策定に、膨大な関係者間の調整時間を要します。加えて、既存環境では通信要件が明確に整理されていないケースも多く、「何を許可し、何を止めてよいのか」を正確に判断できないという問題があります。

この状態で通信制御を行おうとすると、業務停止を伴うリスク、あるいは、実効性のない過度に緩いポリシーになりがちです。つまり、「止めるべき通信が分からないまま、当たり障りのない範囲において、攻撃と思わしき怪しい通信を止めようとする」結果につながりかねません。そこで連載第4回では、より現実的な第一歩として、「止める前に可視化する」というアプローチを取り上げます。

L7可視化がもたらす本質的な価値

L7の可視化とは、単なる通信ログの収集ではありません。「どのプロセスが、どの宛先に対して、どのような意図で通信しているのか」という通信の文脈（コンテキスト）を把握することにあります。

従来のL3/L4の可視化では、通信の大半が443番ポートに集約される現代の環境において、その通信が業務なのか攻撃なのかを判別することは困難です。実際、同じHTTPS通信であっても、ブラウザによる正規アクセスと、PowerShellによるC2通信は区別できません。

一方、L7で可視化することで、「想定されたプロセスによる通信か」「通常と異なる振る舞いか」という観点で通信を評価できるようになるため、従来は埋もれていた異常の兆候を構造的に捉えられます。

脅威ハンティングによる、意味のある検知

可視化だけでは十分ではありません。重要なのは、その情報をもとに「何が異常なのか」を判断することです。ここで有効になるのが、脅威ハンティングのアプローチです。近年の攻撃は、マルウェアを使わずに正規ツールを悪用するLoTL型（Living Off The Land：環境寄生型）が主流で、従来のシグネチャベースの検知では捉えきれません。

脅威ハンティングでは、通信、プロセス、ユーザー、外部インテリジェンスといった、複数の情報を組み合わせ、「通常とは異なる振る舞い」を起点に攻撃を特定します。例えば、以下のような挙動は、それ単体では単なるログに過ぎませんが、文脈を持って分析することで、攻撃の初期段階を示す重要なシグナルとなります。

• 通常発生しない時間帯のRDP通信
• PowerShellからのLDAPクエリの増加
• 特定サーバーからの外部不審通信

多くの現場では、「不審な通信がある」という事実までは把握できても、それが業務なのか攻撃なのかを判断できず、対応が遅れます。その結果、攻撃者は数時間から数日の潜伏期間の中で横展開を完了し、最終的に認証基盤へ到達します。この時点では、もはや一部の通信を止めるだけでは被害を防げず、システム全体の停止といった極端な対応を余儀なくされるケースも少なくありません。

被疑対象の特定と、止めるという判断

L7通信の可視化と、脅威ハンティングを組み合わせる最大の価値は、「どこが侵害されているのか分からない状態」から脱却できる点にあります。従来の環境では、「何かおかしい」という感覚はあっても、影響範囲を特定できず、結果として対応が遅れる、あるいは過剰に全体停止を行うという、極端な判断になりがちでした。しかし、通信の文脈が把握できていれば、以下のような具体的な判断が可能になるはずです。

• どのサーバーが異常通信の起点なのか
• どの経路で横展開が進行しているのか
• どこまで影響が広がっているのか

これらの情報を根拠として、既存のL3/L4ファイアウォールによる通信遮断やネットワーク分離といった実効性のある対応が可能になります。つまり、可視化によって初めて「どこを止めるべきか」という判断が成立します。

可視化から制御へという現実的なステップ

このアプローチのポイントは、既存のネットワーク構成や運用体制を大きく変えずに導入できる点にあります。まずはL7で通信を可視化し、環境の実態を把握します。その上で、重要システムやリスクの高い通信経路を特定し、限定的に制御を導入していく。この、可視化から理解、限定的制御というステップを踏むことで、業務影響を最小限に抑えながら、段階的にセキュリティレベルを引き上げることが可能になります。

例えば、ある業務サーバーから通常発生しない外部通信と、別のサーバーへのSMB通信が同時に観測された場合、それが単発の異常ではなく内部からの横展開の起点である可能性を判断できます。この時点で当該サーバーをネットワークから切り離す、あるいは該当通信のみを遮断するといった対応が可能になります。

おわりに

本稿では、「止める前に可視化する」という現実的なアプローチとして、L7可視化と脅威ハンティングの組み合わせを解説しました。

すべての環境に対して一度にマイクロセグメンテーションを適用することは難しくても、通信の文脈を把握し、攻撃の兆候を早期に捉えることは、今日からでも始められます。可視化は目的ではなく、正しく止めるための前提条件です。見えない状態で止めようとする限り、防御は成立しません。

まずは見える状態を作ることが、侵入後対策を現実的に機能させるための出発点となります。