電子モジュール自動検査装置を提供するサキコーポレーション(本社:東京都江東区)は、IT/OTのネットワーク間通信をマイクロセグメンテーションで論理的に分離している。Illumio Japanの「Illumio」を導入し、クラウド移行やリモートアクセスの増加に伴いネットワーク構成や運用形態が変化する中で、必要なアクセス制御をファイアウォール(ゲートウェイ)装置よりも容易かつ安価に実装できたという。Illumio Japanが2025年2月14日に発表した。
サキコーポレーションは、電子モジュールの自動検査装置メーカーである。電子基板などの製造工程において、目視に代わってインラインで基板の画像を撮像して良品/不良品を自動判定する自動光学検査装置などを製造・販売する。
同社では、システムのクラウドへの移行や、従業員によるリモートアクセスの増加などに伴い、IT/OTネットワークの構成や運用形態に変化が生じ、本来あるべき姿との間に乖離が生じていたという。
ネットワークセグメントのポリシーやデバイスの移動といった環境変化に容易に追従可能な新たなネットワーク分離の仕組みを必要としていた。解決策として、ホスト(サーバーやクライアント)同士の通信をホスト単位で細かく制御するマイクロセグメンテーションの手法を採用。Illumio Japanの「Illumio」を導入した。
「製造業を狙ったランサムウェア攻撃が拡大する中、特にOTネットワークに対して意図しないアクセスが発生しないよう、OTネットワーク上の各ホストに対する厳格な通信制御が求められる。運用ルールを定めるだけでなく、実際にアクセスを制御する仕組みが必要である」(Illumio Japan)
マイクロセグメンテーションにより、ゲートウェイ型のファイアウォール装置と比べて、既存のネットワーク構成を大きく変えることなくアクセス制御ポリシーを適用できる。サキコーポレーションによると、仮にファイアウォール装置を導入した場合、ログ分析や通信状況監視などのツールを別途揃えなくてはならず、マイクロセグメンテーションと比べて2倍以上のコストがかかっていたという。
今回は重要なホストへのアクセスを中心にマイクロセグメンテーションを導入したが、今後はクライアントPC間でのマルウェア拡散活動(ラテラルムーブメント)を阻止する用途でのマイクロセグメンテーションの運用も視野に入れている。
Illumioは、管理対象となるホスト(サーバー/クライアントOSなどのエンドポイント)に、専用のエージェントソフトウェアをインストールして運用する(関連記事:Illumioが日本で事業開始、ホスト間通信を細かく制御するマイクロセグメンテーションでマルウェア拡散を阻止)。
Illumioは、管理対象の個々のホストが、他のどのホストとの間で何の通信をしているのかを可視化する。アクセス制御ルールを設定するために「このホストとこのホストの通信を遮断したほうがよい」といった指摘を得られる。加えて、アクセス制御ルールを個々のホストOSに適用できる。ホスト間のアクセス制御にはOSの機能を利用する。
