過去の情報漏えい事件の経緯を見ると、セキュリティデバイスでなにがしかの脅威を検知していたのに、すぐにしかるべき対応がとれなかったために、情報漏えいを食い止められなかった事案がいくつもあります。今回は、セキュリティデバイスが感染端末の存在を検知した際に、自動的にその端末を隔離し、情報漏えいのリスクを排除した上で、インシデント対応の時間をかせぐ方法についてお話します。
自動隔離を実現するソリューションの例
今回ご紹介する隔離ソリューションの「隔離」とは、感染端末をネットワーク的に切り離すことを指します。始めに「感染端末をネットワーク的に隔離できる装置は何なのか」について考えてみます。まずはセキュリティデバイス自身です。
セキュリティデバイスが次世代ファイアウォールだった場合、C&Cトラフィックを検知して、内部に感染端末の存在を確認した際に、その感染端末からのインターネットアクセスをブロックすることで、ネットワーク的に隔離し、機密情報の漏えいを防ぎます。しかしこれだけだと、その端末からの内部感染の拡大を防ぐことはできません。
インターネットの出入り口に配置された次世代ファイアウォールでは、内部の横の広がりを止めることはできません。そこで登場するのが「SDNコントローラ/スイッチ」との連携による隔離ソリューションです。この組み合わせで制御すれば、内部感染の拡大を防ぐことが可能です。
またセキュリティデバイスが内部対策ソリューションの場合も、同様に「SDNコントローラ/スイッチ」の連携により、自動隔離を実現できます。今日、自動隔離ソリューションを実現するために、各セキュリティベンダーがさまざまなスイッチベンダーとの連携ソリューションを提供しています。まずは自社で使用するセキュリティデバイスを軸に、検討するところから始めましょう。
隔離の方針
実際に自動隔離のソリューションを使い始める前に考えておきたいのが「隔離の方針」です。以下のような複数の案を事前に考え、管理者は自社に適した方針を決めてから実施した方がいいでしょう。
隔離の方針案
- 「既に感染した可能性が高い端末が存在する場合」に隔離
- 「感染する可能性がある場合」に隔離
- 「何がしかのインシデントが発生した場合」に隔離
例えば最初の「既に感染した可能性が高い端末が存在する場合」に端末を隔離することは、セキュリティデバイスとして次世代ファイアウォールや内部対策ソリューション製品を利用する際の「C&Cサーバへの通信を検知した場合」と言い換えることができます。感染端末が行うC&Cサーバへの特徴的な通信を検知したということは、感染端末が存在するということを意味します。C&C通信のシグネチャにマッチした場合や、httpでC&Cサーバと通信する場合は、ウェブフィルタの機能でC&Cカテゴリのサイトにアクセスした通信として検知できます。
このように方針を決めたら、次は自社のセキュリティデバイスのどのセキュリティ機能での検知が、その方針に当てはまるのかを調べて、以下のような対応表(表1)を作るといいでしょう。