自動隔離の仕組み
最後に、次世代ファイアウォール、ならびに内部対策ソリューション製品と「SDNコントローラ/スイッチ」の連携の仕組みを紹介します。連携の仕組みは共に同じで、セキュリティデバイスで脅威を検知した際、その検知ログをSyslogでコントローラに転送するものです(図2および図3)。
通常セキュリティデバイスは、検知ログをSyslogでSIEMに転送し、SIEM側でログの長期保存や相関分析を行ったりします。このログ転送の仕組みを使って、セキュリティデバイスは連携相手に検知ログを送信します。連携相手の機器はSyslogサーバになれるようになっていて、受信したログから感染端末のIPアドレスを抽出します。このIPアドレスの情報をエッジスイッチに共有し、そのIPアドレスからの通信ができないようにトラフィックをブロックすることでネットワーク的に隔離します。
セキュリティデバイスの連携相手は「SDNコントローラ/スイッチ」だけでなく、IT資産管理ソフトでも可能です。IT資産管理ソフトであれば、各端末にエージェントがインストールされているので、エージェントが外部への通信をブロックすることでネットワーク的に隔離します。この際、端末を隔離した旨のメッセージをユーザー側にポップアップで知らせる機能を持つソリューションもあり、この場合は、ユーザーへの通知をアナログな手法で実施しなくてもよくなります。
まとめ
セキュリティデバイスで脅威を検知したら、まず端末を自動的に隔離して、情報漏洩のリスクを排除し、インシデント対応の時間をかせぐことは情報漏洩対策において非常に有効な手段になります。
今お使いのセキュリティデバイスと他の機器を連携させて、このような隔離ソリューションを実施できれば、大きなネットワーク変更もなくセキュリティレベルを向上させることができるため、是非検討いただきたいです。
- 大友 信幸
- パロアルトネットワークス株式会社 システムズエンジニア
- ロードバランサの外資系ベンダーにて、代理店担当のSEとして代理店と供に製品の拡販活動に従事した後、2011年よりパロアルトネットワークスに参加。同社でも同様の職に従事し、同社が提唱するセキュリティ基盤のコンセプトである「次世代セキュリティプラットフォーム」の普及に尽力している。
