メディカル・データ・ビジョン(MDV)は、標的型攻撃対策として、「FireEye NX」と「BIG-IP」を連携させたソリューションを導入し、SSLで隠蔽された攻撃もパフォーマンスを低下させることなく検知・遮断できる環境を構築した。
最近の標的型攻撃ではSSLで通信を隠蔽していることが多い。その対策として、SSL通信の復号・暗号化処理を行うと、システム全体のパフォーマンスが著しく低下することがある。
今回導入したソリューションでは、ファイアウォールの前段にインラインモードでロード バランサ製品であるBIG-IPを設置、SSLOrchestratorの機能を追加している。アウトバウンドのSSLを利用した通信をここで復号した上で、ネットワークセキュリティ製品のFireEye NXへ送り、チェックされた通信を再びSSL化している。
システム概要
MDVは、医療データ利用ビジネスを展開する企業で、2017年11月末時点で2080万人のデータを蓄積している。標的型攻撃の急増に対応するため、SSLで通信を隠蔽した攻撃を迅速に察知・処理でき、しかも、ネットワークパフォーマンスを低下させない環境構築を目指していた。
その後、FireEye NXの導入パートナーとなった東京エレクトロンデバイスの提案により、今回のFireEye NXとBIG-IPを連携させた仕組みを採用した。
FireEye NXとBIG-IPを組み合わることで、ファイアウォールだけでは検知できないC&CサーバなどへのSSL通信を、短時間で検知できるようになった。仮にマルウェアが社内システムに侵入したとしても、その後の通信からマルウェアの存在を検出し、早い段階で対処できる。MDVでは今後、社内CSIRTの設置も進めている。
また、BIG-IPは通信ログを取得でき、それを外部のログ管理システムに転送することもできるため、デジタルフォレンジックに活用することも視野に入れているという。さらにMDVでは、標的型攻撃に早期対応が行えるようになったことで、これまで築いた病院との信頼関係も維持しやすくなったとしている。
