トラフィックに着目し検証・防御・制御サイクルを回せ! キーサイトが提案する新セキュリティ対策

ZDNET Japan Ad Special

2019-07-25 15:00

[PR]6月5日に開催されたZDNet Japan セキュリティ可視化セミナー「セキュリティ新潮流 ブロック至上主義から可視化&即時対応へ」に、キーサイト・テクノロジー イクシアソリューショングループ マーケティングマネージャー 小圷義之氏が登壇。

 6月5日に開催されたZDNet Japan セキュリティ可視化セミナー「セキュリティ新潮流 ブロック至上主義から可視化&即時対応へ」に、キーサイト・テクノロジー イクシアソリューショングループ マーケティングマネージャー 小圷義之氏が登壇。「ネットワークトラフィックに着目したサイバーセキュリティ対策とは ~鍵は「検証、防御、制御」の実施~」と題し、トラフィックに焦点を当てたセキュリティ対策を解説した。

ネットワークトラフィックが増大するなかで注目すべきポイント

キーサイト・テクノロジー 
イクシアソリューショングループ マーケティングマネージャー
小圷義之氏
キーサイト・テクノロジー
イクシアソリューショングループ マーケティングマネージャー
小圷義之氏

 ネットワークトラフィック量の増大やSSL暗号化通信の拡大、業務のクラウド移行など、近年、企業を取り巻くネットワーク環境が大きく変化している。例えば、全世界のIPトラフィックの年平均成長率は2017~2022年で26%(Cisco Systems社調査)であり、インターネットでの暗号化されたトラフィック比率は2018年で50%に達している(Sandvine社調査)。トラフィック量が増えるなかでサイバー攻撃関連の通信も増加の一途だ。ダークネット観測およびハニーポットで捉えた攻撃通信に関して、2018年のIPアドレス当たりの年間総観測パケット数は前年比で1.4倍も増加した(NICTサイバーセキュリティ研究所調査)。

 小圷氏は「このような環境の変化に適したサイバーセキュリティ対策とは何でしょうか。そのヒントがトラフィックに焦点を当てたセキュリティ対策にあります」と説明する。経済産業省が公表している企業経営者向けの「サイバーセキュリティ経営ガイドライン」では、セキュリティ対策をどのように行えばいいかのヒントを探ることができる。

 それによると「多層防御」や「脆弱性診断」「監視・検知」など、セキュリティリスクに対応するための仕組みを構築することに加えて、「問題点の検出と改善」「継続して対応可能な体制(プロセス)の整備」が求められる。

 そのうえで小圷氏は「サイバーセキュリティリスク対策での重要なポイントの一つは、『検証』『防御』『制御』です。検証ではセキュリティアーキテクチャを事前に検証しリスクを判断します。防御では防御効率を高めて運用性を改善します。制御ではトラフィック制御でセキュリティ装置を最大限有効活用します。このサイクルを回すことが重要です」とし、それぞれのフェーズにおける対策を説明した。

「検証」では、セキュリティアーキテクチャの堅牢性をテストする

 「検証」では、さまざまなセキュリティ装置が堅牢かどうか期待した性能が発揮できるかをテストし、評価する。

 具体的には、ファイアウォール装置(FW)、DDoS対策装置、サンドボックス装置などに対して、擬似トラフィックを送信し、堅牢性を検証する。また、IPS装置、DPI装置などについては、検知をすり抜けるマルウェアやさまざまなアプリケーショントラフィックを送信し、きちんと解析、識別できる性能を有するかを確認する。このほか、クレジットカード番号や電話番号、メールアドレスなどの流出リスクを調査するために、これらのデータパターンを含むトラフィックを作成しテストする。

 「検証を実施する際は、検証用に生成したトラフィックをルーターからFW、各種セキュリティ装置、スイッチ、サーバーを通過するように流してツールで動作を確認します。検証に必要な条件は、現実性、多様性、継続性、柔軟性です」(小圷氏)

 現実性とは、不正トラフィックと正常トラフィックが混在する、現実に即したトラフィックであること。多様性とは数多くのアプリケーションや攻撃トラフィックを網羅すること。継続性とは常に最新のアプリケーションと攻撃トラフィックに対応すること。柔軟性とは物理環境でも仮想環境でも検証が可能なことだ。

 こうした条件を満たす製品としてはキーサイトが展開するテストソリューション「BreakingPoint」があり、米国の大手金融機関は同ソリューションを活用し、本番ネットワークに導入する前にセキュリティ装置の検証を行うことで課題を明確化し、解決している。本番環境への導入に先立ちツールを検証することで、大幅なコスト削減を実現しているという。

「防御」では、先回り防御でセキュリティ運用性を向上させる

 「防御」では、「先回り防御」によってセキュリティ運用性を向上させることがポイントだ。セキュリティ運用の現場では、日々発生する大量のセキュリティアラートによって運用性が低下しているケースが見受けられる。米国の調査機関であるPonemon Instituteの調査では、週あたり受信する平均アラート数は1万697通に達するが、マルウェアアラートのうち調査された割合は29%にとどまる。

 「膨大なアラートは、脅威を見逃す可能性を高め、誤検知、重複検知を引き起こすリスクを高めます。確認するための作業負荷も増大します。対策でカギとなるのはトラフィックです」(小圷氏)

  小圷氏によると、インターネットのトラフィックは2種類に大別される。そもそも分析する必要がないトラフィックと、分析が必要なトラフィックだ。分析が必要ないトラフィックとは、悪意のあるIPアドレスからの通信、ハイジャックされたIPアドレスからの通信などだ。一方、分析の必要のあるトラフィックとは、明確に不正ではないIPアドレスからの通信だ。

 「IPフィルタリングを行うことで、分析が不要なトラフィックを出入り口で遮断でき、分析にかける工数を減らせます。IPフィルタリングのメリットは、攻撃や通信が巧妙化・複雑化しても、それらに関係なくブロックできる点です。例えば、不正IPアドレスからの通信の遮断、ボットネット通信の排除、攻撃の標的を探すサービススキャンの回避、不正サイトへのアクセス防止、不正なSSL暗号化通信のブロックなどがあります」(小圷氏)

 IPフィルタリングに関するキーサイトのソリューションには「ThreatARMOR」がある。ユーザー企業のハイパーボックス社では、ThreatARMORにより、IDSの検知数を5分の1に縮小させ、担当者が付加価値の高い業務に専念できるようになったという。

制御: トラフィック制御でセキュリティ装置の負担を減らし最大限に有効活用

 「制御」では、トラフィックの制御を行い、セキュリティ装置の効果を最大限に高め、運用負荷を軽減する。例えば本流のネットワークからSPANポートを用いてトラフィックをコピーして脅威検知を行う場合、もしパケットドロップが発生してパケットの一部でも監視ツールに送信できないと、セキュリティリスクが発生する。攻撃手法の中には、わずか1パケットでも攻撃が可能なもの(例えばShell Shock(CVE-2014-6271)やHeart Bleed(CVE-2014-0160))があり、1パケットのドロップといえども疎かにはできない。こうしたトラフィック取得漏れを防ぐにはネットワークTAPを利用することがポイントだ。

 「ネットワークTAPの特徴は、監視用ポートが2つであること、ネットワーク遅延が発生しないこと、トラフィックの改変を行わないこと、IPアドレスを持たないことなどです。ネットワークTAPの導入でトラフィックを100%監視できます。トラフィックを最適化するネットワークパケットブローカーと合わせて導入することがポイントです」(小圷氏)

 ユーザー企業のカブドットコム証券ではキーサイトのネットワークTAPとパケットブローカーを導入し、監視や調査にかかる負荷を大幅に削減、サービスを止めることなく新しいセキュリティ対策を実施できるようにした。

 また、プライベートクラウド環境でのトラフィック監視については、キーサイトの仮想ネットワークTAPや仮想パケットブローカーが活用できる。さらに、AWSやMicrosoft Azureなどのパブリッククラウド環境では、Dockerコンテナを活用したキーサイトによるトラフィック監視ソリューションを紹介した。

 最後に小圷氏は「検証、防御、制御のサイクルをまわすことで、リスクを軽減していってください」と述べ、講演を締めくくった。

ZDNET Japan 記事を毎朝メールでまとめ読み(登録無料)

ZDNET Japan クイックポール

自社にとって最大のセキュリティ脅威は何ですか

NEWSLETTERS

エンタープライズ・コンピューティングの最前線を配信

ZDNET Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]