セキュリティセンサー化するネットワーク 脅威に目を光らせて自動対応 従来のセキュリティ対策には限界がある。出入口対策から漏れてしまった未知の脅威や内部犯行に対応するのが難しいからだ。そこで、シスコが提案するのがネットワーク全体で防御する対策だ。全ネットワークトラフィックを可視化して、そこに潜む怪しいふるまいを検知。さらには、脅威の封じ込めまでを自動化する。このセキュリティの新提案に大きな注目が集まっている。

従来のセキュリティ対策だけでは、
もはや通用しない時代に

 国宝に指定されている彦根城や、公式キャラクターの「ひこにゃん」で知られる彦根市。滋賀県の東北部に位置する人口約11万人の都市である。

 マイナンバー制度の施行もあり、自治体におけるセキュリティの強化は、より重要なテーマとなっている。彦根市もまた、セキュリティ強化の必要性を感じていた。

彦根市役所 企画振興部情報政策課 課長補佐 杉本 昭 氏

 「年々、悪質化、巧妙化するサイバー攻撃から情報を守るのは容易ではありません。庁内ネットワークの出入口にはUTMを設置し、端末にはアンチウイルスソフトをインストールしていましたが、もはや、出入口とエンドポイントの対策だけで侵入を防ぐのは難しく、侵入された後、どう対応するかを前提とした取り組みが必要になってきています」と彦根市役所 企画振興部情報政策課で課長補佐を務める杉本 昭氏は話す。

 また、彦根市のIT環境が抱える問題もあった。 拠点の追加など、必要に応じて段階的にネットワークを「つぎはぎ」に追加したり、変更したりしてきた結果、構成が複雑化。ネットワークが「ブラックボックス化」してしまっていたのである。

 「数年に1度、異動がある職員では、到底、把握しきれない状況になっていました。結果、セキュリティインシデントが発生しても、どこで、何が起こっているのかがすぐにはわからず、感染源の特定に非常に時間がかかっていたのです」と彦根市役所 企画振興部情報政策課 主任の山本 恭裕氏は説明する。

 システム運用に関わる人員には限りがあることから、安全性はもちろん、こうした管理負担をいかに軽減するかも大きな課題となっていたという。

ネットワーク機器がトラフィックを見張り、
脅威を見つけ出す

 これらの課題を解決するために彦根市が取り組んだのが、ネットワークの再構築・統合、そして、これまでにはない新たなセキュリティ対策の導入だ。

彦根市役所 企画振興部情報政策課 主任 山本 恭裕 氏

 採用したのは、シスコのソリューションである。

 「まず、つぎはぎだったネットワークを物理的に統合。その上でCisco Catalyst 4500が実装しているルータを仮想的に分割する機能『VRF(Virtual Routing and Forwarding)』を活用して、インターネットに接続可能な領域、マイナンバーなどの重要情報を扱うことからインターネットからは分離しなければならない領域と、論理的にネットワークセグメントを分割。ネットワーク構成をシンプルにしました」と山本氏は説明する。

 このネットワークを生かし、新たなセキュリティ対策として導入したのが、ネットワーク自体がそこに潜む脅威を見つけ出す「Network as a Sensor」というソリューションと、マルウェア対策製品「Cisco AMP(Advanced Malware Protection)」である。

 Network as a Sensorは、Cisco Catalystに搭載された「Flexible NetFlow」が全トラフィックを可視化。そのトラフィックに対して「Cisco StealthWatch」という製品がふるまい分析を行い、脅威の分析と検知を実行する。彦根市では、ここに認証、アクセス管理などを行う「Cisco ISE(Identity Services Engine)」も組み合わせることで、検出した疑わしいトラフィックが「どの端末」の「どのユーザー」によるものなのかも即座にわかるようにした。これにより、脅威が侵入してしまった際にも迅速な対応が可能になる。

 脅威の可視化を担うNetwork as a Sensorソリューションに対し、Cisco AMPは、実際のマルウェア対策を担う。彦根市は、ゲートウェイ型のCisco AMPを採用し、通過するトラフィックに対してマルウェアの検出とブロックを実行している。

 このCisco AMPは、セキュリティ インテリジェンス&リサーチ グループ(Talos)を中心とした、世界最大級の脅威インテリジェンス基盤と連携することで、世界有数の検知率を実現。攻撃前、攻撃中、攻撃後というサイバー攻撃の一連のサイクルに対応し、標的型攻撃や未知の脅威、ゼロデイ攻撃などからシステムを保護することができる。

ログを分析しなくても、
何が起こっているかがすぐにわかる

図:彦根市が構築した新ネットワークとセキュリティシステム 図:彦根市が構築した新ネットワークとセキュリティシステム ネットワークの入口でマルウェア防御を行うとともに、ネットワークそのものをセキュリティセンサーとして機能させ、あやしいふるまいを検知する。これによってセキュリティ脅威の影響を最小化し、問題発生時の対応も迅速化できる  彦根市が行ったネットワークの統合、セキュリティ対策の強化は、様々な成果につながっている。

 まず、あげられるのがセキュリティ監視の自動化だ。

 「ネットワークがトラフィックを自動監視して、設定したしきい値に応じて警告を発してくれる。分析結果もGUIに非常にわかりやすく表示され、ログを解析せずとも、今、何が起こっているのかをすぐに把握できる。まさに侵入された後のことを考えた仕組みです。セキュリティ強化だけでなく、管理負荷の低減につながっています」(杉本氏)

 また、脅威が侵入した際に、どこに、どんな方法で侵入したのかをすぐに明らかにできることも大きな成果である。

 「エンドポイントでふるまい検知をする製品もありますが、それでは、侵入ルートなどまではわかりません。最終的には、どんな操作を行ったのかユーザーにヒアリングすることになります。一方、ネットワークをベースとするNetwork as a Sensorソリューションなら、攻撃ルートを把握して、すぐに対策を検討することができます」と山本氏は話す。

 よりきめ細かいアクセス制御が可能になった点に対する期待も大きい。

 ネットワーク内には、セキュリティレベルの異なる複数のサーバーがある。例えば、戸籍システムと住民情報システムでは、戸籍システムの方がはるかにセキュリティ要件は高い。そこで、ISEでアイデンティティ管理を行い、どのサーバーへのアクセスを許可するのかを設定しておけば、このようなシステムへの不正アクセスも防ぐことができる。

 このように、彦根市はシスコの製品とソリューションを駆使して、セキュリティにおける課題を克服した。「全てをシスコ1社で実現できたことも、大きなメリット」だと杉本氏は言う。全て1社の製品で構成するとベンダーロックインを心配する声もあるが、彦根市は、シスコ製品については当てはまらないと考えているという。

 「複数ベンダーの製品を組み合わせたシステムは、どうしてもインテグレーションによってカバーする範囲が大きくなり、結果として構築したパートナーへの依存度が高くなりがちです。一方、シスコで統一しておけば、複雑なインテグレーションは不要な上、シスコ製品の知識を持っているどのパートナーでも対応できます。シスコ製品を取り扱っているパートナーの数の多さを考えればロックインを心配する必要はありません」

 シンプルかつセキュアなネットワークは、新たなIT活用にもつながっており、様々な施策が検討されている。例えば、市民と職員の遠隔コミュニケーションを支えるテレプレゼンスを核としたシステムのほか、Cisco ISEの機能を活用したBYODの実現も検討している。

「今回実現した安全性の高い環境でITを積極的に活用し、彦根市をさらに魅力ある市にしていきたいと考えています」と杉本氏は最後に意気込みを語った。
User Profile
ひこにゃん
彦根市
人口
112,734人(2016年7月31日現在)
市役所所在地
滋賀県彦根市元町4-2
市役所職員数
1,552人(2016年4月1日現在)

http://www.city.hikone.shiga.jp/

琵琶湖東北部の中核都市として発展。江戸時代には35万石の彦根藩として栄えた。貴重な歴史遺産を数多く持ち、観光客も数多く訪れる。

お問い合わせ
シスコシステムズ合同会社
〒107-6227 東京都港区赤坂9-7-1 ミッドタウン
URL:http://www.cisco.com/jp/go/security