CISCO Security Day 2017 Review

2020年を成功させるためのIT 押し寄せるサイバー攻撃から日本を守るには

【Part3】120億ものセキュリティイベントに対応 過去の大会の成功を支えたシスコソリューション

設計から運用まで大会のオペレーションを支えた経験

Cisco Systems Brazil Rio 2016 Project Lead ロドリゴ・ウショア氏
Cisco Systems Brazil Rio 2016 Project Lead ロドリゴ・ウショア氏
シスコシステムズ合同会社 セキュリティエバンジェリスト 西原 敏夫氏
シスコシステムズ合同会社 セキュリティエバンジェリスト 西原 敏夫氏

Part 3は、実際にリオデジャネイロでも活用され、大会を守り、安全な運営に貢献した、テクノロジーの紹介だ。

世界的なスポーツ大会ともなると、競技や結果を管理するシステムはもちろん、事務用ネットワーク、観客やメディア、アスリートをサポートするシステムなど、守る対象は非常に幅広くなる。さらに、インターネットバンキングやeコマースなどのサイバー空間、政府、国の情報インフラ、エネルギー、交通、通信、金融といったクリティカルなインフラも守る必要が出てくる。

対策のカギを握るのがネットワークだ。シスコは、リオデジャネイロにおいて、ネットワークセキュリティに関する複数のソリューションを提供。大会の成功に貢献した。「あらゆる攻撃から大会を守るため、シスコは、ネットワーキングとエンタープライズサーバーの公式サプライヤーとして機器を提供したほか、設計から運用まで大会のオペレーションを支えました」とリオデジャネイロで大会のセキュリティに携わったシスコのロドリゴ・ウショア氏は語る。

シスコがセキュリティ対策において重視しているのが「レジリエンス」である。「レジリエンスとは、回復力、復元力という意味。何かあった際に最短で回復・復元できるようにしておくことが重要なのです」とシスコの西原 敏夫氏は話す。

そして、このレジリエンスを実現するうえで、セキュリティに求められる3つの要件として「シンプル」「オープン」「自動化」の3つを掲げている。

様々な対策製品を導入した結果、企業内のセキュリティ運用は非常に複雑化している。攻撃の手口が巧妙化する中、複雑化した環境で攻撃に対応するのは非常に難しく、シスコの調査では、アラートが上がっても調査を行えたのは約56%にとどまっていたという。一言でいえば、手が回らないわけだ。

この問題を解決するには、セキュリティ運用をシンプルにし、担当者が対応できる「量」を増やす必要がある。そのためには、各製品間で脅威情報を共有するなど、ベンダーの枠を超えたオープンな連携によって、製品ごとに個別に運用しなければならない状況を打破しなければならない。さらに、感染端末はネットワークから自動で隔離するなど、インシデント対応の自動化を進める。そうすることで、担当者のさらなる負荷軽減と適切な初動対応を両立することができる。

シスコは、このような環境の実現を念頭に、製品・ソリューション開発を進めている。


▲TOPへもどる

リオでの実績を東京に生かす

Cisco Systems, Inc. Security and Trust Organization Senior Security Advisor ダグ・デグスター氏
Cisco Systems, Inc. Security and Trust Organization Senior Security Advisor ダグ・デグスター氏

実際にリオデジャネイロで利用されたソリューションの1つに「Cisco Umbrella」がある。

今日のセキュリティにおいて、重要なテーマとなるのがモバイルとクラウドへの対応である。「日本企業のデータトラフィックの25%は、社内に設置したファイアウオールなどのゲートウエイセキュリティを迂回しています。つまり、不正な通信を取り締まるための対策が、十分に効果を発揮できない状況となっているのです。原因となっているのが、モバイルからクラウドに直接アクセスするユーザーの増加です。2016年の段階で、クラウド導入率は前年比で153%増加。75%の企業がハイブリッドクラウド戦略を策定しています」と西原氏は指摘する。

Cisco Umbrellaは、この問題を解決する。ユーザーが社外で直接クラウドにアクセスするようなケースでも、不正な通信を遮断し、ランサムウェアなどの脅威から情報を保護することができるのである。

具体的には、インターネット接続のDNSサーバーアクセス時に防御機能を提供。DNSクエリを受け取った際に、接続先となるドメイン/IPアドレスが危険なものでないかどうかをチェックすることで、ユーザーが社外で直接クラウドにアクセスするようなケースでも、不正なサイトへのアクセスや、不正な通信を遮断したりする。 

過去にさかのぼれること──。「レトロスペクティブ」というテクノロジーを用いたソリューションも活用された。

現在、被害を拡大させている標的型攻撃などは、未知の手法を用いてアタックしてくるケースが多い。こうした脅威は、従来のようなパターンマッチングでは完全に防御するのが難しい。そこで、前述した回復力、復元力が重要となるわけだが、そのためには、侵入後の脅威にもきちんと対処できる環境が必要となる。

侵入時点ではマルウエアと判定できなかったプログラムについても、ネットワーク内での挙動を継続的に監視しておき、のちにマルウエアとわかった時点で過去にさかのぼって追跡調査を行うこともでき、脅威侵入後の被害最小化に貢献する。

ほかにも、シスコは、ネットワークそのものがセンサーとなって、脅威情報を自動収集してふるまいを分析。脅威の種類や通信経路、対象となっている端末の特定などを行える「NetFlow」を中心とした仕組み、大規模DDoSを受けてもサーバーをダウンさせないための技術など、様々な対策を大会運営に提供した。


▲TOPへもどる

人材育成、既存人材のスキル開発に着手すべき

シスコのセキュリティフレームワーク

シスコのセキュリティフレームワーク

サイバー攻撃から復旧、回復する力を高めるためには「人/組織」「プロセス」「テクノロジー」の3方面からの取り組みが必要となる。各領域の具体的な内容は図の通りだ

[画像のクリックで拡大表示]

リオデジャネイロにおいて、セキュリティ・オペレーション・センターのリーダー兼アドバイザーとして、これらシスコのソリューションの有効活用をリードしたシスコのダグ・デグスター氏は「120億ものセキュリティイベントのモニタリング、分析、予兆検知を実施。結果、インシデントの発生を防ぐことができた」と成果を強調する。

その上で、デグスター氏はリオデジャネイロでの経験を踏まえ、今後、重視すべき取り組みについて提言を行った。「まず人材の育成です。セキュリティに関する認識を高めること、また現在の人材のスキルを開発すること。専門家をどのように育成すればよいのか、政府と民間で協力して考えなくてはいけません」(デグスター氏)。

他にも、何が起こっているのかを正確に把握できる仕組みの構築、攻撃を100%回避することは不可能でも影響を低減するための準備、そして、政府機関や金融ISACなどの業界連携の重要性などについて述べた。

実績のあるソリューションを持つ企業として、シスコにかかる期待は大きい。東京においても、安全・安心の実現、大会の成功に大いに貢献してくれるはずだ。


▲TOPへもどる

お問い合わせ

シスコシステムズ合同会社
東京都港区赤坂9-7-1 ミッドタウン・タワー
URL:http://www.cisco.com/jp/go/security