情報セキュリティマネジメントSummit
2019 Winter Review

開催日:2019年12月4日 会場:ホテル雅叙園東京

キーサイト・テクノロジー

事前準備で差をつけるサイバーセキュリティ対策
~検証と防御の視点を中心に~

事前準備を行っているかどうかで、サイバーセキュリティ対策の強度は大きく変わってくる。事前にしっかりとした準備を行うことで脅威の発生を少なくすることができ、発生した場合も十分な対応を取れる余裕が生まれるのだ。ここでは、事前準備の考え方を検証と防御の視点で考え、対策を行うことに焦点を絞る。

キーサイト・テクノロジー イクシアソリューショングループ 小圷 義之 氏 キーサイト・テクノロジー イクシアソリューショングループ 小圷 義之 氏

キーサイト・テクノロジー

イクシアソリューショングループ

小圷 義之

事前準備の重要性と多層防御のポイント

 事前準備と事後対策は密接につながっており、事前準備によって事後対策の難易度が大きく変わってくると小圷氏は説明する。サイバーインシデントレスポンス(CIR)の6つのプロセスの最初となる「準備」の段階でしっかりとした対策を行うことで、その後の「特定」や「封じ込め」段階での対応がしやすくなる。

 準備にはさまざまなものがあるが、小圷氏はその中から代表的なものをいくつかピックアップして紹介した。

 そのうちの一つが、多層防御によるリスク軽減だ。サイバー攻撃が複数の侵入経路から行われる今日では、多層防御は攻撃成功の可能性を減らす手段として有効策の一つだ。多層防御手法の一つがIPフィルタリングソリューションだ。これは不正なIPアドレスを持つ通信を分析不要な通信としてブロックすることで、セキュリティインフラの負荷を低減しながらセキュリティを強化するものだ。IPフィルタリングに特化したアプライアンスであるThreatARMORは、不正なIPアドレスからの通信をファイアウォールの前段でブロックするだけでなく、内部からの不正なIPアドレスへの通信もブロックして、入口出口対策が行える。ブロックの判断は内蔵のブラックリストで行われる。ThreatARMORは専用アプライアンスとして桁違いのIPフィルタリング機能を備えており、ファイアウォール装置の負担も軽減する。ブラックリストは、ATIリサーチセンター(キーサイトのセキュリティとアプリケーションに関する研究開発組織)により、10分間隔で自動更新される。ThreatARMORを導入したホスティング事業者では、IDSによる検知数が導入前と比較して1/5になり、対応時間が大幅に減少し、付加価値の高い業務により時間を割けるようになったという。

先回り防御でセキュリティ運用効率をアップ

ファイアウォールの前でIPフィルタリングを行うことでセキュリティ運用の負荷を下げ、入口出口対策を強化できる

画像を拡大する

セキュリティ検証

 続いて小圷氏は、セキュリティテストによる堅牢性検証の重要性を説く。ここで言及するセキュリティテストとは、ファイアウォールやIPS装置、DDoS攻撃対策装置などのセキュリティ機器に対して疑似トラフィックを流すことで、堅牢性やパフォーマンスを確認することを指す。たとえば、同じ次世代ファイアウォールでも、メーカーにより検知できる攻撃トラフィックの種類や数に違いが出る。機器の特性を見極めて自社の環境に適した導入を判断するのにセキュリティテストは有効だ。その際、実環境に合わせたテストが必要になるため、現実に即したトラフィックの生成(攻撃トラフィックと正常なトラフィックの混在)も重要だ。

 キーサイト・テクノロジーのBreakingPointは、こうした現実に即したトラフィックをセキュリティ装置に対して流して、装置の堅牢性やパフォーマンス検証を可能にする。マルウエアなどの攻撃は日々進化しており、常に最新の状態でテストする必要がある。そのため、攻撃・正常トラフィックの定義ファイルは、前述のATIリサーチセンター経由で2週間ごとに更新する。米国の大手金融機関では、BreakingPointを活用して各種セキュリティ装置の動作を実ネットワークに導入する前に検証することによって、課題や不具合を事前に洗い出すことができた。そしてアーキテクチャを調整して最適化したうえで本番ネットワークに導入することで、トラブルシューティング時間やコストを大幅に削減することに成功した。

ポートミラーリングの見直しとモニターポイントの統合と最適化

 次の事前準備は、モニタリング環境の強化に関する項目だ。まず、脅威の検知漏れを防ぐという観点では、SPANポートによるポートミラーリングの見直しを行うことが重要だ。SPANポートでは、トラフィックを100%コピーできるとは限らないと小圷氏は説明する。たとえば、トラフィックの量が増えてくると、セキュリティ装置にコピーするポート数が一つしかないSPANポートでは、パケットドロップが発生する可能性がある。一方、コピーするポート数が二つあるネットワークTAPを活用すれば、すべてのパケットをキャプチャでき、脅威の見逃しを防ぐことができる。

 次に検討すべきは、モニターポイントの統合と最適化だ。監視すべきトラフィックが増えて、モニターポイントが多くなり、ネットワークインフラが複雑化してしまうと、SPANポートが不足したり、装置側のポート数が監視ポイント数よりも少なくなってしまうケースがある。また、重複パケットなどの不要なトラフィックが発生したり、装置の数が増えて設定や管理に手間がかかってしまうことも考えられるだろう。

 このような課題に対しては、モニタリングネットワークとツールの間にネットワークパケットブローカーを設置することが有効だと小圷氏は説明する。ネットワークパケットブローカーは、ネットワークを流れるトラフィックを一つに集約してさまざまな処理(フィルタリング、ロードバランシング、コピーなど)を行い、複数の装置に対して最適なトラフィック転送を行うためのアプライアンスだ。装置の種類や帯域に対して柔軟に設置することができ、速度の違いを吸収したり、必要なデータだけを転送するように制御することができる。

モニターポイントの統合と最適化

複雑化したネットワークにネットワークパケットブローカーを導入することでモニターポイントの統合と強化を行う

画像を拡大する

 キーサイト・テクノロジーがInteropで示したユースケースでは、サンドボックス装置、フローコレクターとネットワークパケットブローカーとの連携デモを紹介した。ネットワークパケットブローカーがトラフィックをNetFlowに変換してフローコレクターに引き渡すことで、サンドボックス装置による脅威の可視化を支援したという内容だ。

 また、ネットワークパケットブローカーとネットワークTAPを導入した国内大手のネット証券会社では、サービスに影響を与えることなく最新のセキュリティ対策導入とセキュリティ対策強化を実現できたと小圷氏は説明する。パケットブローカー導入以前は、セキュリティ装置をネットワークに導入する際は休日などのタイミングで、短時間で終えられるように神経を使っていたが、そうした課題が解決され、新しい技術をサービスに影響を与えることなく導入することができるようになった。

 小圷氏は最後に、準備の成否がその後の対処に大きく影響するということを再び強調し、IPフィルタリング、セキュリティ検証、ポートミラーリングの見直し、モニターポイントの統合と最適化などを行うことで、サイバーセキュリティ対策の強化が行えると説明する。また、準備、検知・分析、封じ込め・根絶・回復、インシデント後の活動の各フェーズで知見の蓄積と改善を繰り返し、PDCAサイクルを回していくことが重要であるとした。

お問い合わせ先

情報セキュリティマネジメントSummit
2019 Winter Review

- INDEX -

お問い合わせ先

キーサイト・テクノロジー株式会社

お問い合わせURL

URL ● https://www.keysight.com/jp/ja/home.html

お問い合わせはこちら

このページのトップに戻る