いまさら聞けない! ネットワーク管理者のためのセキュリティ講座【後編】 ネットワークセキュリティの強度を高める2つのソリューション

いまさら聞けない!
ネットワーク管理者のための
セキュリティ講座【後編】


ネットワークセキュリティの強度を高める2つのソリューション

IT部門のネットワーク管理者にとって、ネットワークのセキュリティ対策は決して避けて通ることのできない重要なミッションの一つであり、セキュリティを意識しない業務はあり得ません。しかし、企業全体で取り組むセキュリティの観点から、ネットワーク管理者が担うべき責任範囲は必ずしも明確ではなく、どこからどこまでの範囲でどんな対策を講じればよいのか分からないという声も聞こえてきます。前編ではIT部門が取り組むべきセキュリティ対策について、ネットワーク全体を「面」と捉えてトラフィックの流れ(フロー情報)を収集し、その情報を詳細に分析・可視化することの重要性を説明しました。後編ではそれを踏まえながら、ネットワークセキュリティの強度を高める具体的なソリューションとして、ネットワンシステムズが提案する「NaaS (Network as a Sensor)」「NaaE (Network as an Enforcer)」の2つを紹介します。

Index

ネットワークセンサーにより脅威を可視化。「NaaS」のもつ可能性

サイバー攻撃の脅威からネットワークを守るために、どの企業、組織でも多種多様なセキュリティソリューションを導入しています。しかし、日々高度化・巧妙化する脅威を完全・確実に防御することは難しく、複雑なセキュリティソリューションを組み合わせて運用しながら、インシデントの発生を何とか凌(しの)いでいるというのが実情です。

こうした課題を解決し、ネットワークセキュリティの強度をさらに高めるには、どうすればよいのでしょうか。ネットワンシステムズでは「脅威の可視化」と「ネットワークのセグメント化」の2つの考え方を取り入れることが重要だと考えています。

脅威の可視化とは、一般的に脅威とされるカテゴリーを用意し、対象となる脅威の発生状況を直接かつ数字として見ることができる状態にするということです。それを実現するソリューションが「ネットワークセンサー」と呼ばれるものです。ネットワークセンサーには、たとえば専用アプライアンスを利用してネットワークトラフィックのフロー情報(NetFlow)を抽出・分析するもの、ネットワーク ミラーリング機能を利用してトラフィックを複製・収集して分析するものなどさまざまな製品・サービスが存在しています。

そんなネットワーク センサー領域の一つとして、ネットワンシステムズが提案するのが、シスコシステムズの「NaaS (Network as a Sensor)」です。このソリューションでは、「Cisco Catalyst」スイッチとスイッチ用OS「Cisco IOS」に組み込まれているトラフィック監視機能「Flexible NetFlow」、およびトラフィックを監視して情報を可視化するNetflowコレクターを利用します。Flexible NetFlowによって生成された詳細なトラフィック情報を基に、Netflowコレクターがリアルタイム監視やアラートを組み合わせて分析してネットワーク内部の脅威を “見える化” します。

ネットワークセンサーにより脅威を可視化。「NaaS」のもつ可能性イメージ

このソリューションの特長は、外部から来る未知の脅威だけでなく、ネットワーク内部の感染、内部犯行による情報漏えいなどの怪しい振る舞いを検知できるという点です。また、有線ネットワークだけでなく無線LANにも対応し、サーバーや端末にソフトウェアを追加導入する必要もありません。検疫システムと連動させて利用すれば「誰が」「どんな通信を」というひも付けもできるので、ネットワーク管理者の監視の負荷を軽減し、迅速なインシデント対応を可能にします。他のソリューションと比較すると、最も早期の段階で脅威を防げることが NaaS ソリューションの優位性となります。

ネットワークのセグメント化でセキュリティ強度を高める「NaaE」

もう一つ、ネットワーク セキュリティの強度を高めるソリューションが、シスコシステムズの「NaaE (Network as an Enforcer)」です。このソリューションは、Cisco Catalystスイッチと、ポリシーコントロール製品の「Cisco Identity Services Engine(ISE)」アプライアンスおよびソフトウェア定義型セグメンテーション製品「Cisco TrustSec」を連携させることにより機能します。マイクロセグメンテーション技術を使ってネットワークをセグメント化し、セグメント化したネットワークにはそれぞれにユーザーロールやビジネスニーズに基づくポリシー(アクセス権)を適用します。これにより、攻撃の影響範囲を大幅に縮小し、脅威を封じ込めることが可能になります。

エンフォーサーとは、ネットワークがポリシーに適合しているかを検査し、適合していない場合に強制的にポリシーを適用する仕組みのことです。NaaE の特長は、複数のネットワーク機器の機能を統合し、一つのセキュリティ機器のような働きをするところにあります。これはまさにソフトウェア定義ネットワーク(SDN:Software Defined Network)そのものであり、機器設定に依存しないポリシーを自動適用することでネットワーク管理者の運用負荷は大幅に軽減されます。

また、NaaS と連動させることで、脅威を検知した時点で自動的に脅威を隔離する仕組みを構築することができます。すべてのネットワーク機器からトラフィックのフロー情報を収集し、Netflowコレクターを利用して振る舞いを分析・可視化。それを基に、脅威に侵害された端末の情報をISEに通知すると、ネットワーク機器と連動して該当する端末を隔離します。

ネットワークのセグメント化でセキュリティ強度を高める「NaaE」イメージ

豊富にあるネットワークセキュリティの導入事例

こうしたNaaS と NaaE を組み合わせたシスコのネットワーク セキュリティ ソリューションは、すでに多くの企業・組織に導入されています。たとえば、北日本のある自治体ではシスコのソリューションを導入。NetFlowに準拠している、対応機器の幅が広い、ネットワーク全体の親和性が高い、ネットワーク管理者が扱いやすいというのが導入の理由です。ネットワークに負荷をかけずに精度の高いトラフィックが収集/分析/可視化できるようになり、安心感が増したことを評価しているそうです。

ちなみに、ネットワークセンサーを利用するネットワークセキュリティの方法は他にもあり、ネットワンシステムズでも多くのお客様から相談を受け、導入実績も豊富にあります。共通しているのは、ネットワークセンサーというテクノロジーがネットワーク可視化技術をベースに進化したものであり、既存のネットワーク機器を利用しながらセキュリティ対策に取り組めるということです。こうしたネットワーク セキュリティは、これからトレンドを作っていくものと考えられます。

企業や組織がネットワークを運用する上でセキュリティが重要であることは言うまでもありません。ソリューションを導入する際には、複雑なシステムを必要としないシンプルさ、既存の仕組みでは検知できない脅威に対応している安全性、他のセキュリティ製品と容易に連携できる柔軟性などのポイントに留意する必要があります。さらに並行して考慮すべきなのが、自動化、ポータル化の取り組みです。

これからのネットワーク管理者には、ネットワークをセキュアに保ち、各種製品やサービスを活用してリスクを多角的・包括的に排除するように実装、運用していくことが求められます。そうしたニーズに対し、ネットワンシステムズは、ゲートウェイセキュリティからエンドポイント/モバイルセキュリティ、クラウドセキュリティ、IIoT (インダストリアルIoT)セキュリティに至るまで幅広い領域でお客様の環境をセキュアに保つための支援をしています。今回紹介したネットワークセンサー分野についても、さまざまな製品やサービスを評価、検証し、一部は自社導入してナレッジを蓄積しています。各メーカーとの協業により、最適な導入・運用支援を提供するサービス体制も用意しています。ネットワーク セキュリティについて困り事があれば、ぜひネットワンシステムズにご相談ください。

Webからのお問い合わせ、ご質問はこちらから
お問い合わせ窓口へ

pagetop