It is the top of the page

Link for moving within the page
To text (c)

このウェブサイトではサイトの利便性の向上のためにクッキーを利用します。サイトの閲覧を続行されるには、クッキーの使用にご同意いただきますようお願いします。
お客様のブラウザの設定によりクッキーの機能を無効にすることもできます。詳細はこちら

The main part starts here.

  1. ナレッジセンター
  2. 匠コラム

IoT セキュリティ ~ NGFW でデバイス可視化~

匠コラム
データ利活用
セキュリティ
IOT
可視化

ビジネス開発本部 第1応用技術部
セキュリティチーム
河本 陽

はじめに

 近年、「超高速・超低遅延・多数同時接続」の特徴を持った 5G(第 5 世代移動通信システム)の普及が進み始めております。これにより、これまでインターネット等のネットワークに接続していなかった機器が通信機能をもち、ネットワークに接続して動作させる IoTInternet of Things)が多くの注目を集めております。IoT の市場予測として、総務省の「情報通信白書」では、世界の IoT デバイスは 2022 年に 348 億台に達するとされております。IoT によって新規にネットワークに接続される機器の多くは、スタンドアロンで動作することが前提で、ハードウェアによる制御や機器内に閉じた回線を通した制御を実施するものでした。そのため、セキュリティの脆弱性を持ったデバイスも多く存在し、IoTデバイスを狙ったサイバー攻撃の脅威が増大することが懸念されます。我々はIoTを利活用するにあたって、IoT システムやこれを利用したサービス特有の性質を踏まえたセキュリティ対策について検討していかなければなりません。

 本コラムでは、IoT セキュリティを始めるために効果的なソリューションの1つとして、Palo Alto Networks PA シリーズの IoT Security Subscription を用いた方法について紹介します。

なぜ IoT にセキュリティ対策が必要なのか

 IoT デバイスが攻撃者に狙われやすい理由は、IoT ネットワークには次のような脆弱性を持ったデバイスが多く存在するためです。

  • ポート番号 23 または 2323 telnet が動作している
  • ユーザ名、パスワードが初期値のまま動作している
  • ソフトウェアが最新の状態に更新されていない

 Flashpoint 社の調査によると上記の条件を満たす IoT デバイスが世界中に少なくとも 51 5 千台以上発見されています。IoT デバイスがマルウェア感染や乗っ取りをされてしまうと、さらにそのデバイスを悪用した DDoS 攻撃等でネットワーク全体に影響が波及する恐れがあります。

図1. ログイン情報が初期設定のままの IoT 機器が狙われるイメージ=IPA のWebサイトより

 このようなサイバー攻撃に対するリスクを低減するためには 、IoT ネットワークに存在する脆弱性のあるデバイスに、セキュリティ対策を施す必要があります。ただし、IoT デバイスの特性上、個々のデバイスにエージェント型セキュリティ製品をインストールすることは困難であるケースが多く、エージェントレスでの対策が求められています。

IoT へのセキュリティ対策の進め方

 サイバー攻撃のリスクを低減するためには、IoT デバイスを接続する際に脆弱性の評価をすることが必要不可欠ですが、BYOD など管理されていないデバイスがネットワークに接続するケースも増えてきております。また、非管理端末の接続を全て禁止することは現実的ではありません。そのため、利便性とのバランスをとりながらセキュリティ対策を進めていくことが求められています。IoT セキュリティを進めるためのステップとしては次の通りです。

  • ネットワークに接続するすべてのデバイスの可視化
  • セキュリティリスク分析/検知
  • セキュリティポリシー作成/保護

 その中でもデバイスの可視化のステップは最も重要です。なぜならば、IoT デバイスはシステム管理者でも、どこに何があるかを把握できていないケースが多く、脆弱性を抱えているデバイスの可視化ができていないことが企業にとって大きなリスクとなるためです。

Palo Alto Networks IoT Security Subscription

 本コラムでは IoT セキュリティ対策を進めるためのソリューションの 1 つとして、 Palo Alto Networks 社の IoT Security Subscription を用いた方法を紹介します。Palo Alto Networks 社は 2019 9 月に米国の IoT サイバーセキュリティ企業である Zingbox の買収を完了したことを発表しました。彼らの主製品である Next-Generation Firewall Zingbox IoT セキュリティ機能を取り入れることで、広範囲な接続デバイスの制御や可視化を実現するために、2020 7 月より IoT Security Subscription が提供開始されています。この Subscription を用いることによりエージェントレスで IoT デバイスを可視化することが可能です。また、ネットワークレイヤーからのアプローチにより運用管理者の物理的な負担を減らせます。

図2. IoT Security Subscription イメージ


 デバイス情報の収集はネットワークトラフィックを基にしており、Passive に収集することが可能です。そのため、Active に情報収集するソリューションと比べて、既存のデバイスに悪影響を与えるリスクが低いといえます。

必要なコンポーネントと検証構成

 IoT Security Subscription を活用したセキュリティ対策を実現するために必要なコンポーネントは次の通りです。

  • Next-Generation FirewallIoTセンサ)
  • Cortex Data Lake(ログ収集)
  • IoT Security SubscriptionWeb Console

 Next-Generation Firewall との連携の強みを活かすためには、脅威保護、WildFireURLフィルタリング、DNSセキュリティの Subscription との併用が望ましいでしょう。また、IoT センサが複数台必要な環境下では、管理用アプライアンスである Panorama があると管理が容易になります。

導入の際は 、IoT デバイスの通信トラフィックが Next-Generation Firewall を経由するようにします。特に DHCP のパケットを通すことが重要です。現在の最新 OS である PAN-OS 10.1 では、代表的な配置の仕方として 3 つの方法があります。

① スイッチでミラーポートを作成し、TAP モードで接続する

② インライン構成の vWire モードで接続する

③ L3 モードで DHCP relay agent として構成する

 次に、①の概要構成例を示します。①は既存の通信に全く影響を与えないため、お試しで導入するときに良い配置です。

図3. 概要構成例

 ただし、①は Next-Generation Firewall でのトラフィック制御ができません。従って、本導入の際には②か③の配置が望ましいといえます。また、IoT Security Subscription の操作等は主に IoT Security Portal と呼ばれる WebUI で実施します。Cloud Service を活用するため、Internet 接続環境が必須となります。

IoT デバイスの可視化

 次に実際に検証した 2022 1 月現在の Dashboard 画面を紹介します。

図4. IoT Security Portal Dashboard 画面表示例

 IoT Security Portalへログインすると最初に表示される画面で、以下に関する簡単な値を確認できます。

  • Total Devices:Next Generation Firewallが発見したデバイス数
  • IoT Devices:上記のうちIoTデバイス数(高リスクのデバイスがあれば併せて表示)
  • Applications:デバイスが利用しているアプリケーション種類の数
  • Subnets:管理対象サブネット数
  • Risk Score:検出されたデバイスに対して評価されたリスク点数(100点満点表記)
  • Active Alerts to Date:これまでに発生したアラート数
  • Vulnerabilities to Date:これまでに検知した脆弱性数

 また、縦長のレイアウトになっており、スクロールして以下の情報を確認できます。

  • Devices:デバイスタイプごとのデバイス数とその割合
  • Applications:アプリケーションと利用しているデバイス数
  • Network Segments:サブネットとデバイスタイプごとの利用状況
  • Risk Overview:リスク点数の遷移グラフ
  • Alerts:カテゴリー別の有効アラート数
  • Vulnerabilities:検知した脆弱性数とベンダーごとの該当デバイス数

 文字だけでなく、グラフィカルで視覚的にわかりやすいように構成されています。さらに、可視化されたデバイスのインベントリ情報を一覧で見ることも可能です。

図5. Inventory 画面表示例

 IP アドレス、MAC アドレス、製品ベンダー、使用 OS 等の基本的な情報に加えて、デバイスごとのリスクのスコア等も確認できます。また、事前定義されたカテゴリーにより分類がなされます。運用者が事前定義しなくても、自動的に分類がなされるため、導入から活用までの速度が上がり、使い勝手の良いソリューションになります。各デバイスの詳細な情報が知りたい場合は、一覧から検知デバイスごとのページに飛ぶこともできます。

図6. デバイス詳細画面表示例

 詳細ページでは、一覧でも表示されていた情報に加えて、そのデバイスの振る舞いが正常かどうか、アプリケーションの種類、そしてネットワークの使用状況を確認できます。また、収集したログを分析した結果、リスクがあると判断された場合にはリスクの影響範囲や推奨される対処方法が提示されます。

 このように、ネットワーク接続されているIoTデバイスを可視化することにより、企業にとってのリスクを把握・対処することが可能になります。

おわりに

 Palo Alto Networks 社の IoT Security Subscription を用いることで、IoT ネットワークに接続するデバイスの可視化を実現することが可能です。また、本ソリューションはユーザビリティが高いことが特徴です。デバイスのカテゴライズをある程度は自動で実施できるので、Next-Generation Firewall から情報を正しく input できていれば、主要な機能をすぐに利用可能です。特に、既に Palo Alto Networks 社の Next-Generation Firewall を導入されているお客様におかれましては、既存の機器に Subscription を追加するのみで利用可能になりますので、検討してみてはいかがでしょうか。弊社はこれらを実現するためのソリューション導入のノウハウも豊富に保有しておりますので、ご検討の際は是非とも弊社営業担当までご相談いただければと思います。

 本ソリューションでは、Next-Generation Firewall と連携してセキュリティポリシーを自動で作成し、デバイス単位での制御も可能です。別の Subscription の追加も不要ですので、デバイス可視化の次のステップへもスムーズに移行しやすいことが特徴です。これらの詳細については、別の機会にご紹介します。

執筆者プロフィール

河本 陽

ネットワンシステムズ株式会社 ビジネス開発本部 第1応用技術部 セキュリティチーム所属

ネットワンシステムズに入社し、7年間セールスエンジニアとして公共/中央官庁の顧客担当として経験を積む。2017 年よりネットワーク製品やセキュリティ製品の連携検証や技術支援に従事。

・CCIE RS
・CISSP
・プロジェクトマネージャ(IPA)

Webからのお問い合わせはこちらから

お問い合わせ窓口へ

ピックアップ

セグメンテーションから始めるゼロトラスト

匠コラム

ナレッジセンターを検索する

カテゴリーで検索

タグで検索