いまさら聞けない！ ネットワーク管理者のためのセキュリティ講座【前編】 巧妙化するサイバー攻撃から企業を守るには？

IT部門のネットワーク管理者にとって、ネットワークのセキュリティ対策は決して避けて通ることのできない重要なミッションの一つであり、セキュリティを意識しない業務はあり得ません。しかし、企業全体で取り組むセキュリティの観点から、ネットワーク管理者が担うべき責任範囲は必ずしも明確ではなく、どこからどこまでの範囲でどんな対策を講じればよいのか分からないという声も聞こえてきます。本稿では、ネットワーク管理者が取り組むべきセキュリティ対策について考えてみます。

サイバー攻撃の増大で、重要度が高まるネットワークセキュリティ

企業が取り組むべきセキュリティの施策には、多種多様な種類があります。オフィスの入退室管理、防犯目的の監視カメラ、書類保管庫の施錠、PCの持ち出しを防ぐワイヤーロックといった物理的なセキュリティもあれば、システムへのアクセスを制限する認証・ID管理、紛失・盗難や内部不正に備えたクライアント管理といった情報セキュリティもあります。その中でも、特に重要度が高いと言えるのが、ネットワークセキュリティです。

独立行政法人情報処理推進機構（IPA）が毎年発行する「情報セキュリティ10大脅威」によると、ここ数年は「標的型攻撃による被害」「ビジネスメール詐欺による被害」「ランサムウェアによる被害」が脅威の上位に挙がっています。このほか順位に変動はあるものの、「サービス妨害攻撃によるサービスの停止」「インターネットサービスからの個人情報の窃取」「IoT機器の脆弱性の顕在化」などの脅威も含まれています。これらの脅威に共通しているのはネットワークが経路となっているという点であり、それだけネットワークセキュリティには十分な対策を講じる必要があるわけです。

もちろん、ネットワークセキュリティを強化するために、どの企業でもマルウェア対策、情報漏えい対策、サービス妨害攻撃対策などの役割を果たすセキュリティソリューションを導入しています。例えば、内部ネットワークとインターネットの境界にあたるゲートウェイにファイアウォール、サーバーやクライアントなどのエンドポイントを保護するマルウェア対策ソフトウェアなどは、どの企業にも必ず導入されていると言って良いでしょう。また、ファイアウォールをベースにしたUTM（統合脅威管理）製品が普及し、サービス妨害攻撃を検知・防御するIDS/IPS（不正侵入検知／防御システム）、Webアプリケーションを識別して制御するWAF（Webアプリケーション ファイアウォール）なども使われています。さらに、外部のクラウドサービスを管理するCASB（クラウド アクセス セキュリティ ブローカー）、スマートフォンやノートパソコンなど社外に持ち出す端末を管理するMDM（モバイル デバイス管理）が導入されるケースも増えてきました。

複雑化したネットワークセキュリティの課題

これらのソリューションはいずれもネットワークに接続、またはネットワークに組み込んで利用するため、ソリューションの選定にあたってはネットワーク管理者も何らかの形で関与したはずです。しかしそれぞれの課題解決を目的に、優先順位の高いソリューションから順次導入していったために、気が付いたときにはネットワークセキュリティが複雑化した状態になってしまったということもあるでしょう。

特に最近は、パターンマッチングでは排除できない新種・亜種のゼロデイ攻撃が続々と出現したり、正常な取引を装ったメールを送りつけてきたりと標的型攻撃の手口がより巧妙になり、従来のセキュリティ ソリューションでは防御しきれなくなりつつあります。いざ何らかのセキュリティインシデントが発生したときに見るべきポイントがあまりにも多く、切り分けや原因究明に時間がかかって迅速な対応が難しいという課題にも直面しています。

このように複雑化したネットワークセキュリティを改善し、ネットワーク管理者の業務負荷を軽減するにはどうすればよいのでしょうか。一つのヒントとして、一般社団法人JPCERTコーディネーションセンターが発行した「高度サイバー攻撃（APT）への備えと対応ガイド ～ 企業や組織に薦める一連のプロセスについて」というセキュリティ ガイドラインを参考にするという方法があります。

このドキュメントには、高度サイバー攻撃（APT）は「準備」「潜入」「横断的侵害」「活動」の4段階に分かれており、「最初の侵入を検知できない場合、攻撃者の活動を見失う課題がある」とされています。さらにゲートウェイで攻撃が検知できなかった場合、どうやって攻撃者の活動を検知すればよいのか、「脅威に侵入されることを前提とした対策」を求めています。その対策のベスト プラクティスとして示されているのが「センサーを使ったネットワーク モニタリングの設置」であり、同時にネットワークから取得可能なログを保持しておく必要性が記載されています。

ネットワーク管理者が考慮すべきセキュリティ対策、「NaaS (Network as a Sensor)」とは

このガイドラインを踏まえながら、ネットワーク管理者が考慮すべきセキュリティをもう一度考えてみましょう。

ネットワークデザインが専門分野のネットワーク管理者ならば、すでに理解していると思いますが、セキュリティを強化したネットワーク基盤の構築はネットワークを設計する段階から始まっています。ガイドラインでは「脅威に侵入されることを前提とした対策」のベストプラクティスとして「センサーを使ったネットワークモニタリングの設置」を示しています。同様の仕組みは、ネットワークのパフォーマンスを維持するためにトラフィック監視という形で従来から利用しているはずです。これまではインターフェイスのトラフィック流量を取得・グラフ化して帯域を見るといった程度でした。しかし近年は、アプリケーションの種別を分類したうえでトラフィック流量が分かるようになっています。

こうしたトラフィックをネットワークのフロー情報として効率的に収集・可視化する仕組みを取り入れ、アプリケーション種別だけでなく順序や送受信容量などを分析できれば、怪しい振る舞いをするトラフィックやデバイスを見つけることが可能です。つまり従来は、単なるデータが流れる "土管" のような役割を果たすだけだったネットワークを、脅威を検知するセンサーのように利用できるようになったわけです。

ただし、フロー情報を効率的に収集して脅威を検知するには、フロー分析技術が欠かせません。このフロー分析技術は、ネットワークの各ポイントにおける情報を収集するのではなく、ネットワーク全体を「面」としてとらえて情報を収集します。この面の対策が非常に重要になります。

例えば内部から外部への通信であれば、ゲートウェイのDPI（ディープ パケット インスペクション）などの機能を利用して詳細に分析できます。しかし、ゼロデイ攻撃を完全に防ぎきることはできないし、ゲートウェイを通らない通信に対しては何の効力も持ちません。このようなゲートウェイを越えて侵入してきた脅威を見つけるには、情報収集が必要になります。

さらにガイドラインではログの保持についても言及されていますが、その中にフロー情報のログも含まれています。このフロー情報には、IPパケットのペイロード（正味データ）が含まれていないので、セキュリティ分析の点では限定された情報しか提供されません。しかしながら、より詳細な調査・究明へのスタートポイントを迅速に提供することが可能になります。実はこの部分は、攻撃を受けた際の初動対応を早めてインシデントの発生を未然に防ぐためにも、非常に重要です。

では、具体的にはどのようなソリューションを導入すればよいのでしょうか。後編では、ネットワンシステムズが提案する「NaaS」などのソリューションについて、導入事例を交えながら紹介します。

• 後編を読む

ナレッジセンターを検索する