エンドポイントセキュリティとネットワークセキュリティを統合するセキュアパイプソリューション

ビジネス推進本部 応用技術部
コアネットワークチーム
松本 考之

ITインフラにおけるセキュリティ実現方法として、PC等の通信機器にアンチウィルス/アンチマルウェアソフトをインストールするエンドポイントセキュリティと、ネットワークを流れるトラフィックを監視してスパムメールやマルウェアによる不正な通信を検出、防御するネットワークセキュリティの2種類が一般的です。
これらのセキュリティソリューションが普及し、高度化及び複雑化していく中で、異なる方式のセキュリティソリューションを管理運用する際のコスト的、運用的負荷の高騰が問題になってきました。
このコラムではそういった様々なセキュリティソリューションの並行運用から発生するコスト、運用負荷を低減し、即応性の高い新しいセキュアパイプソリューションをご紹介します。

1.エンドポイントセキュリティ

エンドポイントセキュリティは、ITインフラの普及期から利用されてきました。個々の通信機器、すなわちネットワーク的に末端(エンドポイント)でセキュリティ機能を担保するセキュリティソリューションです。
一般的な例では、アンチウィルス/アンチマルウェアソフトウェアをPC等の通信機器にインストールし、それぞれの通信機器毎にウィルスやマルウェアを検出し、ウィルスの駆除や、マルウェアが行う不正な通信を遮断するなどのセキュリティ機能を提供します。(図1)

無題182

   図1:エンドポイントセキュリティとして利用されるアンチウィルスソフトウェア

これらは単純かつ効果の高い方法として、初期のITインフラから活用されてきました。
PC等の通信機器にはUSBや光学ドライブ等、ネットワーク以外の外部入出力インタフェースが搭載されています。
エンドポイントセキュリティは、これらの外部入出力インタフェースを感染経路としたウィルス等にもセキュリティ機能を提供できることが大きなメリットでした。

ただし、末端の通信機器ごとにセキュリティソフトウェアをインストールし、更新作業を行うことはITインフラの規模が大規模化するにつれて、比例的に上昇する管理・運用コストが問題となってきました。

また、末端の通信機器にインストールするという性質上、ユーザがセキュリティソフトウェアの動作に対して無効化などの干渉をしやすい、という根本的な問題が存在しています。

2.ネットワークセキュリティ

エンドポイントセキュリティがPC等の通信機器にセキュリティ機能を提供するのに対し、ネットワークセキュリティは、通信経路上でセキュリティ機能を提供します。
PC等の通信機器からネットワークを利用して送受信される情報は、最終的な通信先である各種サーバや、別の通信機器に到達する前にネットワーク上の集約点を通過します。
集約点の例として、企業ネットワークとISP網を接続するゲートウェイや、コアルータ等があり、この集約点にネットワークセキュリティ装置を設置することで、管理するネットワーク及びそのネットワークを利用する通信機器の通信内容を監視し、必要なセキュリティ機能を提供することができます。
ネットワークの集約点に設置するセキュリティ装置として、ファイアウォールがITインフラの普及期から利用されていましたが、これがネットワークセキュリティ装置の最も一般的な例と言えます。(図2)

無題183

     図2:ネットワークセキュリティとして利用されるファイアウォール装置

ネットワークセキュリティ装置は前述の通り、通信内容を対象としてセキュリティ機能を提供するため、初期はファイアウォール装置として、外部からの不正な通信の防止や、ネットワークの利用目的にそぐわない通信(業務中のSNSや動画、アダルトサイトの閲覧等)を制御する目的で利用されはじめました。

その後、ネットワークを流れるトラフィックの解析技術が向上し、Deep Packet Inspection(DPI)と呼ばれる技術として確立されました。
DPIを用いてトラフィックの内容をより詳細に、より正確に識別し、単なるファイアウォール装置から、アプリケーションごとにトラフィック制御を実施できるIDSや、ネットワークポリシー適用装置として、セキュリティ機能を提供する事ができるようになりました。

DPIがどのようにトラフィックに対して管理者のポリシーを適用できるかは、「DPI入門」(https://www.netone.co.jp/report/column/20150805a.html)を参照してください。

このようなネットワークセキュリティはエンドポイントセキュリティに比べ、セキュリティ装置の設置場所がネットワークの集約点のみとなるため、管理運用コストがエンドポイントセキュリティに比べて大幅に低廉である、という特徴があります。

3.セキュアパイプソリューション

ネットワークセキュリティは、エンドポイントセキュリティと補完関係にあり、様々な製品と技術の組み合わせでセキュリティ機能を提供してきましたが、複数のセキュリティソリューション、複数のセキュリティ装置を運用していくコストは徐々に増大し、新しい脅威に対する即応性の低下も問題となってきました。
そのような状況で、Remote Triggered Black Hole(RTBH)の実装から始まったネットワークセキュリティの一種、クリーンパイプソリューションと呼ばれるセキュリティソリューションが開発されました。
クリーンパイプはネットワークの経路を水道管のような「パイプ」に見立てて、ネットワークそのもの、すなわち「パイプ」そのものをDDoSやマルウェア、スパムメールから防御します。
その結果、通信経路を安全(クリーン)なネットワークとすることで、ネットワークとエンドポイントのセキュリティを確保する概念となりました。(図3)

無題184
      図3:DDoS識別装置を用いたクリーンパイプソリューションの例

この概念はやがてセキュリティ装置が分散設置され、管理コストの上昇が問題となっていたエンドポイントとネットワークセキュリティの諸機能を統合し、さらに新たなセキュリティ脅威に対応できる機能を追加することで、より安全な「パイプ」を提供するセキュアパイプソリューションに進化しました。(図4)

無題185
    図4:オンラインセキュリティ装置と連携するセキュアパイプソリューション

セキュアパイプソリューションでは、不正なトラフィックやDDoS攻撃、マルウェアのC&Cサーバ情報等を収集する観測装置を利用します。
このような観測装置を世界規模でインターネット、プライベートネットワークを問わずに多数設置し、これら観測装置で収集した情報をオンラインセキュリティ装置とよばれる装置で集約します。
セキュアパイプソリューションでは、パイプを提供するセキュリティ装置がこのオンラインセキュリティ装置から様々な脅威情報を受け取り、利用します。
このオンラインセキュリティ装置の利用により、ゼロディ攻撃等の即応性が必要な脅威に対して、いち早く脅威情報を収集し、トラフィックの遮断、利用者への脅威の通知などのセキュリティ機能を提供します。
この即応性の高さがセキュアパイプソリューションの大きな特徴です。

また、セキュアパイプソリューションでは、ネットワークの利用者側に設置するセキュリティ装置と、外部ネットワークに設置するセキュリティ装置を個別に設置し、それぞれがオンラインセキュリティ装置から利用環境に応じたセキュリティ情報を受け取ることで、効率的なセキュリティ機能の提供ができるようになっています。

ユーザとネットワークの両方を守るセキュアパイプソリューション

セキュアパイプソリューションはオンラインセキュリティ装置との連携で、ネットワーク全体を即応性の高いセキュリティ機能で防御します。
ユーザはマルウェアやウィルスからの脅威に対して、いち早く検出、対応を取ることができ、ユーザを守るセキュリティソリューションとしてエンドポイントのセキュリティを大きく確保することが可能になります。

さらに、ネットワークに対してDDoS攻撃やマルウェアによる不正なトラフィック、スパムメールによる不必要なトラフィックの発生を抑制することで、ネットワークに対する攻撃の防御機能を提供することができます。

特にDDoS攻撃やスパムメールの発信元となることは、外部ネットワークに対する攻撃とみなされ、様々なブラックリストへの登録や、ネットワーク事業者の対外的な評価の低下の原因となり、ネットワーク事業者としてサービスを提供する場合に大きなリスクとなります。そのようなリスクの防御装置としてインラインに設置し即応性の高いセキュアパイプソリューションは大きな対抗策となることができます。

まとめ

セキュアパイプソリューションを利用することで、ネットワーク管理者はパイプを構成するセキュリティ装置のメンテナンスに運用負荷を集中させることができます。
エンドポイントセキュリティは依然としてUSB等の外部入出力装置を経由したセキュリティリスクに有効ですが、セキュアパイプではUSB経由で感染したウィルスやマルウェアの通信を検出し、ネットワーク管理者に通知することができます。
このように、末端の通信機器のセキュリティリスクをいち早く管理下に置くことで、該当端末を分離したり、検疫ネットワークに移動したり、等の対応が可能になります。また、ゼロディ攻撃のように、ユーザが認識する時間的余裕が少ない脅威に対しては、観測装置と連携して早期にセキュリティ脅威を認識して対応できるセキュアパイプソリューションが非常に有効です。

ネットワンシステムズでは、さまざまなセキュリティソリューションの一環としてセキュアパイプソリューションを提供する製品やサービスを提供しています。
即応性の高い、エンドポイントを含むネットワーク全体を俯瞰、管理できるセキュアパイプソリューションを検討されてはいかがでしょうか。

イベント/レポート

pagetop