ネットワークのセキュリティセンサー化のススメ
1.ネットワークそのものをセンサーにする必要性

ビジネス推進本部 応用技術部
エンタープライズSDNチーム
田中 政満

本連載では、全3回を通して、ネットワークそのものをセキュリティセンサーとするための必要性、センサー化することによるメリット、センサー化に加えたセキュリティ対策について、解説を行います。

連載インデックス
ネットワークのセキュリティセンサー化のススメ

●高度化する攻撃

 以前はネットワーク経由の攻撃といえば、特定のWebサービスをダウンさせる、ページを改ざんする等、サービスを機能停止に追い込むDoS(Denial of Service)攻撃のものが一般的でした。また、ウイルスやワームが添付されたメール等も無差別に送信され、特定の団体、個人を狙ったものではありませんでした。

 現在はこれらの攻撃手法だけでなく、Webサイトの改ざんを応用した水飲み場型攻撃、また、特定の団体や個人を狙った標的型攻撃といったものや、データを人質にとり金銭を要求するランサムウェアが出現するなど、多種多様な攻撃が発見されています。

 この中でも特に注意を行う必要があるのが、標的型攻撃と呼ばれる「ターゲット(攻撃対象者)を絞り、ターゲットに所属しているユーザや機器を対象とした攻撃」です。ターゲットのデータの情報の盗用・消去等を目的とするタイプの攻撃手法です。

 また、標的型攻撃は1回で終わるとは限りません。継続してデータを盗み出す等、単一の攻撃にとどまらないところも特徴があり、このような攻撃は「APT攻撃(Advanced Persistent Threat)」とも呼ばれます。攻撃手法は典型的なメールに加え、水飲み場攻撃やSQLインジェクションやXSS(クロスサイトスクリプティング)などが用いられます。

 APT攻撃のように継続した活動を行う場合、外部との通信はもちろんのこと、横方向への感染(組織内の別端末への脅威の感染)が行われることがあります。

●脅威への対策

 これまで、攻撃を防ぐために一般的に行われていたのは、インターネットとDMZ間、DMZとイントラネット(社内ネットワーク)間にファイヤーウォールや、外部との電子メールのやり取りを監視するメールセキュリティを設置する「ゲートウェイ型」の方法でした。(図1)

図1
図1.ゲートウェイ型のセキュリティ対策

 この方法は外部からの侵入を水際で防ぐためには非常に有効でしたが、その一方でファイヤーウォールやメールセキュリティだけの設置とすると、標的型攻撃に対しては時として無力なケースが有ることも、昨今の高度化する標的型攻撃手法の解析により明らかとなってきました。

 正常な通信の一部であるとファイヤーウォールやメールセキュリティ装置に判別されたり、まだ検知シグネチャに対応していなかったり等の理由で、イントラネット側(社内向き)へ攻撃者のパケットが通過してしまうと、内部の端末やサーバが感染・攻撃されてしまう可能性が出てきます。

 これらのゲートウェイ型セキュリティ機器を運悪くすり抜けてしまい、標的に対して攻撃が成功してしまった場合に備え、管理者はさらに以下のような手段を取る、「多層防御」の考え方を導入する必要が発生します。セキュリティ強度をより高めるためには外部との出入り口の防御ではダメなのです。

 多層防御の考え方では、ゲートウェイ型のセキュリティ対策に加え、エンドポイントでのセキュリティ対策、またネットワーク層でのセキュリティ対策があります。(図2)

図2
図2.多層防御の概念

 このような外部からの標的型攻撃への対策に加え、内部のユーザによる情報漏えいについても対策の必要性が高まってきています。攻撃が外部からではなく内部ユーザの場合、ゲートウェイ型のセキュリティ対策製品では防ぐことができません。このため、イントラネットでの活動についても監視を行う必要性が年々高まってきています。

●ネットワークをセキュリティセンサーにする

 標的型攻撃で、継続的な活動を行うものは外部との通信や、水平方向への通信(横方向への通信)を行うものがあります。また、内部からの情報漏えいについても、サーバからデータを取得したり、外部のサーバにデータを送信したりする活動が見られることから、ネットワーク通信が必ず発生しています。

 必ず発生するネットワーク通信をどのようにして検知するか、その要求に対する答えの一つが「ネットワーク可視化技術を応用した、ネットワーク自身のセキュリティセンサー化」です。ネットワークの通信全体を把握することで、誰が、いつ、どのような通信を行ったか、を定量データとして把握することが可能になります。

 これまではコアスイッチでトラフィックをコピーし、コアスイッチに接続したトラフィック収集装置で通信フローを可視化する、という方法が一般的でしたが、横方向へ展開するタイプの活動を行う攻撃プログラムの場合、コアスイッチを経由しない通信となってしまうため、コアスイッチで通信フローを観測するだけではわかりません。(図3)

図3
図3.トラフィック可視化(コアスイッチのみ)

 そこで、新たな通信フローの可視化技術として「ネットワークを構成しているスイッチそのものでフローを認識」する手法が開発されました。これにより「ネットワークそのものが通信フローを認識し、攻撃者が活動する通信フローを認識」することが可能になりました。(図4)

図4
図4.トラフィック可視化(ネットワーク全体)

 次回は、ネットワークをどのようにしてセキュリティセンサー化させるのか、その技術と構成を踏まえながら紹介を行いたいと思います。

執筆者プロフィール

田中 政満
ネットワンシステムズ株式会社 ビジネス推進本部
応用技術部 エンタープライズSDNチーム
所属

入社以来無線LANの製品担当SEとして製品や技術の調査、検証評価、及び、提案や導入を支援する業務に従事。
現在はキャンパスセキュリティや自動化に力を入れるなど、エンタープライズSDNのエンジニアとして邁進中。
第1回 シスコ テクノロジー論文コンテスト 最優秀賞

イベント/レポート

pagetop