ネットワークのセキュリティセンサー化のススメ
3.センサーだけでは不十分?物理ネットワークでマイクロセグメンテーション

ビジネス推進本部 応用技術部
エンタープライズSDNチーム
田中 政満

本連載では、全3回を通して、ネットワークそのものをセキュリティセンサーとするための必要性、センサー化することによるメリット、センサー化に加えたセキュリティ対策について解説を行います。

連載インデックス
ネットワークのセキュリティセンサー化のススメ

第3回ではセンサー化だけではなく、その先のセキュリティ対策について解説します。

●可視化したフロー情報を利用する

 可視化したトラフィックフローには「送信元/宛先IPアドレス」と「利用しているポートやサービス」等のユーザやアプリケーションがどのような通信を行っていたのかのログが記録されています。
 このフロー情報を以下のようなパターンで分析することにより、不正通信等のセキュリティ上の脅威を発見することが可能になります。

・ボットネットへの通信(C&Cサーバへの通信)
 端末が不正プログラムに感染すると、ボットネットとよばれる攻撃者のネットワークやC&Cサーバ(Command & Control Server)とよばれる攻撃者の制御用サーバに接続しようとします。フローを可視化した際、これらへの通信は宛先IPアドレスとして可視化されます。フローコレクタではこれらの宛先のリストを保持しているため、ボットネットやC&Cサーバへの通信を検出することが可能です。

・特定のパターンのトラフィックを出している
 ポートスキャンや、既知の脆弱性などに対して攻撃を仕掛けようとする場合、特徴的なトラフィックパターンとなることがあります。(例:ポートスキャンのため特定IP宛に大量のTCPパケットを投げる等)

・通常時と異なるトラィックの動作(ふるまい)をしている
 通常のトラフィックとは異なるトラフィックパターンをフローコレクタで検知する方法です。なにをもって通常時と異なると判断するかは製品によって異なります。
 一例としては「学習期間」のようなものを設けて正常時の通信を学習させ、正常時から大きく離れるトラフィックパターンを検出した際にアラートを上げる方法です。この方式の場合、未知の脅威に対応できる可能性もありますが、同時に誤検知の可能性もはらんでいるため、利用の際は複数の機器で検知を確認する、検知した機器をさらに詳細に分析していく等の対策が必要になります。この手法はネットワークビヘイビアアノマリーディテクション(NBAD)とも呼ばれます。

 これらの検知した情報を基にして分析を行い、後述のトラフィック制御を行います。

●柔軟なトラフィック制御を実現することのできる「Cisco TrustSec」

 一般的にユーザアイデンティティをベースとしたネットワーク認証、ネットワーク制御では、VLANやACL(Access Control List)をベースに制御を行います。この手法はポリシの種別が少ない場合は管理が行いやすいですが、制御したいユーザグループが多い、送信ポリシ(宛先の種別)が多い、制御したいポリシ(ACL)が多い、VLANが多い等の環境では、最終的に定義する必要のあるポリシが大幅に増加し、管理者のポリシ設計負荷、運用負荷が増大する欠点があります。

 例としてはユーザが10グループ、ACLが10個の場合は計100ポリシ、VLANごとにポリシを変える設計の場合、VLANが10個あるだけでポリシの総数は10x10x10の1000にも上り、これらの管理工数は非常に大きいものとなります。

 このような多量のポリシを効率よく管理するため、最近では新しいセキュリティの概念が登場しています。Cisco社のTrustSec技術(以下TrustSecと表記)もそのような新しいポリシ管理方式の一つです。

 TrustSecでは「Secure Group Tag(以下SGT)」の概念を新たに導入し、「送信元SGT」と「宛先SGT」の組み合わせでポリシを適用します。SGTの概念を導入することでVLANやIPアドレスベースのACL管理から解放され、タグベースのACLのみを考えればよいため、柔軟なセキュリティポリシを少ないルール数で実現することが可能です。

図1
図1.SGTによるポリシ制御の概念

 またTrustSecでは「送信元タグの変更(ユーザが所属するタグの変更)」を行えることも特徴で、タグの付替えにより瞬時にポリシを一括変更することが可能になります。

 最新のCisco ISE(Identity Service Engine)2.2と組み合わせることにより、全ポリシの一括変更にも対応できるようになっており、通常時のポリシ、緊急時のポリシというような「緊急時を想定したポリシーセット」へ簡単に一括変更が可能な拡張も実装されています。

●Cisco StelthwatchとTrustSecで実現するマイクロセグメンテーション

 異常なトラフィックを送出しているIPアドレス検出した際は、速やかにトラフィック制御を行い、脅威の封じ込め(マイクロセグメンテーション)を行うことで拡散や流出の可能性を可能な限り減らす必要があります。この封じ込めは発生から対処までが早ければ早いほどその効果が期待できます。

 可能な限り早く実施するためには「脅威トラフィックを出しているIPアドレスが誰の(どの)端末/ユーザからなのか」「脅威トラフィックを出しているIPアドレスがどこから/どのネットワークからの通信なのか」という情報が重要となります。また「検出したIPアドレスの通信ポリシを速やかに制御できること」までセットで実現することにより、検知→封じ込めまでのタイムラグを短くすることができます。

 Cisco Stelthwatchでは、Cisco ISEの持つ外部連携機能である「PxGrid」という機能に対応しており、PxGridを通じて認証ステータスの操作や前述のTrustSecのSGTタグの付け替えが可能な機能を備えています。具体的には「どこにも通信させないポリシ」や「フォレンジック目的のために特定の機器にしか通信できないポリシ」を規定したSGTタグを定義し、ユーザをそのタグに付け替えることで瞬時にポリシの変更・適用を可能にします。

 PxGridをTrustSecと併用して利用することにより、管理者は不正通信の監視、絞り込み(特定)、封じ込め(ネットワークセグメンテーション)を全てStelthwatchの管理画面上で完結させることができ、これまでの不正デバイスの調査にありがちな「不正通信フローログからIPを特定」「別の管理装置のログからIPアドレスとユーザの紐付けを調査」「認証サーバ上で不正通信を行ったユーザをシャットアウト」のような対応を行う必要がなくなり、迅速な対処が可能となります。

図2
図2.PxGrid連携による対応と非連携システムによる対応との違い

図3
図3.TrustSecによる端末のマイクロセグメンテーション

●まとめ

 全3回にわたってネットワークそのものをセンサー化するメリット、またフロー情報を利用した物理ネットワーク上でのマイクロセグメンテーションを実現する手法について記載してきました。これらを利用することで企業のネットワークがより可視化され、それによってダイナミックにポリシ制御が可能な時代が来ています。
 不正トラフィックや脅威は他人事ではなく、どの企業にも発生しうるため、これらのテクノロジを活用し、しっかりとネットワーク部分でも対策を取っていくことが今後ますます重要になると推測されます。

執筆者プロフィール

田中 政満
ネットワンシステムズ株式会社 ビジネス推進本部
応用技術部 エンタープライズSDNチーム
所属

入社以来無線LANの製品担当SEとして製品や技術の調査、検証評価、及び、提案や導入を支援する業務に従事。
現在はキャンパスセキュリティや自動化に力を入れるなど、エンタープライズSDNのエンジニアとして邁進中。
第1回 シスコ テクノロジー論文コンテスト 最優秀賞

pagetop