[Security Days Fall 2016セッションレポート] 境界ではなく「面」で守る～標的型攻撃にも対応、ネットワーク全体をセキュアにするジュニパーのSDSN戦略とは

ネットワーク機器をソフトウェアで制御することで、ウィルスの2次感染および情報窃取を防ごうという「SDSN（Software-Defined Secure Network）」を提唱するのがジュニパーネットワークスだ。

研修・セミナー・カンファレンスセミナー・イベント

2016年10月26日（水） 12時23分 PR

●情報窃取系のウィルスの「横通信」をネットワーク機器がブロック

サイバー攻撃は、どの企業や組織にとっても当たり前のこととなっている。国内においてもサイバー攻撃の被害が絶えることはなく、自治体や大学などの教育機関、一般企業といったあらゆる組織が狙われている。とくに、標的型攻撃では、フィッシングやOffice文書埋込み型のウィルス、コンピューターの脆弱性を悪用した攻撃など、複数の攻撃を組み合わせ、標的を執拗かつ継続的に攻撃する。

これに対し、アンチウィルスや、サンドボックスなどの振る舞い検知、サーバーのブラックリスト（通信の遮断）など様々な対策を多層的に行ってはいるものの、どれもセキュリティ被害を防ぐ決定打にはなっていない。

情報窃取系のウィルスは、感染したシステムから内部に感染を広げ、横展開していく。これを防ぐことにより、被害を最小限に防ごうという内部対策を掲げるのがジュニパーネットワークスだ

同社が提唱する「SDSN」は、ファイアウォールを中核に、スイッチやルーターといったネットワーク機器を用いて行うセキュリティ対策のこと。これらをつなぐ制御ソフト「ポリシーエンフォースメントオーケストレーター」は、ソフトウェアによりネットワーク全体を制御、自動化する。「スイッチレベルで通信をブロックすれば、ウィルスの2次感染を防ぐことができる」と片桐氏は語る。

SDSNは「ポリシー」「検知」「対策実行」のステップで対策を行う。「ポリシー」は、たとえば「脅威レベル8以上の感染ホストは、通信を制限する」というように、自然言語でポリシーを記述し、センターで一元管理する。

「検知」では、複数の情報源から脅威インテリジェンスを収集、配信する。サードパーティのクラウドのエコシステムもAPI連携によりリアルタイム分析に活用することが可能だ。

そして、「対策実行」では、検知した脅威フィード情報を、リアルタイムでネットワーク全体に展開し、ポリシーを実行する。

「我々はセキュリティ機器ではなく、セキュアなネットワークを提供する」と片桐氏は語る。LANスイッチとファイアウォールで、ウィルスの2次感染防止の仕組みを構築できるソリューションは、同社製の既存の資産の有効活用という点でもユニークだ。

●次世代ファイアウォール「SRX」を中核にした標的型攻撃対策

同社のセキュリティ対策の中核をなすのが、エンタープライズ向け次世代ファイアウォール「SRX」シリーズだ。キャリアやクラウド事業者向けハイエンドの「5000」シリーズから、小売店舗など小規模事業所向けの「300」シリーズまでをラインナップし、ファイアウォールや複数の脅威検知、アプリケーションレイヤーの可視化とポリシー制御などをオールインワンで行う。

このSRXを用いた標的型攻撃・情報漏えい対策が「Sky Advanced Threat Prevention」（Sky ATP）だ。これはクラウド上の脅威分析プラットフォームで、SRXで検知、抽出した悪意の可能性のあるオブジェクトとファイルがSky ATPに送信される。

Sky ATPではサンドボックスで振る舞いを検知し、マルウェア検査の結果とC&CサーバーのデータがSRXに送信される。さらに、ここまでのステップは機械学習によりキャッシュにフィードバックされ、次のファイルに備える。いわゆる入口対策に位置づけられる。

もう一つ、出口対策に位置づけられるのが「C&Cサーバーとの通信遮断」だ。これは同社の「Spotlight Cloud」をはじめ、セキュリティ機能を提供する他のベンダーと協業し、コマンド＆コントロール(C&C)サーバーのブラックリストを入手。それをSRXに配布するものだ。「ブラックリストは、クラウドから30分ごとに最新版に自動更新され、管理者に作業負荷が生じることはない」と片桐氏は語る。

さらに、Sky ATPによるマルウェアのダウンロード／C&Cサーバーへのアクセス検知の結果はレポートとしてほぼリアルタイムにダッシュボードに可視化される。SDSNは既存のジュニパー製品で構築が可能だが、SRXを主軸にさらにセキュアなネットワークを構築することが可能となる。

●「全ての機器を一つのOSで」というジュニパーネットワークスの理念

1996年にカリフォルニアで設立されたジュニパーネットワークスは、今年で20年を迎える。ルーターやスイッチ、ファイアウォールというネットワーク機器メーカーというイメージが強いが、「全ての機器を一つのOSで」という一貫した戦略を持ち、「コアコンポーネントの8割位は同じOSで動く」のが特長だ。

片桐氏は「我々はハードウェアだけでなく、ソフトウェアにも積極的に注力している。単なるハード売りではないからこそ、SDSNのような、ソフトウェアによるネットワーク機器の統合管理ソリューションが提供できる」と語る。

なお、SDSNは2016年12月にリリース予定だ。リリース当初はジュニパー機器のみが対象だが、今後はジュニパー以外の機器も制御対象となり、将来的には、ベンダーフリーでエコシステムを構築する構想だ。

SDSNは、ネットワーク機器メーカーが提供する内部対策ソリューションということで、より確実性の高い情報漏えい対策に期待が持てそうだ。