標的型攻撃を遮断する多層防御の試み ~IDS/IPSとセキュリティスイッチ | ScanNetSecurity[国内最大級のサイバーセキュリティ専門ポータルサイト]
2017.12.17(日)

標的型攻撃を遮断する多層防御の試み ~IDS/IPSとセキュリティスイッチ

特集 特集

日立情報通信エンジニアリング株式会社は、マカフィー社やシスコ社の有力パートナーとして包括的ネットワークソリューションを提供する。同社の有賀正和氏は、標的型攻撃事件の多発によって、企業管理者のセキュリティ意識が変わってきていると語る。管理者が抱える共通の悩みと、その解決方法について聞いた。


― 顧客のセキュリティに対する危機意識や関心について、最近変化していると感じていることはありますか?

昨年国内で、防衛関連企業や政府などに対するサイバー攻撃が相次いで発覚したことを契機として、経営者や管理者のみなさんが、危機感を持ち、情報収集を積極的に行っています。また震災をきっかけに、BCPやBYODについても関心が高まっています。

ただし、そういった企業の多くは、すでにファイアウォールやアンチウィルスソフト、IDS/IPSなど要素別の対策の導入は済んでいます。そして、既存の対策でどこが手薄なのか、新たにどこに手当が必要なのかが明確にわからないところを悩みとしている例が多いようです。

それを解決するには、まずネットワークの全階層で通信を可視化することが重要と考えています。端末を監視するセキュリティ対策は、端末を統制できないBYOD環境などでは役に立ちません。しかし、全階層で通信を監視すれば、何が行われているかが分かります。その上で、L2スイッチとL7まで監視できるIDS/IPSを連動させるなど、旧来のセキュリティ対策を連携させた多層型の対策が必要となってくるでしょう。

― 多層型セキュリティ対策の具体例を教えて下さい

弊社では、マカフィー社のIDS/IPS「Network Security Platform(NSP)」とパイオリンク社のセキュリティスイッチ「TiFRONT」を連携させて、一般の利用者の使用は許可したまま、不正な通信を行っている社内端末の通信を遮断するソリューションを提供しています。インテリジェントな検知はNSPが行い、遮断処理は、NSPから送信された情報やTiFRONT自身が検知した情報に基づき、ネットワークのエッジ部分に置かれたTiFRONTが担います。

― IDS/IPSにセキュリティスイッチを連動させる理由は何ですか?

IDS/IPSはそもそも企業ネットワークとインターネットの境界部分に設置して、外部との不正な通信の検知、遮断を行うものです。そのため、社内ネットワークで完結する通信については、関与する術がありません。

TiFRONTを導入し、端末に近い位置で不正な通信を阻止できるようになれば、社内ネットワーク上で完結するスパイ行為や、同一拠点内の端末間での感染の広がりなどを食い止めることができるのです。また、L7まで可視化できる装置をエッジに置くソリューションに比べ、効果がありながらコストを低く抑えることができます。

― どういった場面での導入が想定されますか?

端末の統制が困難な環境で、特に有効です。具体的には、大学など文教関連の施設、企業のBYODエリア、不特定多数の人が利用する公衆ホットスポットが挙げられます。また、自由度の高い社内システム環境を提供して業務効率の向上をねらう企業での導入も見込まれます。システムは、不正侵入を防止するIDS/IPSであるNSP、セキュリティスイッチのTiFRONT、それぞれを管理するNSP ManagerとTiManagerで構成されます。

― 不正な通信が行われて、通信が遮断されるまでの一連の流れを解説してください

最近APT(Advanced Persistent Threat)攻撃が問題になっていますが、そこで使われるC&C通信(感染端末への外部の攻撃者からの指示命令等の通信)の例を挙げて説明します。メール添付のウィルスファイルを開封して、ある端末がマルウェアに感染したとします。NSPとTiFRONTは以下のように連動します。

1. 感染者PCと攻撃者サーバとのC&C通信をNSPが検知し「遮断」
2. NSPは感染者PCの情報をTiFRONTに「送信」
3. TiFRONTは感染者PCをネットワークから「排除」

以降、社内の他の端末への感染も防ぐことができますが、これはNSPのみでは実現できません。

また、内部スパイ行為を阻止できます。たとえば、ARPスプーフィングという攻撃手法を用いると、同一LAN上の端末の通信をすべて傍受できるため、一度この攻撃で社内のファイルサーバへアクセスするためのIDとパスワードを入手すれば、社内の情報資産を自由に閲覧・取得できるようになってしまいます。TiFRONTはARPスプーフィングを検知した時点で、攻撃者の端末を遮断します。
 業務効率の面からも、たとえばSkypeが未許可アプリケーションなら使用をNSPで検知してTiFRONTで遮断することが可能です。

いずれのケースでも、遮断された端末のブラウザから任意のWebサーバにアクセスしようとすると、アラート画面が表示され、端末の使用者が認知できるようになっています。
  
―日立情報通信エンジニアリングが多層防御をIDS/IPSとセキュリティスイッチで実現した理由はなんですか?

まずIDS/IPSのNSPは処理速度、シグネチャの質、ハードウェアの信頼性の面で競合優位性を持っています。一方セキュリティスイッチのTiFRONTは、他の類似製品では要求されることが多いDHCPとの連携や、MACアドレス登録などの事前作業が不要で導入が容易です。また、コストパフォーマンスが高いので、数が多くなるフロアスイッチを安価にそろえることができます。加えて、10年保証、省電力、電源二重化など、スイッチに要求される企業ユースにも対応しています。

― 最後に、今後のパイオリンク社との協業ビジョンについてお伺いします

IDS/IPSとセキュリティスイッチを組み合わせた多層防御は、マカフィー社と、パイオリンク社の協力で実現しました。NSPとTiFRONTの連携ソリューションを取り扱えるのは当社だけです。今後もお互いパートナーとして、ICTインフラの安全向上のために、顧客と市場の新しい需要に応えていきたいと思います。

― ありがとうございました。
《ScanNetSecurity》

関連記事

Scan PREMIUM 会員限定記事

もっと見る

Scan PREMIUM 会員限定記事特集をもっと見る

Scan BASIC 会員限定記事

もっと見る

Scan BASIC 会員限定記事特集をもっと見る

[Web小説] サイバー探偵 工藤伸治の事件簿サーガ (シーズン 1~6 第1話)

もっと見る

[Web小説] サイバー探偵 工藤伸治の事件簿サーガ (シーズン 1~6 第1話)特集をもっと見る

カテゴリ別新着記事

特集 カテゴリの人気記事 MONTHLY ランキング

  1. ここが変だよ日本のセキュリティ 第31回「中二病全開!アンチ・アンチ・オーディット作戦発動!!」

    ここが変だよ日本のセキュリティ 第31回「中二病全開!アンチ・アンチ・オーディット作戦発動!!」

  2. グローバルで活躍するプロフェッショナル - EYのサイバーセキュリティ部隊に仕事とキャリアを聞く

    グローバルで活躍するプロフェッショナル - EYのサイバーセキュリティ部隊に仕事とキャリアを聞く

  3. [数字でわかるサイバーセキュリティ] 2018年度政府サイバーセキュリティ予算、大規模予算施策一覧

    [数字でわかるサイバーセキュリティ] 2018年度政府サイバーセキュリティ予算、大規模予算施策一覧

  4. クラウドセキュリティ認証「ISO 27017」「ISO 27018」の違いとは? ~クラウドのよさを活かす認証コンサル LRM 社 幸松 哲也 社長に聞く

  5. [セキュリティホットトピック] まるで海外アングラサイト? 中学生がフリマアプリでウイルス売買し書類送検

  6. ここが変だよ日本のセキュリティ 第30回「ダメンズ・オーディット! 上場企業なら避けて通れない監査対応に監査感激!」

  7. 工藤伸治のセキュリティ事件簿 シーズン 7 「アリバイの通信密室」 第11回「五十四歳」

  8. [セキュリティホットトピック] 金融機関情報を狙う「DreamBot」「Gozi・Ursnif」、国内でまた活発化

  9. 工藤伸治のセキュリティ事件簿 シーズン 7 「アリバイの通信密室」 第12回「社長面談」

  10. スマホが標的のフィッシング詐欺「スミッシング」とは、現状と対策(アンラボ)

全カテゴリランキング

特集

★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★
<b>★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★</b>

経営課題としてサイバーセキュリティに取り組む情報システム部門や、研究・開発・経営企画に携わる方へ向けた、創刊19年のセキュリティ情報サービス Scan PREMIUM を、貴社の事業リスク低減のためにご活用ください。

×