動画を視聴するには、右記のフォームに必要事項をご記入ください。

three box

講演時間 40分
講演者 キーサイト・テクノロジー株式会社 イクシアソリューション営業本部 
システムエンジニアリング部 システムエンジニア 西形 渉
内容 Keysight World 2018で好評を博したサイバーセキュリティ対策セミナーの動画です。 この動画では、有効なサイバーセキュリティ対策として、以下の三つの項目を挙げ、それぞれを分かりやすく説明いたします。
  • 検証:セキュリティアーキテクチャを検証してリスクを判断
  • 防御:防御効率を高めて運用性を改善
  • 制御:トラフィック制御でセキュリティ装置を最大限有効活用
サイバーセキュリティ対策においてネットワークトラフィックに着目する重要性を、この動画でご確認ください。

サイバーセキュリティのリスクを減らすには、 ネットワークトラフィックへの着眼が重要に

インターネットやモバイルトラフィックは増え続け、トラフィックの暗号化も進んでいます。一方、サイバー攻撃の増加も止まりません。サイバーセキュリティ対策を行うにあたり、ネットワークを流れるトラフィックに着目すると、効果的な施策が見えてきます。当社が提案するネットワークセキュリティ対策は、ネットワークインフラで流れているトラフィックを検証し、防御効率を高め、制御することです。

検証―防御―制御のサイクルを回す

当社では、ネットワークセキュリティに焦点を当てた「検証―防御―制御」のサイクルを回して、セキュリティリスクを軽減することを提案いたします。

 検証
セキュリティ堅牢性を 事前検証し、リスク判断
防御
防御効率を高めて 運用性を向上
制御
セキュリティ装置を 最大限有効活用

検証

ネットワークセキュリティ検証では、ネットワークに配置されているファイアウォール、DDoS攻撃対策装置、サンドボックス装置、IPS(Intrusion Prevention System; 侵入防止システム)などの装置の堅牢性や性能を検証します。

ネットワークセキュリティ検証を行う意義は、以下があります。

  1. 複雑化しているネットワークに実際のネットワークと同等のトラフィックを流すことで、セキュリティ上の弱点を定期的に評価できること。
  2. 様々な攻撃・侵入シナリオを理解することで、防御側の視点だけではなく、攻撃側の視点も取り入れて、セキュリティ対策をより深く考察できること。
  3. ネットワークトラフィックを生成してファイアウォールに流すことを活用した「サイバーセキュリティ演習」を通して、社員に攻撃や防御をシミュレートしてもらうことで、組織のセキュリティリテラシーの向上が図られること。

ネットワークセキュリティ検証を行う場合の必要な項目は、以下の三点があります。

system
wave
  1. 実ネットワークに相当するトラフィックの生成:実ネットワークにおいては、正常なトラフィックと、不正なトラフィック(悪意のある攻撃を仕掛けるトラフィック)が混在している。これをきちんとシミュレートすることで、より正確な検証が可能になります。
  2. 実際と同じアプリケーションプロトコルの再現:アプリケーションの種類は様々あり、それぞれの通信の仕方やプロトコルも異なります。日々アップデートされているものも多くあります。セキュリティ装置にはアプリケーションの振る舞いを追跡するものもあり、プロトコルを最新の状態で再現する必要があります。
  3. 多数のサイバー攻撃シミュレーション:多くの種類に対応しているだけでなく、常に新しい攻撃が生成されているので、最新の状態で検証することが必要です。

以上の必要条件を満たすソリューションが、キーサイト・テクノロジーのBreakingPointです。BreakingPointは、実ネットワークに流れているトラフィックと同等のものを生成し、ネットワーク上のセキュリティ装置の堅牢性を検証します。

breakingpoint

上図は、BreakingPointがクライアントとサーバーの両方をシミュレートし、正常・不正を混在させたトラフィックをネットワークに流して検証を行うことを示しています。正常トラフィックでは、約350種類のアプリケーションに対応します。不正トラフィック(サイバー攻撃を行うトラフィック)では、3万種類以上のマルウェアやDDoS攻撃などのトラフィックがリスト化されています。例えば、CVE(Common Vulnerabilities and Exposures; 共通脆弱性識別子)番号や、CVSS(Common Vulnerability Scoring System:共通脆弱性評価システム)をもとにリストを選択できます。 BreakingPointが用意しているテンプレートリストも多数あり、それを選択して検証することも可能です。

screenshosts

トラフィックを生成する際には、最新のアプリケーションプロトコルやサイバー攻撃に対応している必要があります。BreakingPointでは、キーサイト・テクノロジーのセキュリティ・アプリケーションに関する研究開発期間であるATI(Application and Threat Intelligence)リサーチセンター経由で、アプリケーションやセキュリティ定義ファイルが二週間ごとにアップデートされます。ATIリサーチセンターは、世界で三か所あり、サイバー攻撃手法の解析、怪しいサイトの調査、マルウェアの分析などを日常的に行っています。

Interop Tokyoでは、BreakingPointがBest Of Showアワードを獲得しています。 breakingpoint ve perfectstorm-one

サイバー攻撃は日々進化している状況では、定期的な検証は特に重要です。BreakingPointは、大規模なネットワーク構成を構築している組織や、センシティブな情報を扱う組織に最適な検証ソリューションです。

防御

サイバー攻撃対策の二番目は、セキュリティ防御の効率化です。

米国の調査機関であるPonemon Instituteが2016年に行った調査によると、全てのマルウェア警告のうち、分析を行った割合は29%に過ぎず、警告のうち平均で40%は誤検知となっています 。このことは、組織が大量のセキュリティ警告の中から分析すべき警告の分析が容易ではないことを物語っています。一方、分析されるべき警告を見逃すと、セキュリティ脅威に侵入されてしまうリスクは高まります。

この課題を解決する方法の一つは、分析対象の攻撃トラフィックを減らすことです。それを行うには、明確に攻撃と判明しているトラフィックを予めフィルタリングで排除する方法があります。

インターネット上に流れているトラフィックは、セキュリティ分析という観点から見ると、二種類に分かれます。セキュリティ分析が必要なトラフィックと、分析が不要なトラフィックです。

ss

分析不要なトラフィックでは、サイバー攻撃を仕掛けるサイト、正当なIPアドレスの所有者でないサイトからの通信や、マルウェアが含まれるサイト、フィッシングに使用される不正サイトへの通信があります。これら「不正IPアドレス」が関わる通信は、予め不正と分かっているので、分析を行う必要がありません。

これら不正なトラフィックを、そのIPアドレスに基づきフィルタリング処理を行うことで、セキュリティ装置が分析すべきトラフィックの量を減らすことができます。

この「不正IPアドレス」からのトラフィックをまとめてブロックするのが、キーサイト・テクノロジーのThreatARMORです。ThreatARMORは、世界中の不正なIPアドレスをブラックリスト化し、そこからの通信をファイアウォールに到達する前に先回りしてブロックする、IPフィルタリングに特化したセキュリティ機器です。ThreatARMORは、ネットワーク上のルーターとファイアウォールとの間、ならびにIPSなどのセキュリティ装置とスイッチとの間に設置され、以下の特長があります。

  1. ブラックリストをもとにIPフィルタリング:ブラックリストは、前述のATIリサーチセンターから10分毎に自動アップデートされるので、常に最新の状態で運用できます。例えば、不正IPアドレスに悪意な活動が見られなくなった場合は積極的に削除されます。加えて、独自のブラックリストを登録することも可能です。
  2. ラインレートでの動作:ThreatARMORは、設置してもネットワークパフォーマンスに影響を与えない。
  3. 入口対策+出口対策:インターネットからの不正トラフィックをブロックする「入口対策」だけではなく、組織からインターネットに流れるトラフィックが不正サイトに接続しようとする場合もブロックする「出口対策」も可能です。

ss1

IPベースのフィルタリングを行うメリットは、攻撃手法、シグネチャ、振舞いに関わりなく、ブラックリストに載っているIPアドレスであれば、一括でブロックできる点です。さらに、暗号化されたトラフィックであっても、それが不正IPアドレスからのものであれば、ブロックできるため、暗号化されたトラフィックを復号処理する必要は生じません。

ThreatARMORでは、不正なIPアドレスから来るトラフィックをブロックした結果、どのく らいの数のIPアドレスを遮断したのか、どのくらいの帯域を節約できたのか、などを一覧できるダッシュボード画面を装備しています。ブロック履歴、マルウェア情報、URLなどを視覚的に確認できます。

threatarmor

ThreatARMORを活用することで、先回りして分析不要なトラフィックをブロックし、本来分析すべきトラフィックのみをファイアウォールやIDSなどに引き渡せるので、セキュリティ分析の負担を大幅に減らすことができます。

Interop Tokyoでは、ThreatARMOR 10GモデルがBest Of Showアワードに輝きました。 threatarmor

ThreatARMORユーザー事例:株式会社ハイパーボックス様

制御

セキュリティ対策の最後は、ネットワークトラフィックの制御です。セキュリティ上、トラフィックの制御が重要な理由は、ここでは「ネットワークトラフィックの監視漏れ防止」と、「ネットワーク構成の複雑化がもたらす弊害をなくこと」の2点を挙げたいと思います。以下、それぞれを見てみましょう。

ネットワークトラフィックの監視漏れの防止

ネットワークに流れるトラフィックをミラーリング(コピー)し、そのトラフィックを監視して脅威を検知する運用を考えてみましょう。コピー漏れ(トラフィックの一部がドロップして取得できない)が発生した場合、セキュリティ上のリスクが発生します。サイバー攻撃の中には、わずか1パケットで攻撃できる種類もあり、セキュリティリスクを減らすには、トラフィックの取得漏れは回避しなければなりません。

トラフィックコピーの取得漏れの原因の一つに、スイッチドポートアナライザ(SPAN)の利用があります。スイッチに付属するSPANポートを利用して、監視装置にコピーを流すケースです。

span

ネットワークでは、上りと下りの双方向のトラフィックが流れている(例:2G)が、SPANポートでは一つのポート(例:1G)に対し全てのトラフィックを送る。そのため、トラフィック量が増えると、パケットがドロップしてしまう可能性があります。

この課題を解決するには、ネットワークTAP(Test Access Port)と呼ばれる機器を導入することです。ネットワークTAPは、SPANポートとは異なり、監視用のポートを二つ(上下トラフィック用)備えています。そのため、ネットワークトラフィックを100%コピーできます。ネットワークTAPを設置しても、ネットワーク遅延やトラフィックの変更などは発生しません。また、キーサイト・テクノロジーのファイバーTAPは、電源を必要としないので、半永久的に使用できます。

taps

ネットワーク構成の複雑化がもたらす様々な弊害をなくすこと

ネットワーク上で様々な装置が増えてくると、パケットの重複や、特定の装置にとっては不必要なパケットなどが発生するケースがあります。また、監視ポート不足を招き、各種ツールの増設や置換、取外しの際の運用も複雑化します。

IDS

ネットワークパケットブローカーと呼ばれる装置を、ネットワークトラフィック取得ポイントと各種セキュリティツールとの間に導入することで、この課題を解決できます。

taps

ネットワークパケットブローカーの導入により、各種ツールの増設、取外しは実ネットワーク環境への影響なしに行うことができます。異なる帯域のネットワークにも柔軟に対応し、既存ツールを活かしたまま新しいツールの導入も容易にできます。

ネットワークパケットブローカーの基本機能は、以下となります。

  • 複数のポートからのトラフィックを集約(アグリゲーション)
  • 一つのポートからのトラフィックを複数のポートにコピー(リジェネレーション)
  • レイヤ2-4フィルタリング
  • ロードバランシング:同種の複数装置に対して、均等に負荷を分散するためにトラフィックを分配

flow

ネットワークパケットブローカーが上述の処理を行うことで、セキュリティ装置の負担を減らし、最大限の性能を引き出すことが可能です。これが組織のセキュリティ向上につながります。

Ixiaのネットワークパケットブローカーに関する情報は、こちらをご参照ください

Ixiaのネットワークパケットブローカーは、国内外で数々のアワードを獲得し、FIPS 140-2に適合しています。

fips f&S interop-2006

ネットワークTAPとVision ONEユーザー事例:カブドットコム証券様

まとめ

以上、ネットワークセキュリティにおける「検証―防御-制御」サイクルの考え方を見てきました。キーサイト・テクノロジーではそれぞれに対応するソリューションを用意してあります。御社のニーズに合わせたソリューション導入を是非ご検討ください。

loop