標的型攻撃を遮断する多層防御の試み～IDS/IPSとセキュリティスイッチ

日立情報通信エンジニアリング株式会社は、マカフィー社やシスコ社の有力パートナーとして包括的ネットワークソリューションを提供する。同社の有賀正和氏は、標的型攻撃事件の多発によって、企業管理者のセキュリティ意識が変わってきていると語る。管理者が抱える共通の悩みと、その解決方法について聞いた。

― 顧客のセキュリティに対する危機意識や関心について、最近変化していると感じていることはありますか？

昨年国内で、防衛関連企業や政府などに対するサイバー攻撃が相次いで発覚したことを契機として、経営者や管理者のみなさんが、危機感を持ち、情報収集を積極的に行っています。また震災をきっかけに、BCPやBYODについても関心が高まっています。

ただし、そういった企業の多くは、すでにファイアウォールやアンチウィルスソフト、IDS/IPSなど要素別の対策の導入は済んでいます。そして、既存の対策でどこが手薄なのか、新たにどこに手当が必要なのかが明確にわからないところを悩みとしている例が多いようです。

それを解決するには、まずネットワークの全階層で通信を可視化することが重要と考えています。端末を監視するセキュリティ対策は、端末を統制できないBYOD環境などでは役に立ちません。しかし、全階層で通信を監視すれば、何が行われているかが分かります。その上で、L2スイッチとL7まで監視できるIDS/IPSを連動させるなど、旧来のセキュリティ対策を連携させた多層型の対策が必要となってくるでしょう。

― 多層型セキュリティ対策の具体例を教えて下さい

弊社では、マカフィー社のIDS/IPS「Network Security Platform（NSP）」とパイオリンク社のセキュリティスイッチ「TiFRONT」を連携させて、一般の利用者の使用は許可したまま、不正な通信を行っている社内端末の通信を遮断するソリューションを提供しています。インテリジェントな検知はNSPが行い、遮断処理は、NSPから送信された情報やTiFRONT自身が検知した情報に基づき、ネットワークのエッジ部分に置かれたTiFRONTが担います。

― IDS/IPSにセキュリティスイッチを連動させる理由は何ですか？

IDS/IPSはそもそも企業ネットワークとインターネットの境界部分に設置して、外部との不正な通信の検知、遮断を行うものです。そのため、社内ネットワークで完結する通信については、関与する術がありません。

TiFRONTを導入し、端末に近い位置で不正な通信を阻止できるようになれば、社内ネットワーク上で完結するスパイ行為や、同一拠点内の端末間での感染の広がりなどを食い止めることができるのです。また、L7まで可視化できる装置をエッジに置くソリューションに比べ、効果がありながらコストを低く抑えることができます。

― どういった場面での導入が想定されますか？

端末の統制が困難な環境で、特に有効です。具体的には、大学など文教関連の施設、企業のBYODエリア、不特定多数の人が利用する公衆ホットスポットが挙げられます。また、自由度の高い社内システム環境を提供して業務効率の向上をねらう企業での導入も見込まれます。システムは、不正侵入を防止するIDS/IPSであるNSP、セキュリティスイッチのTiFRONT、それぞれを管理するNSP ManagerとTiManagerで構成されます。

― 不正な通信が行われて、通信が遮断されるまでの一連の流れを解説してください

最近APT（Advanced Persistent Threat）攻撃が問題になっていますが、そこで使われるC&C通信（感染端末への外部の攻撃者からの指示命令等の通信）の例を挙げて説明します。メール添付のウィルスファイルを開封して、ある端末がマルウェアに感染したとします。NSPとTiFRONTは以下のように連動します。

1.　感染者PCと攻撃者サーバとのC&C通信をNSPが検知し「遮断」
2.　NSPは感染者PCの情報をTiFRONTに「送信」
3.　TiFRONTは感染者PCをネットワークから「排除」

以降、社内の他の端末への感染も防ぐことができますが、これはNSPのみでは実現できません。

また、内部スパイ行為を阻止できます。たとえば、ARPスプーフィングという攻撃手法を用いると、同一LAN上の端末の通信をすべて傍受できるため、一度この攻撃で社内のファイルサーバへアクセスするためのIDとパスワードを入手すれば、社内の情報資産を自由に閲覧・取得できるようになってしまいます。TiFRONTはARPスプーフィングを検知した時点で、攻撃者の端末を遮断します。
　業務効率の面からも、たとえばSkypeが未許可アプリケーションなら使用をNSPで検知してTiFRONTで遮断することが可能です。

いずれのケースでも、遮断された端末のブラウザから任意のWebサーバにアクセスしようとすると、アラート画面が表示され、端末の使用者が認知できるようになっています。
　　
―日立情報通信エンジニアリングが多層防御をIDS/IPSとセキュリティスイッチで実現した理由はなんですか？

まずIDS/IPSのNSPは処理速度、シグネチャの質、ハードウェアの信頼性の面で競合優位性を持っています。一方セキュリティスイッチのTiFRONTは、他の類似製品では要求されることが多いDHCPとの連携や、MACアドレス登録などの事前作業が不要で導入が容易です。また、コストパフォーマンスが高いので、数が多くなるフロアスイッチを安価にそろえることができます。加えて、10年保証、省電力、電源二重化など、スイッチに要求される企業ユースにも対応しています。

― 最後に、今後のパイオリンク社との協業ビジョンについてお伺いします

IDS/IPSとセキュリティスイッチを組み合わせた多層防御は、マカフィー社と、パイオリンク社の協力で実現しました。NSPとTiFRONTの連携ソリューションを取り扱えるのは当社だけです。今後もお互いパートナーとして、ICTインフラの安全向上のために、顧客と市場の新しい需要に応えていきたいと思います。

― ありがとうございました。