【Interop 2015】サイバー攻撃の検知から初動対処までを自動化、インシデント対応時間を短くすることでリスクを低減(NEC)
NECは複数のSDN関連ソリューションとして、サイバー攻撃の検知から初動対処までを自動化し、インシデント対応の時間を短くすることでリスクを低減する「サイバー攻撃(標準型攻撃)自動防御ソリューション」のデモを行っていた。
研修・セミナー・カンファレンス
セミナー・イベント
近年のサイバー攻撃は複雑かつ巧妙化しており、従来のような入口・出口対策だけでなく、内部対策も重要になっている。また各ゾーンに配置するIDSは、検知能力に優れている製品も多いが、遮断機能が装備されていない。そこで次世代セキュリティとSDNを利用し、多層防御と防御の自動化を行うことが、このソリューションの狙いだという。
具体的な自動防御の流れは、まずトレンドマイクロの「Deep Discovery Inspector」や「Deep Security」によって、ネットワーク上の怪しい振舞いを監視する。Deep Discovery Inspectorは、シグネチャでマルウェアを検知できるホストIDSだ。一方のDeep Securityは、内部端末間の不審な通信を可視化できるネットワークIDSだ。
もし、これらのIDSがマルウェアの感染や改ざんなどを検知すると、SDN連携アダプタに通知され、そこで適切なセキュリティ対処を判定。その結果をSDNコントローラの「UNIVERGE PF6800」に指示する。それを受けたSDNコントローラは、データプレーン側のスイッチ「UNIVERGE PF5000シリーズ」を制御し、不正なPC端末やサーバなどを隔離したり、遮断するという流れだ。
また、パロアルトネットワークスの次世代ファイアウォールと連携することも可能だ。感染の疑いのあるグレー状態で、機密情報がある社内サーバなどにアクセスする際には、必ず次世代ファイアウォールに通るように、SDNで通信を捻じ曲げることも可能だ。
このようにSDN連携アダプタによってsyslog、SNMP(ネットワーク監視プロトコル)などをトリガーにして、さまざまなセキュリティ製品を統合的に管理し、インシデントの検知が行えるようになる。今後の展開としては、複数デバイスで検知した情報を、SIEM製品(Security Information and Event Managemet)のようなセキュリティ統合管理システムと連携させ、相関分析した後に、より適切な制御を行えるようになるという。
【Interop 2015 Vol.52】NEC、SDNの応用としてサイバー攻撃自動防御ソリューションをデモ
《井上猛雄@RBB TODAY》
関連記事
この記事の写真
/
