マルウェア・ランサムウェア
特徴
 
 
 



TiFRONTセキュリティスイッチ

セキュリティスイッチ「TiFRONT」(ティーフロント)ならば、NAC製品のように1度認証してしまうと正常な端末として接続を許可してしまうということもなく、「怪しい動きが起こった段階」で多層防御を実現できます。何よりの特長は、その名の通り「セキュリティ機能を有したスイッチ」であるということ。既存のL2スイッチの位置や、島ハブ上位のフロアスイッチとして設置することで、TiFRONTが単独で「検知・遮断・解除」を自動で行ったり、既に導入済みの各種「セキュリティゲートウェイ製品」との連動による「検知したら即遮断」の内部対策を実現できます。




1 TiFRONT単独で攻撃を検知して遮断

TiFRONTの第1の特長は、セキュリティスイッチ自体が、標的型サイバー攻撃の動きを検知して、マルウェア感染した端末を遮断できるということです。マルウェアに感染してゾンビPC化した端末によるバックドアを使った「攻撃基盤構築」、「内部侵入・調査」といった第2段階、第3段階の動きを検知すると、L2スイッチの位置で通信を自動的に遮断します。

これにより、ID/パスワードの盗難を経たサーバへの不正侵入防止や、社内ネットワークからのDoS/DDoS攻撃のトラフィックのみを遮断し、攻撃が収まったら自動的に遮断を解除するといった一連の防御を実現することも可能です。




2 既に導入済みのセキュリティゲートウェイ製品と連動して遮断

TiFRONTの第2の特長は、FireEye MPS / McAfee ePO、NSP / Paloalto PAシリーズ / Fortinet Fortigateといった、他のセキュリティゲートウェイ製品との連動も可能なことです。こうしたセキュリティゲートウェイ製品が攻撃を検知すると、TiFRONTは即時に攻撃の発生元である端末を特定して、L2スイッチの位置で確実に遮断します。

管理者に他のゲートウェイ製品からのアラートがあがってから、状況を判断した上で対策…というタイムラグがなくなるため、被害の拡大を抑制できます。




3 TiFRONT統合管理システムによる社内ネットワークの可視化

「標的型サイバー攻撃」の被害が発覚した企業で、よくあるケースが「攻撃されたのは事実だが、どのような侵入経路でどのくらい被害があったのかについて把握できない」というものです。そもそも、社内ネットワークのログ管理は、一般的な企業ではさほど広くは行われていません。

TiFRONTには、統合管理システムである「TiManager」(ティーマネジャー)が用意されています。複数台のTiFRONTを一元的に統合管理できることから、社内ネットワーク全体のセキュリティログやユーザのアクセスログを管理できるようになります。




4 「検知したら即遮断」以外の運用も

製造業のラインの監視など、止めることのできない業務を行うための端末は、必ずしも「即遮断」が最適の運用とは限りません。

こうしたケースでは、TiManagerにより、リアルタイミングのモニタリングを行い、ログの分析を行った上での遮断措置をとるといった運用も可能です。




5 ユーザにはアラートで通知

マルウェア感染のためにネットワークから遮断された端末のユーザに、遮断とその理由が通知されないと、ユーザは「PCを再起動?」「管理者に問合せ?」など、試行錯誤を繰り返すことになります。

そこで、TiFRONTからユーザへ直接、マルウェア感染が疑われるから遮断されたことを通知するアラートをあげることが可能です。




6 独自のセキュリティエンジン

TiFRONTは独自開発されたセキュリティエンジン「TiMatrix」(ティーマトリックス)により、パケットの送信元IP、宛先IP、送信元MAC、宛先MAC、ポート番号、パケット数、タイムスタンプなどの要素を活用して、それぞれの送信元/宛先別の使用頻度、パケットの間隔、隣接タイムのパケット情報などをリアルタイムに分析しています。

セキュリティ脅威別の特性に合せた知能的/能動的評価の変数を適用することで、スイッチとしての機能には影響を与えずに、攻撃性トラフィック(IP Scanning、Port Scanning、IP Spoofing、ARP Spoofing、Neighbor Spoofing、MAC Flooding、 DoS/DDoS Attack)、不正なトラフィック(DAD Attack、Land Attack、Smurf、Protocol Anormaly)、有害トラフィック(Loop防止、DHCP Filtering、NetBIOS Filtering)などを判定し、すばやく検知できます。








TiFRONT L2スイッチ機能

セキュリティスイッチである「TiFRONT」には、ネットワークにおけるデータ転送のためのL2スイッチ機能をフルに提供しています。だからこそ、L2スイッチの位置に設置することができ、ネットワークを流れるすべてのパケットをフィルタリングすることができるのです。

さらに、以下のような機能を持っているため、標的型サイバー攻撃対策を実現できるだけでなく、安定したネットワーク構築といった面でも効果があるのです。




1 Intelligent - ループ防止機能

万が一LANのループ障害が発生した場合、TiFRONTのポート間はもちろんのこと島ハブを跨いでいても、速やかに対象ポートを自動でシャットダウンします。


2 Intelligent - LANケーブル二重化機能

万が一LANケーブルが断線しても、二重化機能によりStandbyケーブルへ自動で切替わり、高い信頼性と冗長性を確保します。


3 Intelligent - スタッキング機能

最大8台のTiFRONTを仮想的に単一装置のように一元管理できる独自のスタッキング機能を提供します。


4 Security - 統合認証機能

IEEE 802.1xやWeb認証、MAC認証の個別認証だけではなく、それぞれの認証方式を組み合わせたエンドポイントセキュリティーを実現します。

 





TiFRONT導入例

TiFRONTはセキュリティ機能を搭載していながら、L2スイッチの機能も有しているため、L2スイッチの位置に設置できることから、現状のネットワーク構成を大きく変更せずに導入できるのも特長です。




導入例 1 現状のL2スイッチをTiFRONTにリプレース

TiFRONTはL2スイッチ機能も持ったセキュリティスイッチなので、当然、既存L2スイッチとそっくり入れ替えることが可能です。L2スイッチのリプレース時期を迎えているなら、TiFRONTへと変更することで、セキュリティレベルを向上させたネットワーク構築が可能になります。





導入例 2  現状のL2スイッチの上位に「フロアスイッチ」として設置

既存のL2スイッチと島ハブの上位に位置する「フロアスイッチ」としてTiFRONTを設置することで、配下のL2スイッチをまとめるフロアスイッチという位置づけでの導入が可能です。「現在のスイッチはリプレース時期まで、まだ間があるので、資産としては活用したい」といった場合には、この導入法が現実的です。





導入例 3 端末の手前だけ」「サーバの手前だけ」など適材適所に設置

L2スイッチの位置に配置できるということは、端末のそばにだけ配置し、クライアントPCを主体とした標的型サイバー攻撃対策をとることも可能。逆に、サーバの手前だけに重点的に配置するといった導入スタイルも可能です。







TiFRONT統合管理システム(TiManager - ティーマネージャー)

TiFRONTは社内ネットワークに設置するため、複数台を管理する必要が生じます。また、1つの拠点内だけでなく、多くの小規模拠点に点在… といったことも実導入では多いはずです。そこで用意されているのが、TiFRONT統合管理システムであるTiManager(ティーマネジャー)です。
TiManagerを用いることで、社内ネットワークに設置されたTiFRONTを一元的に管理できるため、ネットワーク全体のセキュリティやトラフィックが可視化されます。1000台規模でのTiFRONT運用実績があるため、小規模環境はもちろん大規模環境での活用にも十分対応できます。



1 社内ネットワークの可視化

「DoSやScanning、ARP Spoofingなどが、どのタイミングでどれだけ発生しているか」といった攻撃タイプごとのログや、「どの送信元IPから、どの宛先IPへ、どのような攻撃がなされているか」といったIPごとのログを、必要なときにすぐに表示。標的型サイバー攻撃の兆候を把握し、いち早い対策をとることができます。


2 TiFRONTの統合管理

セキュリティスイッチの運用には、コンフィグレーションのバックアップなどの管理や、ファームウェアのアップデートなどの作業が発生するケースもあります。
複数台のセキュリティスイッチを設置していても、このような各種設定や管理作業も、 TiManagerならばスムーズに行うことができます。


3 トラフィックのモニタリング

TiManagerでは、わかりやすいグラフを用いた表示で、社内ネットワークを流れるトラフィックの全体像を直感的に把握できます。「通常の業務で発生しているトラフィックなのか、何らかの攻撃によるものなのか」を分析することで、適切な対策を選択できます。


4 いざというときには管理者にアラート

TiManagerは、TiFRONTから「怪しい動き」と判定されたログを受け取ると、ヾ浜画面にセキュリティログを表示音でアラート4浜者へメールといった3種類の通知を行うため、管理者はアラートを見落とすことなく、詳細把握の初動を起こすことができます。

 





巧妙化したサイバー攻撃の手口

1 個人情報や知的財産の持ち出し被害が深刻化

「標的型サイバー攻撃」(APT=Advanced Persistent Threats)の被害で、最近顕著なのが、金銭被害に直結するものです。例えば、顧客情報の持ち出しならば、情報を手に入れた攻撃者は名簿として換金することが可能です。一方、持ち出された企業や政府機関、自治体側は顧客や住民に、持ち出された個人情報に関する賠償を行うケースも増えています。また企業や大学の研究機関で開発中の新製品データなどが海外の企業に流出してしまったらどうでしょう?




2 段階を踏んだ攻撃により動きを隠す手法

標的型サイバー攻撃では、攻撃の動きを隠すために様々な手法を駆使しています。そのために、何段階ものステップを踏むのが特徴です。




3 「正規の業務」を装われ“知らず知らずのうちに”情報を窃取

「狙っている情報はどのサーバにあるのか」「そのサーバにアクセス権を持っているのは誰か」「ログインするためのIDとパスワード」を攻撃者に把握されてしまうと、従業員の通常利用と区別がつかず、「正規の業務」のごとく個人情報や知的財産の持ち出しが可能になります。

しかも、「正規の業務」と区別がつかなければ、サイバー攻撃であることが検知できないので、情報を窃取されてもまったく気づかない…ということにもなりかねません。

 






有効的な内部対策との組合せ

1 “多層防御”で標的型サイバー攻撃の被害を防ぐ

標的型サイバー攻撃への対策として、ファイアウォール、IPS/IDS、UTM、MPS、SIEMなどを導入しても、これだけではネットワーク内部へのマルウェア侵入を完全には防げません。そこで、有効なのが従来対策に「内部対策」を加えた“多層防御”なのです。内部対策のためには検疫対策(NAC)製品も有効ですが、NAC製品で一度認証されてしまうと正常な端末としてネットワークに接続されてしまううえ、コスト的にハードルが高いという企業が多いのも実状です。では、どのような対策が、必要になるのでしょうか?




2 セキュリティスイッチが「内部対策」を実現

低コストかつ確実に「内部対策」が行える、新たな選択肢が「セキュリティスイッチ」の活用です。

標的型サイバー攻撃の5つのステップのうち、マルウェアに感染した端末による「内部侵入・調査」の動きを検知して、端末自体をネットワークから遮断したり、怪しい動きとしてアラートをあげることができるのがセキュリティスイッチの特長です。



3 端末やサーバに近いL2スイッチの位置で効果を発揮

セキュリティスイッチは、ネットワークに不可欠なL2スイッチの位置でパケットをフィルタリングし怪しい動きを検知するゲートウェイ製品です。

 

 

端末やサーバに近い位置に配置されているため、「端末がサーバ情報を求めて動き始めた」「サーバにアクセスを繰り返している」といった動きを検知すると、セキュリティスイッチ単独で、あるいはIPS/IDS製品や統合運用管理製品などの外部検知ソリューションと連携して、確実に「怪しい端末」を遮断することが可能です。




4 サポート終了後のWindows XP活用時のセキュリティ確保にも

Windows XP向けに開発されたアプリケーションを使わざるを得ないケースや、周辺機器を含む乗り換えコストや人的スキルが確保できないケースでは、Windows XPのサポート終了後にも同OSの活用を選択する企業もあるでしょう。新OS環境への移行前には、Windows XPの脆弱性を狙い、PCの乗っ取りを行おうとする攻撃者も想定されますが、そうした際にも、ネットワーク内部の怪しい動きを検知して遮断できるセキュリティスイッチは有効なのです。

 
| SITEMAP | 個人情報の取扱い |
COPYRIGHT(C) PIOLINK, Inc. ALL RIGHTS RESERVED