パイオリンクロゴ

tifront_log

最新の脅威に対し、ネットワーク機器ができること!

企業を取りまくサイバー攻撃の現状は、残念ながら「進化」している。数年前の常識は非常識になり、
日々、新たな攻撃手法が次々に生まれ、それに合わせて防御手法がアップデートされている。

ネットワークを構成する機器に「セキュリティ機能」を期待するのは当たり前になっている。
ではいったい、どのような機能がサイバー攻撃対策になるのだろうか。

入口・出口対策だけで安全?

日本の先を行く「韓国のサイバー攻撃」から学ぶ!

銀行のATMがサイバーテロで停止

韓国では、大規模なサイバーテロが頻発 しており、国家レベルでの研究が進んでいる。

2013年3月20日には、放送局、新聞社、金融機関を狙い、PCやATMなどの機器のMBR(マスターブートレコード)のデータを破壊する攻撃が発生。被害総額は8672億ウォン、日本円にして約867億円の被害を計上した。韓国はこれを「Operation 1 Mission」と名付けた。これは北朝鮮による攻撃と推定され、世界中でも注目されていた。

これ以降も2014年には韓国水力原子力発電に、2015年にはソウルメトロにサイバー攻撃が行われている。これらの不正アクセスや情報漏えいは、PC端末をマルウェアに感染させ、徐々に内部のネットワークに侵入し、権限を掌握するというものだった。

境界型セキュリティが崩れる瞬間

強固な壁が壊れる

韓国で起こった大規模攻撃は、Webサーバーの脆弱性を突き、その上で、内部ネットワークの監視と外部通信の監視を行っていた。

このことは、これまでの常識として考えられていた、ファイアウォールとセキュリティソフトを使用した「入口・出口対策」いわゆる
「強固な壁をつくって守る」という方法の限界
を示している。もはや境界型セキュリティだけでは守れない時代に来てしまったのだ。

サイバー攻撃対策の今

これまでの常識は、
「境界対策」「端末側の対策」「IT資産管理」などの方法で作られていた。

その中でも最も重要なのは「境界対策」で、UTMを使い、外部から意図しない通信をシャットアウトすることが重要視されてきた。

しかし現在は、「多層防御」が声高に謳われるように、強固に作られた壁だけでなく、内部ネットワークにおける監視も重要視しなくてはならない時代だ。侵入させないという仕組みではなく「侵入される」ことを前提とした仕組み作りが必要なのだ。

サイバーキルチェーンという考え方

多層防御は、サイバー攻撃における「Cyber Kill Chain®」という考え方を前提としている。
まずは攻撃者の視点に立ってみよう。

望む情報を奪うという目的のためには
「事前調査」「初期潜入」「攻撃基盤構築」「内部侵入・調査」「攻撃最終目的の遂行」「目的の実行」といったステップを踏み、これら「すべて」の段階を成功させる必要がある。

防御側(企業や工場、学校など)の視点に戻すと、
このステップのうち「いずれか」を失敗させるだけでいい。

事前調査・初期潜入・攻撃基盤構築・内部侵入・調査・攻撃最終目的の遂行・目的の実行

シグネチャモデルの限界

これまでは悪意ある行動を止めるために、企業の入り口となる「壁」において、悪そうな人を境界部分で判別していた。これは「シグネチャ」や「パターンファイル」という手配書で守る手法だ。

この手法だと、いかにも善人ぶった悪者をスルーしてしまったり、人相だけで判断した問題のない人を止めてしまったりと効率が悪い。既存のマルウェアを、ほんの少し「変装」するだけで、「壁」をすり抜けてしまうのだ。

それよりも、
「実際に悪い行動をしている人」を捕まえる方が簡単だ。
そこで、内部のネットワークにおいて、問題のある行動を監視し、捕まえる仕組みが必要になる。

これを実現するのが パイオリンクの「TiFRONT」だ。

パイオリンクのネットワーク

検知したら、即遮断!

パイオリンクが提供するセキュリティスイッチ製品「TiFRONT」が考えるその機能とは、
「検知したら、即遮断」できることだ。

ネットワーク機器をハードウェア設計から手掛け、ロードバランサやスイッチ機器を作り続けてきたパイオリンクが、なぜそのような機能「セキュリティスイッチ」を実現できるのかを紹介しよう。

セキュリティスイッチ「TiFRONT」の動作は、L2スイッチでセキュリティ機能 を持たせているものである。

パケットの振る舞いをL2スイッチ内、およびセキュリティ機器との連携を行うことで、マルウェアや攻撃の「行動」をもとに検知、そして遮断を行うことが可能な機器だ。

攻撃され、TiFRONTが検知して遮断する図

大量のパケットを送り込むDDoS攻撃の防御

例えば2013年6月のサイバーテロでも利用された、大量のパケットを送り込むことでサービス停止を狙う「DDoS攻撃」を例にとってみよう。

TiFRONTに内蔵されたセキュリティエンジン「TiMatrix」がパケットを収集し、リアルタイムにDDoS攻撃かどうかを判断し、そのパケットを破棄することで、スイッチ単体でDDoS攻撃を止めることが可能だ。

正常な通信のみ許可

マルウェア攻撃のための既存セキュリティ製品との連動

マルウェアによる攻撃も TiFRONTとセキュリティ機器とを連携することで遮断可能 だ。

例えばPCクライアント上で動くセキュリティ対策ソフトがマルウェアを検知した場合、通常であればその情報が本社の情報システム部に通知される。しかし、通知されただけではマルウェアの活動を止めることができない。

「ケーブルを抜け」と指示しようにも、最近では無線LAN化も進んでおり、通信を止めるにもIPアドレスが不明で誰の端末が感染しているのか分からない、という場合もあるだろう。

他社セキュリティ対策機器との連携

TiFRONTはセキュリティ対策機器と連携することで、マルウェアに感染した端末が通信しようとしたタイミングで検知、その検知情報をTiFRONTが受け取ることで、該当端末の通信を遮断するとともに、端末利用者にはその遮断理由を表示することができる。

これにより、人の手を介さずに「検知したら、即遮断」が実現できる。
これが、TiFRONTが選ばれる理由の一つだ。

現在、McAfee, TrendMicro, FireEye, Fortinet をはじめとする大手セキュリティ対策製品とTiFRONTの連携が可能だ。この組み合わせならば、さらなる安全を手に入れられる。

既存セキュリティ製品との連動

導入方法は?

チェック L2レイヤーでセキュリティを実現
TiFRONTの利点は「L2レイヤーでセキュリティを実現できること」だ。導入も簡単で、基本的にはこれまでL2スイッチを置いていたところに「置き換え」すればいい。また、予算の都合で、ガードしたいエリアだけをTiFRONT直結にし、その他許容できるエリアは、TiFRONTの下にハブを接続するなどの構成も取ることが可能だ。

チェック 既存のL2スイッチをリプレースするだけ
オフィスのデスク周りに置かれているL2スイッチをリプレースするだけで、監視の目を行き届かせることができるようになる。実はこれだけでも効果が期待できるお勧めの導入方法だ。もちろん、既存のL2スイッチと混在していても、TiFRONTの利点を十分に享受できる。

チェック TiFRONTを追加導入する
さらには、防御を厚く行いたい重要なサーバー/ネットワークを守るために、TiFRONTを追加導入するという方法もある。情報システム系OAネットワークと、工場や制御系ネットワークの境界にTiFRONTを置くことで、特定のエリアのセキュリティレベルを向上することが可能だ。

チェック 新規ネットワークの構築時に
もちろん、新規ネットワークの構築や、耐用年数を迎えた既存ネットワーク機器をリプレースするタイミングで入れ替えるという方法もお勧めだ。製品は8ポート〜48ポートと規模に応じて選ぶことが可能で、10Gbpsまでの性能も確保できる。

チェック ネットワークを可視化・ダッシュボード「TiManager」
これらのセキュリティ機能を持ちながら、他の機能の性能が落ちないことも注目したい。ネットワークの「可視化」を実現するダッシュボード「TiManager」で攻撃状況をモニタリングでき、それらのレポートを作成することも可能だ。

TiFRONT管理システム

企業、製造業、学校で

TiFRONTの利点が活用できる先進的な事例は「製造業」だ。工場のネットワークはこれまで「壁」を作る仕組みでのセキュリティに頼る部分が多く、最新の攻撃手法においては壁さえ突破できれば、多くの工場機械の制御を奪えてしまう可能性がある。

とはいえ、工場ネットワークで稼働する機器にセキュリティ対策ソフトなどをインストールすることも難しく、制御システムにおける安全確保は難しい。このような場合にも、監視、遮断が行えるL2スイッチは役に立つ。

実例を紹介しよう。制御システムセキュリティセンターは、工場/プラントなどの「制御情報系ネットワーク」のセキュリティ向上のため、ネットワークの境界にTiFRONTを導入し、その有効性を検証した。

その内容は、制御情報系のネットワーク内にあるPCがマルウェアに感染した場合に不正通信を検知、遮断を自動的に行えること。そしてIPアドレス/MACアドレスに基づいたホワイトリスト接続機能を利用し、保守用端末を一時的に接続許可するなど、制御システムの特徴的な機能を実現できる模擬システムを構築した。この結果はワークショップとしても公開され、関係者からも注目されている。

ASCII.jp重要インフラのサイバー攻撃防御演習に参加し、考えたこと

 

 

TiFRONT 内部対策の3つのポイント

 

 

TiFRONT 低コストで高い効果

※文/宮田 健    

 

 

矢印

パイオリンクのお問合せ・資料ダウンロード

| パイオリンクのTOPページ | TiFRONTの製品ページ |

プリント用PDFのダウンロード

このページの先頭へ