• 【製品情報】
  標的型攻撃を遮断する多層防御の試み　～IDS/IPSとセキュリティスイッチ
• 2012.06.18

株式会社　日立情報通信エンジニアリングは、マカフィー社やシスコ社の有力パートナーとして包括的ネットワークソリューションを提供する。同社の有賀正和氏は、標的型攻撃事件の多発によって、企業管理者のセキュリティ意識が変わってきていると語る。管理者が抱える共通の悩みと、その解決方法について聞いた。


― 顧客のセキュリティに対する危機意識や関心について、最近変化していると感じていることはありますか？

昨年国内で、防衛関連企業や政府などに対するサイバー攻撃が相次いで発覚したことを契機として、経営者や管理者のみなさんが、危機感を持ち、情報収集を積極的に行っています。また震災をきっかけに、BCPやBYODについても関心が高まっています。


ただし、そういった企業の多くは、すでにファイアウォールやアンチウィルスソフト、IDS/IPSなど要素別の対策の導入は済んでいます。そして、既存の対策でどこが手薄なのか、新たにどこに手当が必要なのかが明確にわからないところを悩みとしている例が多いようです。

日立情報通信エンジニアリング株式会社　有賀正和氏


それを解決するには、まずネットワークの全階層で通信を可視化することが重要と考えています。端末を監視するセキュリティ対策は、端末を統制できない BYOD環境などでは役に立ちません。しかし、全階層で通信を監視すれば、何が行われているかが分かります。その上で、L2スイッチとL7まで監視できる IDS/IPSを連動させるなど、旧来のセキュリティ対策を連携させた多層型の対策が必要となってくるでしょう。


― 多層型セキュリティ対策の具体例を教えて下さい

弊社では、マカフィー社のIDS/IPS「Network Security Platform（NSP）」とパイオリンク社のセキュリティスイッチ「TiFRONT」を連携させて、一般の利用者の使用は許可したまま、不正な通信を 行っている社内端末の通信を遮断するソリューションを提供しています。インテリジェントな検知はNSPが行い、遮断処理は、NSPから送信された情報や TiFRONT自身が検知した情報に基づき、ネットワークのエッジ部分に置かれたTiFRONTが担います。


― IDS/IPSにセキュリティスイッチを連動させる理由は何ですか？

IDS/IPSはそもそも企業ネットワークとインターネットの境界部分に設置して、外部との不正な通信の検知、遮断を行うものです。そのため、社内ネットワークで完結する通信については、関与する術がありません。

TiFRONTを導入し、端末に近い位置で不正な通信を阻止できるようになれば、社内ネットワーク上で完結するスパイ行為や、同一拠点内の端末間での感染 の広がりなどを食い止めることができるのです。また、L7まで可視化できる装置をエッジに置くソリューションに比べ、効果がありながらコストを低く抑える ことができます。



IDS/IPSとセキュリティスイッチの構成


― どういった場面での導入が想定されますか？

端末の統制が困難な環境で、特に有効です。具体的には、大学など文教関連の施設、企業のBYODエリア、不特定多数の人が利用する公衆ホットスポットが挙 げられます。また、自由度の高い社内システム環境を提供して業務効率の向上をねらう企業での導入も見込まれます。システムは、不正侵入を防止する IDS/IPSであるNSP、セキュリティスイッチのTiFRONT、それぞれを管理するNSP ManagerとTiManagerで構成されます。



デモ環境として構成されたIDS/IPSとセキュリティスイッチ、2012年5月31日開催「日立セキュリティソリューションセミナー」にて


― 不正な通信が行われて、通信が遮断されるまでの一連の流れを解説してください。

最近APT（Advanced Persistent Threat）攻撃が問題になっていますが、そこで使われるC&C通信（感染端末への外部の攻撃者からの指示命令等の通信）の例を挙げて説明しま す。メール添付のウィルスファイルを開封して、ある端末がマルウェアに感染したとします。NSPとTiFRONTは以下のように連動します。


1.　感染者PCと攻撃者サーバとのC＆C通信をNSPが検知し「遮断」

2.　NSPは感染者PCの情報をTiFRONTに「送信」

3.　TiFRONTは感染者PCをネットワークから「排除」


以降、社内の他の端末への感染も防ぐことができますが、これはNSPのみでは実現できません。



Skypeを使ったデモ



Skype使用端末に対して表示されたアラート画面


また、内部スパイ行為を阻止できます。たとえば、ARPスプーフィングという攻撃手法を用いると、同一LAN上の端末の通信をすべて傍受できるため、一度この攻撃で社内のファイルサーバへアクセスするためのIDとパスワードを入手すれば、社内の情報資産を自由に閲覧・取得できるようになってしまいます。 TiFRONTはARPスプーフィングを検知した時点で、攻撃者の端末を遮断します。
業務効率の面からも、たとえばSkypeが未許可アプリケーションなら使用をNSPで検知してTiFRONTで遮断することが可能です。


いずれのケースでも、遮断された端末のブラウザから任意のWebサーバにアクセスしようとすると、アラート画面が表示され、端末の使用者が認知できるようになっています。


―日立情報通信エンジニアリングが多層防御をIDS/IPSとセキュリティスイッチで実現した理由はなんですか？

まずIDS/IPSのNSPは処理速度、シグネチャの質、ハードウェアの信頼性の面で競合優位性を持っています。一方セキュリティスイッチのTiFRONTは、他の類似製品では要求されることが多いDHCPとの連携や、MACアドレス登録などの事前作業が不要で導入が容易です。また、コストパフォーマンスが高いので、数が多くなるフロアスイッチを安価にそろえることができます。加えて、10年保証、省電力、電源二重化など、スイッチに要求される企業ユースにも対応しています。


― 最後に、今後のパイオリンク社との協業ビジョンについてお伺いします

IDS/IPSとセキュリティスイッチを組み合わせた多層防御は、マカフィー社と、パイオリンク社の協力で実現しました。NSPとTiFRONTの連携ソ リューションを取り扱えるのは当社だけです。今後もお互いパートナーとして、ICTインフラの安全向上のために、顧客と市場の新しい需要に応えていきたいと思います。


― ありがとうございました。





※本記事は、株式会社イード　「ScanNetSecurity」に２０１２年６月１８日に掲載された記事より転載掲載されております。サービスの内容、料金などは、掲載日または更新日時点のものです。

掲載日：2012/06/18　　http://scan.netsecurity.ne.jp/