insight

Cisco のデジタルビジネス支援サイト

Cisco Insight は、ネットワークを通じて働き方、生活、教育、娯楽、ビジネスを革新する
最新ソリューション情報をお届けするニュースマガジンです。

2016.02 第 2 号 特集記事-2

Network as a Sensor
特集記事 2
2016.2  第 2 号

ネットワークをセキュリティセンサーに
Network as a Sensor:
振る舞いを分析して攻撃感知するシスコの最新ソリューション

ネットワーク機器をデータ転送だけでなくセキュリティにも活用できないか?こんなユニークな発想から生まれたソリューションが“Network as a Sensor”です。
スイッチやルータが生成するネットワーク情報を解析し、サイバー攻撃を検知。特に内部の脅威に対して有効なこのソリューションについて詳しく解説します。

従来の手法では不十分だったセキュリティ対策

内部から持ち込まれるマルウェアや、内部でおこる情報漏えいににどう立ち向かうか?

 企業や組織で利用している情報システムを、セキュリティ上の脅威からどのように守っていくか。これが近年、最重要課題の 1 つとして注目されるようになっています。特定の企業や組織を狙った標的型攻撃や、マルウェア(ウィルス)感染による情報漏えい事件は、日本国内でも数多く発生しています。2016 年 1 月にはマイナンバー制度も始まっており、情報保護の重要性はさらに高くなっています。

 それではこれまでのセキュリティ対策は、十分な効果を発揮していると言えるのでしょうか。

現状セキュリティ対策の問題点

 従来のセキュリティ対策は、大きく 2 つのポイントに焦点を当てていました。

 第 1 は内部ネットワークと外部ネットワークとの境界ポイントです。ここにファイアウォールや IPS(Intrusion Protection System:侵入防止システム)を設置し、外部からの不正アクセスや攻撃を、通信パケットそのものを制御することで防止します。例えば、攻撃対象になりやすいサーバポートへの通信を遮断する、過去に攻撃で使用されたことのある IP アドレスからの通信を遮断する、パケット内部をチェックして攻撃パターンに合致したパケットを廃棄する、といったことを行うのです。

 第 2 は各端末(PC 等)に導入されているアンチウィルスソフトウェアです。これによって各端末にマルウェアが到達した場合でも、感染しないようにします。

 しかしこの 2 つの防御では十分ではないことが、すでにわかっています。

 まず業務関連を装ったメールが送られた場合、ファイアウォールや IPS では防御できません。例えば、マルウェアを Word や Excel、PDF といった一般的なオフィス文書を装ったファイルに偽装してメールに添付すれば、標的企業にマルウェアを送り込むことが可能になります。このマルウェアがすでに発見されているものではなく、特定企業を標的にするために作成された「亜種」であれば、アンチウィルス ソフトウェアでも検知できません。ある調査(※1)によれば、2014 年の 1 年間で発見されたマルウェアの亜種は 600 万に上っており、これは 4 秒毎に新種が登場している計算になるということです。昨年(2015 年)5 月に発覚し、マスコミで大々的に取り上げられた日本年金機構における情報漏えいも、同様の手口で攻撃されたものだと言われています。

 また業務端末を社外で使用し、それを社内に持ち帰って接続した場合には、ファイアウォールや IPS といった境界型セキュリティでは脅威を検知できません。社外で新種のマルウェアに感染すれば、それが社内に拡散される危険性があります。さらに従業員がメール添付やファイル転送によって不正にデータを持ち出そうとした場合も、その発見と対応は困難です。

ネットワークそのものをセキュリティ センサーに

 それではこれらのセキュリティ侵害を防止するには、どうすればいいのでしょうか。発想を根本から変える必要があります。従来の手法は「侵入を防ぐ」ことに主眼を置いていましたが、これに加えて「侵入されることを前提にした対策」も用意し、侵入後の対応を迅速化しなければなりません。 

 これを可能にする有力なアプローチが、ネットワークそのものをセキュリティ センサーにし、脅威を可視化することです。内部ネットワークにおける不審な挙動を検知し、それに対していち早く対応するのです。

 シスコはネットワークの「見える化」のために、ルータ製品やスイッチ製品に様々な機能を搭載してきました。1996 年には IP トラフィック情報を収集する NetFlow という技術を開発、ネットワーク上を流れるパケットをフロー毎に分類し、サンプリングを行うことでフロー単位の流量等を解析できるようにしました。  

 2013 年にはこれをさらに強化した Flexible Netflow を開発し、製品に実装。ネットワーク上の全てのパケットに関する情報を収集・蓄積し、サンプリングベースではなく、全パケットの挙動をモニタリング(フル モニタリング)できるようにしています。また専用 ASIC の開発によって、スイッチ処理への負担を最小限(5 %未満)に抑えることにも成功しています。 

スイッチで脅威を見える化!

 この Flexible NetFlow を活用することで、ネットワーク内部のセキュリティ脅威も簡単に可視化できるようになります。これをソリューションとしてまとめたのがNetwork as a Sensorなのです。

※1出典:http://www.darkreading.com/vulnerabilities---threats/every-4-seconds-new-malware-is-born/d/d-id/1320474

Network as a Sensor が脅威を見える化する

 それでは Network as a Sensor によって、どのようなセキュリティ運用が可能になるのでしょうか。その代表的なシナリオを紹介しましょう。

 下に示すのは、セキュリティ脅威をモニターするためのダッシュボード画面の一部です。Network as a Sensor は 90 を超えるセキュリティ脅威を自動検知し、それらを 11 種類にカテゴライズしてダッシュボードに表示します。 

ダッシュボード画面

 ここでまず注目していただきたいのは、「Recon」と「Exploitation」という 2 つの項目です。Recon は、攻撃前に使われる偵察行為を示しており、Exploitation はマルウェア拡散等のホスト通信を意味しています。この2つの値が上昇しているということは、すでに内部ネットワークにマルウェアが侵入し、標的型攻撃の初期段階が始まっていると推測できます。

 それではどのホストがこのような行為を行っているのでしょうか。ネットワークに接続されているホストのリストを表示し、脅威タイプでの絞り込みを行うことで発見できます。 

ホストのリスト

 その結果、「10.201.3.115」という IP アドレスを持つホストが怪しいことがわかりました。次にこのホストの情報をドリルダウンして表示させます。

ホストの情報

 ホストの種類や接続されている VLAN、MACアドレス、使用しているユーザー等の情報が表示されます。このホストに関するセキュリティ警告をグラフ表示することも可能です。

セキュリティ警告

 これによれば過去 6 日間にわたって、ワームアクティビティ(マルウェア拡散)が発生していたことがわかります。このアクティビティの詳細表示も可能です。

ワームアクティビティ(マルウェア拡散)が発生

 ここまでわかれば、このホストをネットワークから切り離す等の処置を、確信を持って実施できるようになります。初期段階で処置を行うことで、セキュリティ脅威の影響を最小限に抑えることが可能になるのです。内部ホストが攻撃者の C&C(Command & Control:マルウェアを遠隔操作するためのコンピュータ)に接続されている場合には、それも検知できます。

 また内部から故意に情報を持ち出すために、外部に大量の情報が送られた場合も、どのホストでどのユーザーがその行為を行っているのかを突き止められます。このような監視を行っていることを社内に公表しておけば、情報漏えいにつながる行為を牽制しやすくなります。

Network as a Sensor の構成要素

 Network as a Sensor を使用するには、コア、ディストリビューション、アクセスの全てのスイッチが、Flexible Netflow に対応していることが前提になります。現在では以下の製品が Flexible NetFlow に対応しています。

Network as a Sensor の構成要素

 Flexible Netflow の情報を管理してダッシュボードに表示するには、Lancope 社の Stealth Watch という製品を使用します。これによって 90 以上の脅威を自動検知し、これらをカテゴライズして GUI に表示できるようになります。この製品は米国政府の認定を取得しており、その効果も高く評価されています。なおシスコは昨年12月に Lancope 社の買収を完了し、今後Ciscoの製品ポートフォリオに統合される予定です。

 これらを組み合わせた Network as a Sensor の構成例を以下に示します。

Stealth Watch

 シスコは 2015 年初頭からこのソリューションを提供しており、すでに 800 を超える企業や組織が導入しています。その中には米国防総省等も含まれています。

脅威の封じ込めを自動化する Network as an Enforcer

  シスコは Network as a Sensor を提供する一方で、ソフトウェア定義型でネットワークをセグメント(分離)する、Network as an Enforcer というリューションも提供しています。これは、Cisco Catalyst シリーズ スイッチと Cisco TrustSec、Cisco ISE(Identity Services Engine)を連携させることで、ネットワーク全体でセキュリティ ポリシーを適用し、アクセス制御を実行するというものです。

Network as an Enforcer

 従来のアクセス制御は、求められるセキュリティ レベル毎にVLANでネットワークを分割(セグメント化)し、どのユーザーがどの VLAN に接続できるのかを ACL(Access Control List)で定義する、というアプローチが一般的でした。セキュリティ ポリシーに変更が加えられた場合には、必要に応じて新たな VLAN を追加し、これに合わせて ACL も修正する必要があったのです。また無線 LAN を使用する場合には、アクセス先の VLAN に応じて SSID を分けるといった対応も必要です。そのためポリシー変更を柔軟に行うことが難しく、管理コストも高くなるという問題を抱えていたのです。

 これに対して Network as an Enforcer では、アクセス スイッチの入口で全てのパケットに「TrustSec タグ」という情報を付加し、この情報に基づいてネットワーク内のアクセス権を制御します。どのパケットにどのようなタグを付けるかは、ユーザー毎のアクセス ポリシーを管理する ISE によって制御されます。セキュリティ ポリシーの変更は、ISE の設定変更だけで対応できます。VLAN を追加する必要もなく、VLAN の構成変更に応じた ACL修正も必要ありません。これによってセキュリティ ポリシーの柔軟性が高まり、管理コストも削減できるのです。

 TrustSec タグは LAN 内だけではなく、WAN を介した場合でも有効に機能します。例えば VPN でリモートアクセスを行った場合でも、TrustSec タグによるアクセス制御が行えます。 

VPNリモートアクセス・ユーザーのアクセス制御

 Network as an Enforcer を Network as a Sensor と連携させることも可能です。ISE には pxGrid と呼ばれる API が装備されており、StealthWatch は pxGrid の利用をサポートしています。

Network as a SensorとNetwork as an Enforcerの統合

 このようなネットワークを構築すれば、セキュリティ脅威に対する自律的な対応も可能になります。例えば、マルウェア感染端末を自動的に発見し、その端末の通信経路を検疫のための区画へと自動的に変更する、といったことも実現できるようになります。

高度な攻撃に対応できる専門家の育成も支援

 シスコでは、Network as a Sensor や Network as an Enforcer を設計、導入するための支援サービスも提供しています。お客様の課題を明確化し、それに対する最適なソリューション展開方法を提案しています。

 またこれらのセキュリティ防御モデルを理解し、高度な攻撃に対応できる専門家の育成も支援する「サイバーレンジサービス」もご用意しています。これはロールプレイ型のコースであり、参加者は攻撃側と防御側の 2 グループに分かれ、実環境を使用した演習を行います。これによって座学だけでは得られない、実践的な知識やスキルを習得できます。

 サイバーレンジはすでに数多くの企業で活用されており、実践的なワークショップであると高く評価されています。またグローバルでのセキュリティイベントにおける CTF(Capture the Flag、いわゆる「ハッカーコンテスト」)コンテストや、米国太平洋軍の合同演習等でも活用されています。

 このようにシスコは、企業ネットワーク全体におけるセキュリティ脅威の可視化や自律対応、さらには人材育成に至るまで、総合的な取り組みを進めています。これらを活用することでセキュリティをさらに強化し、脅威の影響を最小限に封じ込めることが可能になります。