自己防衛型ネットワーク Self-Defending Network:SDN
ネットワークに自己防衛する力を
今日、ネットワークは、あらゆる企業や組織にとって、ビジネスを成功に導くための重要な要素になっています。常に信頼できる IT サービスを提供するためのセキュリティもまた、生産性向上のために必要不可欠なシステムです。
しかし現在、ネットワークは新たなタイプの脅威に直面しています。
犯罪集団が、特定の企業、組織を狙い撃ちにするスピア形攻撃。自社の PC が乗っ取られ第三者への攻撃に利用されるボットネット。
ファイアウォール、アンチウイルス ソフトなどの従来型のセキュリティシステムだけでは、もはやこれらの新たな脅威に対応ができなくなっています。
一方で、VPN リモートアクセス,無線 LAN などの便利なネットワーク技術が、機密情報の漏えいなどの発生要因として問題になっています。
このように多様化するネットワークにおいて、新たな脅威による被害を回避するには、ネットワーク全体にセキュリティが組み込まれ、その構成要素同士が一体となって防御するシステムが最も効果的です。
個人情報保護法、日本版 SOX 法などの内部統制強化の動きに対応し、現在、セキュリティリスクを管理、低減するシステムの導入は最優先すべき課題となっています。このことからも、持続的に運用可能な、予防的で広範囲なセキュリティ対策が、今、ネットワークシステム全体に求められているのです。
進化する自己防衛型ネットワーク
シスコの自己防衛型ネットワーク(Self-Defending Network : SDN)は、セキュリティに対する脅威を、被害が発生してから対処するのではなく、事前に発見、防御し、実害を封じ込める、すなわち自己防衛を可能にします。
インターネットとの境界はもちろん、組織内のユーザの PC からアプリケーションサーバまでのネットワーク上のすべての要素が、発生する攻撃や脅威に対し、より早い段階で自動的に対応することで、変異するウイルスやボットネットなどの活動を予防的に抑制し、被害を回避します。
自己防衛型ネットワークの" 適応型防御システム(Adaptive Threat Defense
: ATD)"では、さまざまな種類の脅威に合わせた対策が、複数のポイントで展開されます。ネットワークに脅威が発生した場合、PC などのエンドポイントとネットワーク、および監視システムは、高度に連動して、ネットワーク全体の防御レベルを引き上げます。またこれと同時に、「どこでどのような問題がおこったのか」を、管理者に可視化して報告することで、発生したセキュリティ侵害の分析と対応のための迅速な意思決定(みえる化)を支援します。
これにより、現在のシステムが持つリスクを正確に把握し、改善へと繋げるという、セキュリティシステムにおいて最も重要なライフサイクルが持続的に運用可能となり、新たな種類の脅威に対しても、常に最善の対策をとることができるようになるのです。
自己防衛型ネットワークのフレームワーク
自己防衛型ネットワーク(SDN)では、基本的なセキュリティ システムは、ネットワーク全体に、あらかじめ組み込まれます。
その上に、必要に応じて、さらに高度なテクノロジーを用いたセキュリティサービスを追加することで、脅威発生時の影響を極小化します。
さらに、それらの管理を統合化することで、真に効果が実感できるセキュリティシステムを運用することが可能となります。
システム概念図
※ 画像をクリックすると、大きく表示されます。
自己防衛型ネットワーク(SDN)の柱となる 3 つのセキュリティ戦略
シスコは自己防衛型ネットワーク(SDN)の基本方針に基づき、
- 統合化セキュリティ
- コラボレーションセキュリティ
- 適応型防御セキュリティ
の 3 つの具体的な柱となる戦略に基づいたソリューションを提案しています。
統合化セキュリティ
ネットワーク構成要素としての防御システム
- セキュアコネクティビティ(高度な VPN 技術など)
- 攻撃防御システム
- ユーザ認証システム
- 不正なルーティングの防止機能
など
セキュリティ専用製品が個別に機能する従来のポイントソリューションと異なり、ネットワークに統合されたセキュリティでは、ネットワークを構成するルータやスイッチなどの各デバイスにもセキュリティ機能を搭載し、ネットワークそのものが自らを保護します。
自己防衛型ネットワーク(SDN)では、アプリケーション間の安全な接続性を実現するセキュア コネクティビティ、多様な攻撃を無効化するマルチレイヤの防御システム、許可されないアクセスをネットワークで制御するユーザ認証システムなどのソリューションを提供しています。
コラボレーション セキュリティ
高度に相互連携するセキュリティシステム
- ネットワークアドミッションコントロール(NAC)
- 有線・無線 LAN 環境のアクセス認証(IBNS)
- 不正検知情報の集約とポリシーへの反映
など
攻撃手法や、脅威の侵入経路の多様化に対応するためには、さまざまなセキュリティ技術が相互に連携して動作することが重要です。
たとえば NAC は、 PC の「健康状態」に応じてネットワーク上のデバイスが連動することで、組織のセキュリティ ポリシーを満たさないノードを隔離します。
IBNS による LAN アクセスのユーザ認証は、リモート VPN アクセスなどのユーザ認証と一元管理することが可能です。
また、検知した攻撃情報をネットワーク全体の防御デバイスに迅速に反映させることで、被害の拡大を食い止めたり、検知の精度を向上することも、綿密な相互連携によって実現できます。
適応型防御セキュリティ
適材適所による、予防的な防御
- Web、E メールのアプリケーションを利用した攻撃 ●からの防御
- マルウェア(悪質なソフトウェア)のブロック
- ネットワーク異常の検出と対処
- 不正トラフィックの封じ込め
など
適応型防御システム(Adaptive Threat Defense : ATD)は、さまざまな脅威に対して、「適材適所」の防御を実現します。たとえば、従来のファイアウォールで防御できない、 Web、 E メールなどのアプリケーション アクセスを利用した攻撃には、より高度な通信内容の検査や、「Anti-X 防御」技術で対処することが可能になります。
「適材適所」のシステムでは、エンドポイントや、ネットワークを流れる通信のより厳密な検査と管理が行われることで、未知の脅威に対しても柔軟に適応できるため、予防的な対策をとることが可能となります。
