Network as a Security Sensor に関するホワイトペーパー

ダウンロードオプション

PDF (1.1 MB)
Adobe Reader を使ってさまざまなデバイスで表示

Updated: 2018 年 3 月 5 日

ネットワークセキュリティと NetFlow

これまで長い間 IT 組織は、サイバー攻撃からの保護でネットワークの境界セキュリティに重点を置いてきました。境界セキュリティは、保護された資産に転送されるデータに対してはうまく機能します。一方で最近の侵害は、境界セキュリティだけでは永続的で高度な脅威から保護できないことを示しています。Bring Your Own Device（BYOD、個人所有デバイスの持ち込み）、クラウド、Internet of Things（IoT）の登場によって、データはメインサーバの外にも保存されるようになり、ネットワークへのアクセスも従来の制限方法が通用しない時代になりました。進化する脅威からネットワークを保護するには、現在のゾーンベースのセキュリティソリューションを補強する、広範囲を対象とした振る舞いベースのインテリジェントソリューションが必要です。このようなソリューションのひとつは、ネットワーク自体がセンサーのように機能するネットワークインフラを活用することです。このためには、ネットワークから IP トラフィックフローを収集して振る舞いを分析（ネットワークトラフィックを監視）できる異常検知システムを導入します。このシステムは、異常な振る舞い、イベントや傾向がないかネットワークトラフィックを分析することで、不審なトラフィックフロー、ポリシー違反、侵害されたエンドポイントを検出します。

ネットワークの振る舞い分析

各組織では、従業員に技術資産を提供し、重要データへのアクセスを認める方法が根本的に変わりつつあります。企業ネットワークの内外を問わず、モバイルデバイスから重要なデータにアクセスすることは今や当たり前になっています。仮想化とクラウドコンピューティングによりデータセンターの構築やデータ保管場所のあり方が根本的に変化し、重要データの保護が一層困難になりました。こうした分散コンピューティング環境はモバイル性が高くダイナミックで変化が激しいため、可視化、制御、脅威対策の重要性は増しています。さらに、新しいクラウドベースのモバイルテクノロジーアーキテクチャは、特定のデバイスがネットワークにいつ・どこから接続しているかに関するこれまでの前提を打ち壊しており、ネットワークセキュリティを大幅に複雑化させています。第 1 世代のネットワークセキュリティツールは、動的なネットワークトポロジを適切に可視化できません。ますます高度化し、カスタマイズされた攻撃に対して、ネットワークセキュリティ対策を強化し、セキュリティ侵害インシデントが発生する前にその可能性について警告することが求められています。そのため、ネットワークの振る舞い分析（NBA）やネットワークトラフィックの監視が、あらゆるネットワークで不可欠な要素としての地位を急速に固めつつあります。また、異常検知システムと連携して包括的なネットワークセキュリティを実現することも重要になっています。

セキュリティアナリストは、ファイアウォールや侵入防御システム（IPS）などの境界ベースのセキュリティソリューションに加えて、セキュリティ・脅威戦略の一環としてネットワークに NBA ソリューションを導入することも推奨しています。一般的に振る舞い分析ベースのシステムは、効果のないことが多い他のセキュリティツールと比べ、マルウェア、ウイルス、ボットネットなどのセキュリティ脅威に対して効果を発揮します。また、トラフィックを監視し、ネットワークトラフィックフローを通常の動作と比較して異常なアクション/イベント/トレンドを検知することで、ネットワークのセキュリティを強化できるメリットもあります。

ネットワークからネットワークトラフィックフロー情報を取得するメカニズムにはさまざまなものがあります。これらのメカニズムのほとんどは、現在の IT ネットワークに導入済みのインフラで利用できるものです。セキュリティ攻撃を検出して軽減するには、次のような技術を 1 つ以上活用して、アプリケーションデータやネットワークから収集したネットワークフローデータをモニタする必要があります。

● ネットワーク キャプチャ ソリューション：ネットワークフローすべてのパケットを、スニファやネットワークタップを導入してキャプチャし、そのトラフィックをセキュリティアナライザにリダイレクトします。この方式では、ネットワーク内のフローを完全に可視化できますが、導入コストが高い、管理が難しい、トランザクションが非常に長くなるといった問題があります。キャプチャしたすべてのパケットを関連付け、セキュリティ攻撃を特定して軽減するために必要なネットワークタップ、パケットキャプチャソフトウェア、セキュリティアナライザなどにかかるコストも高額になります。

● サンプリングによるフロー エクスポート（パケット キャプチャ）ソリューション：ネットワークの各要素から専用のセキュリティアナライザ/コレクタに、サンプリングしたパケットキャプチャを送信することで実現します。このソリューションは、キャパシティプランニングやトラフィック/アプリケーションの可視化には有効ですが、リアルタイムの脅威軽減という面では不十分です。サンプリング方式でネットワークトランザクションを分析する場合、ほとんどのリアルタイムトランザクションは検出されません。

● フル フローエクスポートベース ソリューション：IP フロー監視（NetFlow）と、StealthWatch のようなセキュリティに焦点を当てた NetFlow コレクタを組み合わせることで、異常なアクティビティや振る舞いを迅速に識別します。フル NetFlow によって、IP フロー対応インターフェイス上でネットワークアクティビティをすべて（サンプリングではなく）フルアカウンティングできるため、イベントの相関関係付けやデータの分析に効果を発揮します。ここで重要なことは、フローをサンプリングせずにすべて収集することで、サンプリングによるパケットキャプチャソリューションよりも誤検知が減るということです。さらに、フローを完全に可視化できるため、従来のセキュリティソリューションでは対応できなかったネットワークスロースキャンやアトミックアタックも特定できます。

ネットワークタップの導入はコストが膨らむだけでなく、大規模なエンタープライズネットワークへの拡張性にも問題があります。Flexible NetFlow ベースの NBA は、これらのオプションの中で理想的なメカニズムです。不明なデバイス、異常なトラフィックパターン、想定外の振る舞いを広範囲かつ詳細に可視化できます。Cisco IOS® Flexible NetFlow は、長期間に渡ってすべてのネットワーク通信をキャプチャできる強力な情報源です。ネットワークアクセスレイヤデバイスで NetFlow を活用すれば、ネットワークをセンサーとして活用できます。この方法ではネットワークアクティビティをすべてアカウンティングし、セキュリティに焦点を当てた NetFlow コレクタに提供できるため、異常を検出して緩和できます。

フローエクスポート技術のタイプ：

フローエクスポート技術で現在のネットワーク要素の主流を占めているのは、sFlow と NetFlow の 2 つです。これら 2 つの技術はいずれも、ネットワークで監視機能とトラブルシューティング機能を提供するために長期間に渡って開発されてきました。このホワイトペーパーでは、これらの技術の概要、その発展の過程、脅威防御システム設計における関連性について説明します。

NetFlow の概要

NetFlow は、NetFlow 対応ルータやスイッチが生成したネットワークトラフィックフローデータを収集・モニタするためにシスコが開発したネットワークプロトコルです。シスコ® ルータ用のパケット交換技術として考案されました。NetFlow の設計思想（図 1）では、フローの最初のパケットによって NetFlow スイッチングレコードがスイッチまたはルータ上で生成され、そのレコードが同じフロー上の後続パケットすべてに（フローの有効期限が切れるまで）使用されます。特定のマッチングルートを検索する際は、フローの最初のパケットのみがルートテーブルを調査するだけで済みます。

図 1. NetFlow の概要

$Description: Y:\Production\Cisco Projects\C11 Deployment Guide-White Paper\C11-736595-00\v2a 170316 2312 Shafeeque\C11-736595-00_Network as a Security Sensor\Links\C11-736595-00_figure01.jpg$

図内のフロー情報はエクスポートでき、ネットワークパフォーマンスの分析やセキュリティの振る舞い分析に使用されています。フローには、実際のパケットデータではなく、通信用のメタデータが含まれています。ネットワークトラフィックの送信者、内容、時間、宛先などの詳細情報が、セッションデータの標準形式です（図 2）。電話の請求書に記載された通話記録のようなものですが、リアルタイムに生成されます。すべてのネットワークトランザクションには通常、各方向に 1 つ、計 2 つのフローがあります。

図 2. 1 つの NetFlow レコードが大量の情報を提供

$Description: Y:\Production\Cisco Projects\C11 Deployment Guide-White Paper\C11-736595-00\v2a 170316 2312 Shafeeque\C11-736595-00_Network as a Security Sensor\Links\C11-736595-00_figure02.jpg$

NetFlow の動作

IP トラフィックがインターフェイスをパススルーしているのをスイッチ/ルータが確認すると、フロー情報（「NetFlow」と呼ばれる）がキャプチャされ、スイッチ/ルータのキャッシュに保存されます。キャッシュに保存されたデータは、アクティブタイムアウトおよび非アクティブタイムアウトに基づいて定期的にエクスポートされます。NetFlow は、インターフェイスをパススルーする IP トラフィック全体のフロー情報をキャプチャし、インターフェイストラフィックをすべてレポートします。NetFlow はさまざまな形式で NetFlow コレクタにエクスポートできますが、そこでのエクスポート形式は「エクスポートバージョン」と呼ばれます。最も一般的な NetFlow エクスポートバージョンは 5 と 9 です。このうち最も一般的なのはバージョン 5 ですが、最新のバージョン 9 ではセキュリティ、トラフィック分析、マルチキャストなどの主要技術において 5 よりも有利です。

NetFlow データのレポートプロセスには、IP フローをキャプチャし、それらをスイッチ/ルータ上で集約し、NetFlow コレクタへエクスポートすることが含まれます。このプロセスの概要を以下のステップで示します。

● NetFlow キャッシュにフローをキャプチャするように NetFlow を構成

● フローをコレクタに送信するように NetFlow エクスポートを構成

● NetFlow キャッシュを検索し、（アクティブタイマー、非アクティブタイマー、キャッシュ制限に基づき）期限切れのフローを特定。（TCP リセット [TCP RST] および最終 [FIN] フラグに基づいて）終了したフローを見つけ、NetFlow コレクタサーバにエクスポート

● 約 20 ～ 25 のフローをまとめて、通常は User Datagram Protocol（UDP）形式で NetFlow コレクタサーバに転送

● NetFlow コレクタソフトウェアは、データからリアルタイムレポートまたは履歴レポートを作成

図 3 は、NetFlow のエージェント、コレクタ、アナライザの関係を示したものです。

図 3. NetFlow エージェント、コレクタ、アナライザ

$Description: Y:\Production\Cisco Projects\C11 Deployment Guide-White Paper\C11-736595-00\v2a 170316 2312 Shafeeque\C11-736595-00_Network as a Security Sensor\Links\C11-736595-00_figure03.jpg$

標準ベースの IP Flow Information Export（IPFIX）への Netflow の発展

NetFlow は長期間に渡って発展を重ねた結果、いくつかのバージョンの NetFlow レコードが生まれました。表 1 は、現在使用されている 3 つの NetFlow バージョンについて説明しています。最新バージョンは NetFlow バージョン 9 です。バージョン 9 はテンプレートベースで、レコードフォーマットの拡張にも対応します。NetFlow サービスが将来拡張されても、基本のフローレコードフォーマットを変更する必要はありません。つまり既存のテンプレートを変更すれば新しいプロトコルにも対応できます。

表 1. NetFlow バージョンの詳細

バージョン	説明
バージョン 5	最も一般的なバージョン提供開始は 2009 年 IPv4 フロー限定
バージョン 9	テンプレートベース最新のルータ/スイッチで使用可能 IPv6、マルチプロトコルラベルスイッチング（MPLS）、IPv4（Border Gateway Protocol（BGP）ネクストホップ）などのフローでレポートに使用
IPFIX	IPFIX = IP Flow Information Export（IP フロー情報エクスポート） IETF 標準基準 NetFlow v9 がベース

バージョン 5（v5）の用途は IPv4 フローに限定されます。また、エクスポートできるフィールドも限られています。

バージョン 9（v9）には、v5 よりも優れた点がいくつかあります。v9 テンプレートでは、レコードで送信する内容をユーザが定義できます。詳細情報を限定できるため、より多くのフローを v9 のデータグラムに組み込めます。

IPFIX は NetFlow の発展系として各種の標準規格に準拠しており、特定のタイムスロットで確認されたあらゆるパケット数のフローにも対応し、多くのプロパティ（同一の送信元、宛先、プロトコルなど）を共有できます。IPFIX では、特別なテンプレートを利用することで、送信デバイスでユーザ定義のデータタイプをメッセージに使用できます。IPFIX はプッシュ方式のプロトコルであり、各送信元は、予め決められた受信元に対して定期的に IPFIX メッセージを送信します。受信元による操作は必要ありません。IPFIX ではトランスポート層プロトコルとして Stream Control Transmission Protocol（SCTP）を優先的に利用しますが、Transmission Control Protocol（TCP）や User Datagram Protocol（UDP）も使用できます。

Flexible NetFlow v9 と IPFIX

Flexible Netflow（FnF）はシスコが提供する次世代の IP フロー監視技術で、フロー監視に 2 つの新しいコンセプトを導入しています。1 つ目はテンプレートを使用できるようになったことです。2 つ目は、ユーザがパケットの詳細を確認し、監視フィールドを独自に選択できることです。NetFlow は通常、IP フロー内の各フィールド（IP アドレス、ポート、プロトコル、TCP フラグなど）を追跡します。Flexible NetFlow では、IP ヘッダーに含まれるほぼすべてのフィールド、全種類の TCP フラグ、VLAN タグや URL などの情報を選択できます。

NetFlow は通常、IP アドレス、ポート、プロトコル、TCP フラグなどの IP 情報を追跡します。ほとんどのセキュリティシステムでは、この情報に基づいてネットワークの振る舞いを分析し、セキュリティインシデントを検出します。Flexible NetFlow では、IPv4/IPv6 ヘッダー内の全フィールドや、各種の TCP フラグといった幅広い IP 情報を追跡できます。また、1 つのパケットの複数セクションをエクスポートすることもできす。追跡する情報には、キーフィールド（フローを作成するために使用）と非キーフィールド（フローによって収集される）があります。最初の NetFlow キャッシュを使用して脆弱性（異常）を検知し、2 番目のキャッシュを作成して特定の問題に注力できます。

NetFlow v9 の後継として IPFIX RF 5101 と RFC 5102 がリリースされており、いずれも NetFlow v9 RFC の機能を引き継いでいます。IPFIX には、NetFlow v9 で使用されているフィールドタイプと互換性のある情報要素識別子（RFC のセクション 5 で指定）の概要一覧が含まれています。シスコ製デバイスで NetFlow v9 を設定して IPFIX 形式でエクスポートすれば、標準用途で利用できます。IPFIX 形式でエクスポートする主な利点：

● IPFIX では、ベンダー独自の情報を含むベンダー ID を指定可能

● IPFIX は可変長のフィールドに対応しているため、URL をエクスポートする際に便利

Flexible NetFlow（v9）と IPFIX の組み合わせが、従来の NetFlow より有利な点：

● フローデータの柔軟性、拡張性および集約機能が従来の NetFlow よりも向上

● レイヤ 2 ～ 7 までの広範囲で IP パケット情報を監視可能

● ネットワーク異常検知とセキュリティ問題の検出機能が強化

● フロー情報を独自定義し、トラフィック識別のカスタマイズや、特定のネットワークの振る舞いに絞った監視が可能

● 複数のアカウンティング技術を 1 つのアカウンティングメカニズムに統合

NetFlow の用途

NetFlow はネットワーク業界に広く普及し、ネットワークのキャパシティプランニングからネットワーク分析、ネットワークフォレンジックに至るまで、さまざまな目的に利用されています。以下に NetFlow データの主な使用例をいくつか示します。

● ネットワークの可視化：NetFlow コレクタに NetFlow レコードをエクスポートし、ネットワークトラフィック・ネットワークの振る舞いの可視化の向上、ネットワーク使用率の把握、ネットワークキャパシティプランニングに活用

● キャパシティ プランニング：トラフィックフローと帯域幅の使用率を測定

● トラフィック分析：アプリケーションフローを監視

● セキュリティ脆弱性の検出：ネットワークトラフィックを把握することで、新しい IP アプリケーションや脆弱性の検出に活用

● セグメント化ポリシーの検証：NetFlow を利用して、コンプライアンスの観点からネットワークのセグメント化ポリシーを監視。ネットワークのセグメント間に発生した想定外のトランザクションを検出可能

● ネットワーク調査検出：さまざまな形式（通常とは異なるフラグ設定を含む）の TCP/UDP のスキャン、ステルス TCP のスキャン、ポートの再利用、スロースキャン、Internet Control Message Protocol（ICMP）を検出

● データ損失防止：他のセキュリティ対策と合わせて、きめ細かくトラフィックフローを可視化することで、広範囲に及ぶ永続的な攻撃から顧客データ、企業秘密、知的財産、電子メール、財務データを保護

● マルウェアの内部拡散を防止：NetFlow でネットワークを可視化し、ホストネットワークの振る舞いに関するベースラインを確立し、ホストが通信する内部デバイスをモニタし、振る舞いや通信を各種ルール/ポリシーに当てはめることで、マルウェアが拡散していないか効果的に判断できる方法を提供

sFlow の概要

sFlow（サンプリングによるフローとも呼ばれる）は、特定のシスコスイッチ（Cisco Nexus 3000 シリーズスイッチなど）やシスコ以外のプラットフォームでサポートされています。sFlow は、インターフェイスカウンタと連携することで、サンプリングしたパケットをエクスポートできます。レイヤ 2 でのパケットエクスポートの業界標準として発展してきました。最新の sFlow はバージョン 5 です。

sFlow はパケットサンプリング技術です。インターフェイストラフィックの「n」個のパケットから 1 パケットをキャプチャし（「n」はサンプリングレート）、サンプリングしたパケットの最初の「x」バイトをコピーします（sFlow v5 のデフォルトは 128 バイト）。それを UDP パケット（sFlow データグラム）でエクスポートします。最初の「x」バイトでトラフィックの情報を構築するために必要な関連ヘッダーデータをカバーします。ただし sFlow は、パケットに重点を置いているため、IP フローをキャプチャできない可能性があります。分析のためにパケットをキャプチャする場合、サンプリングされたパケットがインターフェイスをパススルーする IP フロー（通信）全体を表すわけではありません。パケットが収集されなかった IP フローは分析されず、ネットワーク通信の可視性にギャプが発生します。

図 4 は一般的な sFlow パケットを示しています。表 2 は、sFlow のサンプリングレートの概要について説明しています。

図 4. sFlow パケット

$Description: Y:\Production\Cisco Projects\C11 Deployment Guide-White Paper\C11-736595-00\v2a 170316 2312 Shafeeque\C11-736595-00_Network as a Security Sensor\Links\C11-736595-00_figure04.jpg$

表 2. sFlow サンプリングレート

リンク速度	サンプリングレート
10 Mbps	200 パケットに 1 パケット
100 Mbps	500 パケットに 1 パケット
1 Gbps	1000 パケットに 1 パケット
10 Gbps	2000 パケットに 1 パケット

sFlow の動作

SFlow システムは複数のデバイスから構成されており、パケットのランダムサンプリングと、カウンタのタイムベースサンプリングという 2 種類のサンプリングを実施します。サンプリングされたパケット/動作とカウンタ（それぞれ「フローサンプル」と「カウンタサンプル」と呼ばれる）は、sFlow データグラムとして中央サーバに送信されます。中央サーバでは、ネットワークトラフィックを分析してレポートするソフトウェアを実行します。このサーバが sFlow コレクタです。

sFlow は、ランダムにネットワークパケットをサンプリングし、その結果を、監視ステーションとして機能する外部の sFlow コレクタに送信します。さまざまなアプリケーションの使用状況の監視やネットワーク使用率の統計的分析において、sFlow のような一様分布サンプリング方式は、高帯域幅を使用するサービスに正確かつ強力に対応できるというのが一般の認識です。

sFlow 対応ネットワーク要素から sFlow コレクタに送信された sFlow フレームは、特定のホストや UDP ポート（デフォルトでは 6343）宛の UDP パケットです。UDP トランスポートメカニズムに信頼性が欠如していても、sFlow エージェントから得られる測定結果の精度にはあまり影響しません。各 sFlow データグラムは、sFlow バージョン、送信元デバイスの IP アドレス、シーケンス番号、含まれるサンプルの数、1 つ以上のフレーム、およびカウンタサンプルに関する情報を提供します。

sFlow と同様に、NetFlow もトラフィックのフレームを収集した後、標準の NetFlow レコード（UDP フレームセットも兼ねており、通常はポート 2055 が送信先）を使用して、分析済みフローの統計サマリーをエクスポートします。また NetFlow システムは、NetFlow クライアント（またはエクスポータ）と NetFlow コレクタで構成されています。一般に NetFlow コレクタは実際のトラフィックの収集・分析を担うサーバで、多くは別サーバが使用されます。

大部分をハードウェアで処理する NetFlow とは異なり、sFlow は、サンプリングによりスケーラビリティを確保しています。このため、サンプリングされたパケットをエクスポートするデバイスの CPU とメモリ容量に負荷がかかります。トラブルシューティングやキャパシティプランニングには適していますが、パケットの一部のみをサンプリングするという性質上、セキュリティには適していません。また、ネットワーク内に存在する可能性のある悪意のある振る舞い、マルウェアやボットネットなどを検出するにはネットワーク内の全フローを包括的に可視化することが必要ですが、それにも対応していません。

NetFlow と sFlow の比較

表 3 では、NetFlow と sFlow を比較しています。

表 3. NetFlow と sFlow の比較

	NetFlow	sFlow
パケットキャプチャ	パケットをキャプチャしない.	すべてのパケットをコピーし、N 個中の 1 個をサンプリングしてコレクタに送信
プロトコルのサポート	レイヤ 2、IP、IPv6	ネットワーク層非依存
設定可能なパケットフィールド	Flexible NetFlow：ユーザ設定可能フィールドオプションあり（テンプレート）	固定のプロトコル情報フィールド
フローレコード	すべてのトラフィックに対して IPv4 と IPv6 のフローレコードをサポート	フローレコードは作成されない。パケットの最初の N バイトをコピー
ハードウェアアクセラレーション	あり。フローレコードはハードウェアで作成され、データプレーンへの影響はなし	なし。ソフトウェアでパケットをキャプチャ
業界標準	IPFIX	sFlow version 5
フロータイムスタンプ（フローの開始時刻と終了時刻）	あり	なし
パケットレート（フロー内のパケット数）	あり	なし
バイト数（フロー内の総バイト数）	あり	あり（一部）

NetFlow と sFlow は根本的に異なります。NetFlow は、ネットワークを流れるトラフィックのレコードであり、すべてのトランザクション（フル NetFlow）を含む場合と、サンプル（サンプリングされた NetFlow）を含む場合とがあります。一方、sFlow は「サンプリングのみ」の技術であり、スイッチまたはルータが N パケットから 1 パケットをランダムに選び固定長の情報を抽出します。

NetFlow の利点：

● 効率性：NetFlow はハードウェアにワイヤスピードで実装され、優れた効率性を実現します。

● 正確性：フル NetFlow フローは、サンプリング方式では提供できない、ネットワークトランザクション全体の正確な詳細情報を提供します。

すべてのフローについて、レイヤ 2 ～ 7 までの詳細情報を取得できます。IP や MPLS などのプロトコルがサポートされています。

● 拡張性：NetFlow はネットワークデバイスのデータプレーンに影響を与えません、1/10/40/100 GE のインターフェイス速度すべてでサポートされています。この技術は、数百ポートに及ぶ何万ものフローを監視できる拡張性も備えています。

● 導入の容易さ：NetFlow は既存のネットワークに容易に導入でき、設定も簡単です。Netflow データコレクションは、市場で最も広く利用されているフローレコードコレクタソフトウェアと連携できます。

● リアルタイム性：NetFlow はハードウェアで実行され、フローレートの変更がフロー統計情報にリアルタイムに反映されます。

● コスト効率性：NetFlow ベースのソリューションには、ネットワークタップや異常検知のためのインラインメソッドが含まれていません。最も安価に侵入検知を実装できる方式です。

一般的なデータ漏えいの分析

今日、インターネットに接続されているすべてのエンタープライズネットワークが、サイバー攻撃の標的になっています。データが漏えいした企業の大半は、優れた境界セキュリティを有していましたが、データ漏えいの検出には効果がありませんでした。現在のセキュリティプラクティスの大半は、卵の殻に例えられます。外側は固く、内側は柔らかいということです。つまり、いったん内部資産が侵害されると、ネットワークに侵入され目的のデータが簡単に盗まれてしまいます。図 5 は、典型的なサイバー攻撃のライフサイクルを示しています。

図 5. 典型的なサイバー攻撃のライフサイクル

$Description: Y:\Production\Cisco Projects\C11 Deployment Guide-White Paper\C11-736595-00\v2a 170316 2312 Shafeeque\C11-736595-00_Network as a Security Sensor\Links\C11-736595-00_figure05.jpg$

ハッカーからネットワークを効果的に保護するには、攻撃手口を理解することが重要です。ほとんどのサイバー攻撃には次の 5 つの段階があります。

1. 侵入してバックドアを確立：攻撃者は、電子メール、ファイル転送、システムの脆弱性を悪用してエンタープライズネットワークに侵入し、マルウェアを感染させます。最初の感染で、攻撃者が運用しているインターネットサーバにコマンドアンドコントロールアクセスを確立します。その後の命令や悪意のあるコードは、そこから送信されます。

2. 偵察とネットワーク トラバーサル：侵害したコンピュータに攻撃者の望むデータが含まれていることは稀です。そのため次の攻撃ステップは、ネットワークトポロジと重要なデータが格納されているサーバを発見することです。攻撃者は、この段階でさまざまな偵察・調査活動を実施します。

3. エクスプロイトによる特権昇格：攻撃者が重要なサーバを特定したら、そのサーバにアクセスできるように権限の昇格を試みます。その際にカーネルレベルのコード実行や、承認されたユーザ ID の偽装といった手口が使用されます。

4. ステージングによる永続化：容量が大きい侵害データは、一時的にオンプレミスのステージングサーバにコピーされます。さまざまな社内の情報源からのデータは、長期間に渡って継続的にサーバにコピーされます。

5. データ漏えい：マルウェアは次に、ステージングサーバのデータを圧縮し、ネットワーク経由でコマンドアンドコントロール（C&C）サーバに抽出します。攻撃者は盗難の痕跡を消去し、盗んだデータを売って金銭に変えます。

NetFlow を活用したサイバー脅威対策

サイバー侵害のライフサイクルを見ると、境界限定のアプローチでは脅威から十分に防御できないことがわかります。攻撃活動のほとんどは、ネットワークの内部で起こっているからです。これら攻撃活動の大部分は、正当な活動を装っています。しかし、ネットワーク全体で全パケットをキャプチャすることは、技術的には可能でありセキュリティインシデントの発生時には重要になるとは言え、現実的ではありません。エンタープライズネットワークをセンサーとして活用する最もシンプルな方法のひとつは、ネットワークで Flexible NetFlow を有効にし、集中的にネットワークトランザクションを分析することです。このようなセキュリティシステムは、ネットワーク内でさまざまな攻撃活動を検出して警告を発します。図 6 は、さまざまなタイプの悪意のある活動を示しています。それぞれの詳細な説明を以下に示します。

図 6. NetFlow ベースの異常検出

$Description: Y:\Production\Cisco Projects\C11 Deployment Guide-White Paper\C11-736595-00\v2a 170316 2312 Shafeeque\C11-736595-00_Network as a Security Sensor\Links\C11-736595-00_figure06.jpg$

ネットワークスキャン：コンテキスト情報の豊富な NetFlow レコードによって、TCP/UDP ポートスキャンのようなネットワークスキャンや、リアルタイムの ping トレースなどのさまざまなネットワークトランザクションを分析できます。

サービス妨害（DoS）：NetFlow ベースの分析によって、TCP Half-Open、ICMP、UDP Port Flooding などの DoS 攻撃を検知してレポートできます。

ホストのレピュテーション変更：エンタープライズネットワーク内のホストはすべて NetFlow アナライザで追跡され、レピュテーションスコアが付与されます。ホストの不審な振る舞いが検出されると、該当するアラームが通知され、管理者にレピュテーションの変更が通知されます。

ボットネット検出：ボットネットはコマンドアンドコントロールサーバに接続して、悪意のあるコンテンツをダウンロードします。NetFlow アナライザは、ブラックリストに登録されたサーバに対するボットネットの接続を追跡して報告します。

フラグメンテーション攻撃：NetFlow レコードをカスタマイズすることで、IP フラグメンテーション ID、フラグメントオフセット、パケット長をアナライザにレポートできます。アナライザは、IP フラグメンテーションのエクスプロイトを検出してフラグを付与します。

ワームの伝播：StealthWatch システムのような NetFlow アナライザは、ワームが存在する場所や、次に伝播しそうな場所を追跡できます。ワームトラッカーは、ネットワーク全体におけるワームやウイルスの拡散状況をノード間でグラフ化できます。感染の範囲や影響を即座に把握できます。これにより、マルウェアの伝播を（数週間ではなく）数時間で阻止できます。

データ漏えい：ほとんどのデータ漏えいは、長期的かつ大規模に発生します。NetFlow 分析では、ユーザが通常よりも多くのデータを内部でアップロード/ダウンロードしていないかを検知できます。アナライザに含まれているフォレンジックフローデータを調べれば、特定ホストと通信しているユーザが誰で、どのような通信方法を使用しているかを把握するのに役立ちます。

セグメンテーション ポリシー違反：多くの組織でネットワークのセグメント化は「設定すれば終わり」の作業と見なされていますが、一度設定されると瞬く間に効果がなくなります。NetFlow 分析では、すべてのネットワークトランザクションを可視化し、望ましくない通信をすぐに確認して制御できます。

NetFlow 分析と攻撃サイクル

ハッキングの産業化は、エニーツーエニーの課題と相まって、システム保護方法を大きく変えています。そのため、これを機にサイバーセキュリティの新しいアプローチについて考える必要があります。それはもはや「攻撃者が侵入するかどうか」という問題ではなく、「いつ侵入されるか」という問題なのです。セキュリティソリューションは、ポイントインタイムのアプローチを止め、連続的なモデルに進化して攻撃前/攻撃中/攻撃後という攻撃サイクル全体に対応できる必要があります。

シスコは、この脅威中心型の新たなセキュリティアプローチをホワイトペーパーで詳細に説明しています。http://www.cisco.com/c/en/us/products/collateral/security/whitepaper_c11-733368.html をご覧ください。

NetFlow ベースの分析は、攻撃サイクルの 3 つの各フェーズで重要な役割を果たしています。図 7 は、攻撃前/攻撃中/攻撃後に、ネットワークがセンサーとして機能する仕組みを示しています。

図 7. 攻撃前/ 攻撃中/ 攻撃後にセンサーとして機能するネットワーク

$Description: Y:\Production\Cisco Projects\C11 Deployment Guide-White Paper\C11-736595-00\v2a 170316 2312 Shafeeque\C11-736595-00_Network as a Security Sensor\Links\C11-736595-00_figure07.jpg$

攻撃前：NetFlow ベースのセキュリティシステムは、ネットワークのベースラインを確立し、「通常の」トラフィックパターンを把握します。ベースラインは、日次/週次のパターン、ホストまたはセグメントごとのアップロード/ダウンロード制限など、さまざまなパラメータに基づいて設定されます。フローベースラインは、通常状態からの逸脱を検知するのに非常に有効です。逸脱の大部分は、マルウェアの活動によって発生します。また NetFlow ベースのトラフィック分析は、セキュリティ管理者が、限度や制限を適用する前にトラフィックのパターンを把握するのにも役立ちます。

攻撃中：ネットワークのベースラインを確立すれば、異常を検知するのは容易です。想定外のトラフィックパターンや、不明なターゲットへの（通常とは異なる）アップロードイベントは、ネットワークにマルウェア活動が発生している可能性を示唆しています。前のセクションで説明したように、NetFlow アナライザが検出してレポートできるサイバー脅威活動にはさまざまなものがあります。StealthWatch システムなどのソリューションには、脅威イベントのデフォルト定義がいくつか含まれています。また、インターネット上のコマンドアンドコントロールサーバの情報に関するクラウドベースのフィードも受け取れます。サイバー脅威対策ソリューションは、適応可能なネットワークのベースライン設定に基づいて構築されます。ベースラインに基づいて異常を検知することにより、ゼロデイ攻撃からビジネスを守ります。

攻撃後：優れたソリューションは、詳細な調査結果を過去に遡って提供できます。セキュリティポリシーを微調整する上で重要なのは、攻撃後に得られた調査結果です。インフラストラクチャを強化して攻撃前の防御を実現し、攻撃サイクルを防ぐ上でも役立ちます。他のデータ保存方式とは異なり、NetFlow レコードは抽象化されているため、数か月または数年に渡って保持できます。インシデントが発生した際に、蓄積されたフロー情報は、攻撃の発生源、開始日、攻撃のトラバーサル、その影響など、攻撃シーケンスを遡って追跡する上で役立ちます。

Flexible NetFlow と StealthWatch を利用した脅威対策ソリューション

このソリューションは、NetFlow レコードを送信するデバイス（NetFlow エクスポータ）および StealthWatch システムという、2 つのコンポーネントを中心に構成されています。

● NetFlow エクスポータ：エクスポータは、NetFlow エクスポートパケットに関するネットワーク層とトランスポート層の詳細情報を保持します。また、エクスポート先 IP アドレス、送信元インターフェイス、UDP ポート番号（コレクタが NetFlow パケットをリッスンしているポート）、エクスポート形式などの情報も含まれます。

◦ フロー：NetFlow におけるフローは、「スイッチと同じインターフェイスに送信されるパケットの単方向シーケンス」として定義されています。各パケットには、同じ送信元 IP アドレス、宛先 IP アドレス、レイヤ 3/レイヤ 4 プロトコル、TCP/UDP 送信元ポート番号、TCP/UDP 宛先ポート番号、および TCP/UDP/IP ヘッダーごとのタイプオブサービス（ToS）バイトが含まれます。Flexible NetFlow は、運用コストの削減、キャパシティプランニングおよびセキュリティインシデント検出機能の改善、柔軟性と拡張性の向上によって、ネットワークインフラを最適化します。

◦ フロー レコード：フローレコードは、NetFlow 対応デバイスをパススルーする一意のフローごとに作成されます。フローレコードの情報は、パケット数やバイト数などの統計情報とともに、パケットヘッダーのキーの詳細情報を示しています。

◦ アクティブ タイムアウト：フローのアクティブ状態が長時間続いた場合、エイジアウト（フロー内の後続パケットのために新しいフローを開始）が必要となります。エイジアウトプロセスによって、エクスポートデータを受け取る監視アプリケーションが最新状態を維持できます。デフォルトではタイムアウト値が 1800 秒（30 分）に設定されていますが、システム要件に応じて調整できます。ほとんどの導入環境では、ベストプラクティスとしての推奨値は 60 秒です。

◦ 非アクティブ タイムアウト：フローから一定時間アクティビティが一切検出されない場合、そのフローはエイジアウトされます。デフォルトではタイムアウト値が 15 秒に設定されていますが、想定されるトラフィックの種類に応じて調整できます。

● StealthWatch システム：Cisco StealthWatch システム（図 8、シスコが買収）は、高性能のネットワーク可視化・セキュリティインテリジェンス専用ソリューションです。StealthWatch システムにより、NetFlow データを他のコンテキストデータソースと合わせて収集、集約、分析し、ネットワーク上のすべてのユーザ、デバイス、トラフィックをリアルタイムに把握できます。コンテキストデータソースには、Cisco Identity Services Engine からの ID データ、syslog や Simple Network Management Protocol（SNMP）などのシステム固有データ、Network-Bsaed Application Recognition 2（NBAR2）や Cisco Application Visibility and Control からのアプリケーションデータなどがあります。

このソリューションは、StealthWatch Management Console と、1 つ以上の StealthWatch Flow Collector という、2 つのコアコンポーネントから構成されています。追加のオプションコンポーネントには、StealthWatch Flow Sensor や StealthWatch Flow Replicator などが含まれます。

◦ StealthWatch Flow Collector：NetFlow 対応デバイスによって生成されたフローデータの一元的なコレクタとして機能します。StealthWatch Flow Collector は、ネットワークトラフィックを監視、分類、分析して、ネットワークとホストの両レベルで包括的なセキュリティインテリジェンスを形成します。

◦ StealthWatch Management Console：企業全体のセキュリティとネットワークインテリジェンスを関連付けるために、すべての StealthWatch アプライアンスを管理、調整、設定します。Cisco Identity Services Engine から認証されたセッション情報を取得し、フローと ID を関連付けます。

図 8. Cisco StealthWatch システム

$Description: Y:\Production\Cisco Projects\C11 Deployment Guide-White Paper\C11-736595-00\v2a 170316 2312 Shafeeque\C11-736595-00_Network as a Security Sensor\Links\C11-736595-00_figure08.jpg$

ネットワークデバイスで稼働する NetFlow エージェントは、各インターフェイスからサンプリングせずにフローデータをすべて収集し、フローレコード形式で NetFlow コレクタにその情報を送信します。管理コンソールは、ネットワークセキュリティと、コレクタ内のフローの調査分析に重点を置いています。管理コンソールは、Cisco Identity Services Engine または Windows Active Directory（ユーザコンテキストのみ）、syslog、SNMP データなどからユーザやデバイス ID などの追加のフィードを取得できます。フローレコードを分析して、振る舞いを分析することもできます。

アクセスレイヤスイッチで NetFlow を有効化

NetFlow エージェントは、ネットワーク内の任意の NetFlow 対応デバイスで稼働できます。対応デバイスには、エッジルータ、ファイアウォール、コアスイッチ、ディストリビューションレイヤスイッチ、アクセスレイヤスイッチなどが含まれます。NetFlow データ収集の目的に応じて、ネットワーク上の適切な場所で有効にできるのです（図 9）。

たとえば、コア層のネットワークキャパシティプランニングを実施することが目的の場合、コアスイッチの NetFlow エージェントを有効にすることでネットワークコアを通過する IP フローをキャプチャし、トラフィックパターンを判断できるようになります。ただし、セキュリティ分析、ネットワークフォレンジック、攻撃検知に関しては、NetFlow をアクセスレイヤスイッチで有効にする必要があります。これによって、ネットワーク内の IP フロートラフィックから NetFlow レコードを可能な限りすべて収集できます。ディストリビューションレイヤまたはコアレイヤのスイッチは、アクセスレイヤに直接接続されたホスト間のネットワークトラフィックによって生成された IP フローレコードを取得できません。エンタープライズネットワーク内でアクセスレイヤスイッチごとに NetFlow エージェントを有効にすれば、最も詳細かつ正確な情報を取得し、以下に関するネットワークの基準を確立できます。

● アプリケーションとネットワークの使用状況。ホストレベルまで詳細化してトラフィック情報を取得できます。アクセスレイヤのワークステーション間（East-West）通信の詳細情報も含まれます。

● ネットワークの生産性およびネットワークリソースの使用率。帯域幅使用状況の詳細を取得できます。集約されたアップリンク - ダウンリンクの帯域幅だけでなく、各ポートの使用状況も把握できます。

● ネットワークの設計変更の影響。エンドポイントホストレベルまで詳細にネットワークを可視化することで、影響を迅速に追跡・軽減できます。

● ネットワーク異常およびセキュリティ脆弱性。アクセスレイヤの NetFlow 情報を利用して、侵害されたホストを迅速に追跡できます。個別のポートレベルで異常トラフィックアクティビティを検出できます。

● 長期的なコンプライアンス問題。ネットワーク上の、コンプライアンスを遵守していないホストを追跡するのが容易になります。問題のあるホストは、ネットワーク上でコンプライアンス問題の拡散を避けるために検疫されます。

図 9. ネットワーク内の場所に基づいた NetFlow トラフィックカバレッジ

$Description: Y:\Production\Cisco Projects\C11 Deployment Guide-White Paper\C11-736595-00\v2a 170316 2312 Shafeeque\C11-736595-00_Network as a Security Sensor\Links\C11-736595-00_figure09.jpg$

アクセスレイヤで NetFlow を有効化すると、先述したような複数の利点が得られます。ネットワーク管理者にとっては、ネットワークトラフィックフローから送信者、内容、時間、宛先、送信方法を把握するのに非常に役立ちます。ネットワークの振る舞いが判明すれば、ネットワークの用途を示す監査証跡も得られます。これによってネットワークのコンテキスト認識力が向上し、中断を招く可能性のある脆弱性を軽減できます。ネットワークの運用をさらに効率化できるというメリットもあります。

ソリューションのパフォーマンスと拡張性

ソリューションを導入する際には、自社のネットワークに適したパフォーマンスが得られ、独自のニーズに応じて拡張可能なハードウェアとソフトウェアを選択することが重要です。表 4 に、ネットワーク要件に基づいて適切なコンポーネントを選択するための主な情報を示します。

表 4. シスコデバイスの NetFlow キャッシュサイズの制限

コンポーネント	ハードウェア	キャッシュサイズ（フロー）
Cisco Catalyst^® 3850, 3650	Catalyst 3850 および 3650 全モデル	32,000
Catalyst 4500E シリーズ	Supervisor 8E	128,000
Catalyst 4500E シリーズ	Supervisor 7L-E	128,000
Catalyst 6500 シリーズ	Supervisor 2T	512,000
Catalyst 6500 シリーズ	Supervisor 2TXL	100 万

脅威防御には Netflow と sFlow のどちらが適しているか？

SFlow システムは複数のデバイスから構成されており、パケットまたはアプリケーションレイヤオペレーションのランダムサンプリングと、カウンタのタイムベースサンプリングという 2 種類のサンプリングを実施します。定義されているサンプリングレートを基に、n パケットまたは n オペレーションの中から平均的なものを 1 つランダムに抽出します。適切なパケットサンプリングレートを選択することは、スイッチにおける sFlow の設定で重要な部分です。sFlow は通常、10 Gbps リンク上で 2000 パケットから 1 つサンプリングするように設定されています。このレートは、大半のネットワークで一般的なトラフィック監視に適しています。表 4 の推奨レートでサンプリングすると、トラフィックの 99 % 以上は無視されることになります。

一般に、ネットワークキャパシティプランニングやトラフィックエンジニアリングといった用途でサンプルデータを使用する場合、これは問題にはなりません。ただし、セキュリティ分析のためのパケットをキャプチャする場合、サンプリングされたパケットがインターフェイスを通過する IP フロー（通信）全体を表すわけではありません。セキュリティ分析では、すべての IP フローを詳細に分析し、侵入の可能性を示す異常なネットワークアクティビティを検出する必要があります。こうした点から、ネットワークの異常を検出するのに適したソリューションは NetFlow だと言えます。NetFlow はすべての通信をキャプチャできるからです。sFlow も異常検知に使用できますが、サンプリングという性質から、重要なフローを逃す確率は高いと言えます。

サイバーセキュリティに使用される IP フローエクスポートプロトコルは次の 2 つの要件を満たす必要があります。

● ネットワーク上のすべてのパケットをモニタしてデータを生成する

● モニタするデータとレポートするデータをカスタマイズできる

ここでの問題は、フローをサンプリングする（sFlow）か、サンプリングしない（NetFlow）か、という単純な選択肢ではありません。むしろ、どちらの IP フロープロトコルが、ユーザ定義フィールドを基にフローレコードデータを提供でき、セキュリティ分析に役立つかという問題なのです。Flexible NetFlow は、その点で優れています。テンプレートベースで、IPv6 トラフィック、MPLS ラベル、マルチキャストトラフィック、MAC アドレス、VLAN ID、ジッター、メディアトラフィックのラウンドトリップ時間などの新しい技術もサポートしているからです。

sFlow は、キャパシティプランニングに加え、トラフィックやアプリケーションの可視化には有効ですが、包括的なセキュリティソリューションとしては不十分です。次にその理由をいくつか示します。

● 誤検知の可能性が高い。sFlow はサンプリングしたパケットのみをエクスポートするため、偏りが発生し、正当なアプリケーションデータに誤って不正フラグを設定してしまう可能性が高くなります。sFlow のフローレコードでも同様で、パケットサンプリングに基づいているため偏りが発生し、誤ってフラグを設定しまうことが多くなります。

● ネットワークスロースキャン攻撃を検知できない。従来のワームによるネットワークスキャン攻撃であればサンプリング手法でも特定できますが、攻撃手口はより巧妙になり、攻撃頻度が下がり、より体系的になっており、サンプリング方式の検知ソリューションを回避できるようになっています。

● アトミックアタック。進化したコード攻撃では 1 パケットのみを送信するため、sFlow のようなサンプリングパケットキャプチャソリューションでは検知できません。フローサンプリングは、ネットワーク管理目的には有効な方式ですが、セキュリティにとっては多くの問題が残ります。

フルフローエクスポートベースのソリューション

IP フロー監視（NetFlow）に、StealthWatch システムのようなセキュリティを重視した NetFlow コレクタを組み合わせることで、通常とは異なる不審なアクティビティや異常な振る舞いをすばやく特定できます。フル NetFlow によって、IP フローが有効化されたインターフェイス上で、ネットワークアクティビティ全体をアカウンティングできるため、相関関係付けやデータの分析に役立ちます。重要なことは、フローをサンプリングせずに収集することで、サンプリングによるパケットキャプチャソリューションよりも誤検知が減るということです。さらに、フローを完全に可視化できるため、他のセキュリティソリューションでは特定できなかったネットワークスロースキャンやアトミックアタックまでも特定できます。StealthWatch ソリューションと合わせて、Netflow のようなフルフローエクスポート技術をネットワーク要素で使用することで、進化するサイバー攻撃を検知して軽減できるクラス最高レベルのソリューションが実現します。

Flexible NetFlow の脅威防御設定

シスコスイッチ/ルータの Flexible NetFlow は、次の 4 つのステップで設定します（図 10）。

フローレコードを作成する：フローを作成するためにトランザクションから抽出するデータを定義します。

1. フローエクスポータを定義する：フローレコードの宛先と送信方法を設定します。

2. フローモニタを設定する：フローレコードとフローエクスポータを結びつけます。キャッシュタイマーを定義します。

3. フローモニタを適用する：必要なインターフェイス、VLAN、または SSID に対してフロー監視を有効にします。

図 10. Flexible NetFlow の設定

$Description: Y:\Production\Cisco Projects\C11 Deployment Guide-White Paper\C11-736595-00\v2a 170316 2312 Shafeeque\C11-736595-00_Network as a Security Sensor\Links\C11-736595-00_figure10.jpg$

このセクションでは、Cisco IOS ソフトウェアベースのスイッチに Flexible NetFlow を順番に設定します。Flexible NetFlow の脅威軽減ソリューションは StealthWatch コレクタにレコードを送信できます。

ステップ 1. パケットの特定フィールドを対象に、ユーザ定義のフローレコードを設定します。match ステートメントでは特定フィールドをキーフィールドに指定します。コレクションのキーワードを使用し、フローに追加され、フローに合わせてエクスポートされる非キーフィールドまたは情報を指定します。以下の例のフローレコードは、IPv4 情報、宛先 IP アドレス、レイヤ 4 情報、宛先ポートを対象に設定されています。さらに、タイムスタンプとバイト/パケットカウンタも送信されます。

Switch# configure terminal

Switch(config)# flow record my-flow-record

Switch(config-flow-record)# description Collect Flow Data

Switch(config-flow-record)# match datalink mac source address input

Switch(config-flow-record)# match ipv4 tos

Switch(config-flow-record)# match ipv4 protocol

Switch(config-flow-record)# match ipv4 source address

Switch(config-flow-record)# match ipv4 destination address

Switch(config-flow-record)# match transport source-port

Switch(config-flow-record)# match transport destination-port

Switch(config-flow-record)# match interface input

Switch(config-flow-record)# match flow direction

Switch(config-flow-record)# collect transport tcp flags

Switch(config-flow-record)# collect interface output

Switch(config-flow-record)# collect counter bytes long

Switch(config-flow-record)# collect counter packets long

Switch(config-flow-record)# collect timestamp absolute first

Switch(config-flow-record)# collect timestamp absolute last

Switch(config-flow-record)# collect counter bytes layer2 long

ステップ 2. フローのエクスポート先（コレクタの IP アドレス）とポート番号を定義します。

Switch(config)# flow export my-flow-export

Switch(config-flow-exporter)# destination <IP address of Flow Collector>

! {flow-collector IP address}

Switch(config-flow-exporter)# transport udp 2055

!{The UDP number of the Flow collector}

Switch(config-flow-exporter)# source <interface>

!{source IP to use to send flows to the Flow collector}

Switch(config-flow-exporter)# template data timeout 60

!{frequency of template exchange with FC}

ステップ 3. フローモニタを設定し、フローレコードとフローエクスポートを関連付けます。フローモニタをインターフェイスに設定し、入力（イングレス）トラフィックを追跡します。

Switch(config)# flow monitor my-flow-monitor

Switch(config-flow-monitor)# record my-flow-record

Switch(config-flow-monitor)# exporter my-flow-export

Switch(config-flow-monitor)# cache timeout active 60

ステップ 4. フローモニタをレイヤ 2 およびレイヤ 3 インターフェイス、スイッチ仮想インターフェイス（SVI）、VLAN、または SSID に適用します。

Switch(config)# vlan configuration <access VLAN>

Switch(config-vlan-config)# ip flow monitor my-flow-monitor input

Flexible NetFlow をサポートするシスコのポートフォリオについて

シスコのルータおよびスイッチで NetFlow をサポートするものを表 5 に示します。ほとんどのシスコのルータ、スイッチ、および他のネットワークデバイスが、NetFlow をサポートしています。詳細については、次のホワイトペーパーをご覧ください：http://www.cisco.com/c/dam/en/us/td/docs/security/network_security/ctd/ctd2-0/design_guides/ctd_2-0_cvd_guide_jul15.pdf

表 5. シスコデバイスの NetFlow サポートマトリックス

プラットフォーム	NetFlow のバージョン
Catalyst 3000-X	バージョン 9
Catalyst 3850/3650 シリーズスイッチ	バージョン 9
Catalyst 4500E	バージョン 9
Catalyst 6500E	バージョン 9
Catalyst 6800	バージョン 9
5760 ワイヤレスコントローラ	バージョン 9
5520、8510、8540 ワイヤレスコントローラ	バージョン 9
シスコ第 2 世代サービス統合型ルータ（ISR）	バージョン 9、従来の NetFlow
Cisco 4000 シリーズ ISR	バージョン 9
Cisco ASR 1000 シリーズ	バージョン 9
Cisco Cloud Services Router 1000V	バージョン 9
ASA 5500/5500-X シリーズ	バージョン 9
Cisco Nexus 7000 シリーズ（M シリーズ I/O モジュール）	バージョン 9
Cisco NetFlow Generation Appliance	バージョン 9
Cisco UCS® 仮想インターフェイスカード（VIC）	バージョン 9

従来の NetFlow：IP 情報の固定の 7 項目を使用し、ほぼ常にフローを特定する。

Flexible NetFlow：テンプレートベースでユーザが定義可能。

ネットワークセキュリティイベントロギング（NSEL）：イベントベースの NetFlow。Cisco ASA 製品でのみサポート。

Netflow ベースの分析は次世代型侵入防御システム（IPS）ソリューションに代わり得るか？

それはできません。NetFlow ベースの分析とシグネチャベースの境界 IPS ソリューションは非常に上手く相互に補完します。NetFlow ベースの分析がヘッダー情報に基づいて広範囲を対象にする一方で、シグネチャベースの境界 IPS ソリューションは特定の場所に導入され、ファイルレベルでより詳細にチェックします。2 つのソリューションの違いについては、表 6 を参照してください。

表 6. NetFlow 分析と次世代型 IPS ソリューションの比較

機能	NetFlow 分析	次世代型 IPS
脅威の検出	フロー分析	ファイル分析
配置	コレクタは一般に中央に配置され、エクスポータは UDP でフローを送信	インラインから保護されたゾーンまで
インスペクション	広範囲（ヘッダー情報に基づく）	詳細。ファイルレベルの分析
プライバシー	ヘッダーレベルのみ確認。ユーザデータは検査の対象外	ファイルやアプリケーションを検査
ストレージ	フロー情報は少なく、調査のために数か月から数年保管可能	パケットまたはファイルをすべて格納することは非現実的。ログのみ長期間保存可能
ホストベース分析	フローベース。クライアントは不要	FireAMP のようなクライアントベースにも対応

NetFlow は異常検知に有用なネットワーク振る舞い分析（NBA）には有効ですが、攻撃の実行を防ぐことはできません。その代わり、セキュリティインシデントの発生時に警告します。シグネチャベースの IPS ソリューションは、シグネチャをトリガーしたフローを阻止することで潜在的なセキュリティ攻撃を防げます。ただし、フローを分析して、標準的なネットワークアクティビティからの逸脱を発生時に特定することはできません。

包括的なサイバー脅威対策ソリューションには、どちらの分析も含まれています。可能な限りすべてのアラートを関連付けることで、脅威をすばやく絞り込み、リアルタイムに防御します。Cisco Cyber Threat Defense 2.0 の詳細については、 http://bit.ly/cisco-ctd-2-0 をご覧ください。

まとめ

NetFlow とは

NetFlow は、ネットワークセキュリティ分析とサイバーフォレンジックの重要なツールです。リアルタイムにネットワークを監視し、既知および未知のゼロデイ DoS 攻撃、ウイルス、ワームを特定して分類します。NetFlow データを調べれば、ネットワークの振る舞いにおける変化を把握し、データフロー内の異常を検出できます。フローデータは、セキュリティ侵害の過程を調べ、再現するための貴重な調査ツールでもあります。NetFlow データは、PCI、HIPAA、SOX など各種の業界標準に関するセキュリティコンプライアンス要件を満たすためにも使用できます。

（サンプリングしていない）フル NetFlow を使用する理由

サンプリング技術である sFlow とは異なり、フル NetFlow は、インターフェイスを通過する IP フロー情報をすべてキャプチャし、トランザクションを欠くことなく全トラフィックデータをレポートします。フローサンプリングはネットワーク管理には有効ですが、セキュリティ確保には不十分です。一定のフローを除外するため、本来であればキャプチャすべき部分からネットワークの侵害を許す危険性があるためです。フル NetFlow によって、IP フロー対応インターフェイス上でネットワークアクティビティをすべて（サンプリングではなく）フルアカウンティングできるため、イベントの相関関係付けやデータの分析といったセキュリティ面で効果を発揮します。

Flexible Netflow はセキュリティ面で優れている

従来の NetFlow は、IP フローの 5 つのフィールド（IP アドレス、ポート、プロトコル番号、TCP フラグ、インターフェイス）を追跡します。Flexible NetFlow では、これを拡張して、IP パケットのほぼすべてのフィールド（各種の TCP フラグや VLAN タグなど）を選択できるようにしています。これはセキュリティ面で有利です。フォレンジック分析で重要となる IP フローの情報フィールドの特定ビットをカスタマイズしてキャプチャできるからです。たとえば Flexible NetFlow では、IP フローの詳細なパケット分析に使用できます。その際、セキュリティ脅威分析に重要な特定ビットのみを抽出できます。

Lancope と Flexible NetFlow は、サイバー脅威を軽減できる最適なソリューションです。

サイバー脅威は変化が激しく、攻撃手口はさらに洗練されています。IT 部門はプロアクティブな警戒態勢を敷き、あらゆる種類のサイバー攻撃を迅速に特定して、発生する前に防御する必要があります。フル NetFlow と、セキュリティ重視の NetFlow コレクタとして機能する StealthWatch システムを組み合わせて導入することで、サイバー脅威を迅速に検知して軽減できます。StealthWatch システムは、ネットワークを詳細に可視化することで、高度な脅威から保護できます。攻撃を検知するためにシグネチャの更新に頼る必要はなく、高度な振る舞い分析によってフローデータを最大限に活用します。NetFlow と StealthWatch を組み合わせたソリューションは、NBA 能力を拡張します。ネットワーク異常の検出時に警告し、潜在的なセキュリティインシデントをプロアクティブに特定できるため、より詳細な調査を可能にします。

詳細については、http://cisco.com/jp/go/enterprise をご覧ください。

このドキュメントは役に立ちましたか?

フィードバック

Network as a Security Sensor に関するホワイト ペーパー

ダウンロード オプション

このドキュメントは役に立ちましたか?

Network as a Security Sensor に関するホワイトペーパー

ダウンロードオプション