しばしば「サイバーセキュリティは複雑だ。よく分からない」と言われる。脅威の複雑さもさることながら、ITの他の分野と異なり、あまりに多くの種類の「セキュリティソリューション」があふれていることも理由の一つではないだろうか。それらを大まかに整理することで、足りないもの、強化したいものを見つける手助けにしてほしい。
2015年に大きな話題となった標的型攻撃は、その巧妙なやり口により「脅威の侵入を100%防ぐことは困難である」「何か1つのソリューションで侵入を防ぐことは困難である」という事実を突きつけた。そこであらためて浮上しているのが「多層防御」の重要性だ。
ここでいう多層防御とは、脅威が入り込むことを防ぐ「予防」の観点で壁を何枚も設け、厚くする、という意味だけではない。もちろん、「ネットワークは突破されても、端末で防ぐ」といった具合に防御を固めることは重要だが、どれだけ壁を厚くしても100%ということはあり得ない。なぜならば“敵”は、こちらの手の内を探り、それに応じて新たな手口で侵入を試みてくるからだ。従って、「侵入はあり得る」という前提に立ち、いち早く内部の脅威に気付き、拡散を防ぎ、被害を最小限に抑える体制を作るという意味も含めた「多層防御」が求められている。
ただ、この多層防御に取り組もうにも、どんな脅威に対してどんな備えを講じるべきかとなると、頭を悩ませる人も多い。
自社にとって最も重要なものを守りつつ、重複をなくし、効率的な対策を取るには、俯瞰的な視点が必要だ。まずは自社が何を守りたいのかを明確にし、ポリシーを示し、担当者と連絡系統を整備することが第一となる。次に、その方針を具体策に落とし込んでいく際の参考として、一連の記事では、セキュリティソリューションを「境界領域(ネットワークセキュリティ)」「内部領域(エンドポイント/サーバセキュリティ)」「インシデント対応・その他」に分け、どのようなツールやサービスがあるか紹介していく。
そもそも「サイバーセキュリティは複雑だ。よく分からない」と評されることは少なくない。ITの他の分野と異なり、あまりに多くの種類の「セキュリティソリューション」が世の中にあふれていることも理由の一つになっているだろう。それを整理し、セキュリティ専門家以外の人々が、自社の弱い部分を把握してセキュリティレベルを高めていく手助けになれば幸いである。
インターネットと自社ネットワークとの境目、いわゆる「DMZ」は、エンドポイントの「アンチウイルス」と並び、最も古くからセキュリティ対策の要となってきた。クラウドやモバイルデバイスの普及によって働き方が多様化した結果、「ネットワークの境界は曖昧になった」と指摘されることも多いが、この部分の防御の果たす役割はまだまだ大きい。境界領域で効果的にフィルタをかけ、すり抜ける脅威を絞り込むことによって、対応のための労力を省くこともできる。
おそらくファイアウォールをはじめとする境界領域のセキュリティを導入していない企業は少数派だろうが、例えばクラウド基盤への移行のようなITインフラ全体の見直しに合わせ、スペックを見直すことが多いと思われる。基盤の変更に合わせ、オンプレミスの機器から、同等の機能を提供するクラウド型のサービスや仮想アプライアンスに移行する事例も増えているという。
ファイアウォールは、異なる二つのネットワークの間でトラフィックの通信元や通信先のIPアドレスやポート、利用するアプリケーションの種類を監視し、ポリシーと照らし合わせて通信の許可/ブロックを制御することで、ネットワークのセキュリティを保つ。最近ではファイアウォール製品単体ではなく、後述するUTMの一機能として提供されることが多い。外部からの不正なアクセスをブロックする役割にフォーカスが当たりがちだが、内部から外部に向けた通信を監視することで、マルウェアに感染した端末が不正なサーバと通信しないよう防ぐこともできる(これはプロキシサーバを用いても可能だ)。
UTM(Unified Threat Management、総合脅威管理システム)は、ファイアウォールの他、境界領域で提供されるVPNやIDS/IPS、アンチウイルス、URLフィルタリングといった複数のセキュリティ機能を1台のアプライアンスにまとめたものだ。一つの管理インタフェースで複数の機能を統合管理でき、導入・運用コストを抑えられるという利点がある一方で、有効にする機能を増やすとパフォーマンスに影響が出るといった課題があり、大規模環境では、性能を追求したアプライアンスを個別に導入するという選択肢もある。
また、ファイアウォールの発展系として、アプリケーションごとに通信を制御するのが「次世代ファイアウォール」だ。許可されたポートを用いるトラフィックでも、アプリケーションによって通信を禁止したり、原則禁止にしつつ特定のユーザーのみに許可する、といった具合にきめ細かく制御を行う。
http://www.atmarkit.co.jp/ait/articles/0203/01/news002.html
5分で絶対に分かるファイアウォール
http://www.atmarkit.co.jp/fsecurity/special/09fire/fire01a.html
ファイアウォールの機能の現状と将来
ベンダー名 | 主な製品名 | URL |
---|---|---|
シスコシステムズ | Cisco ASA 5500-X シリーズ | http://www.cisco.com/web/JP/product/hs/security/asa/index.html |
ジュニパーネットワークス | SSGシリーズ | http://www.juniper.net/jp/jp/products-services/security/ssg-series/ |
チェック・ポイント・ソフトウェア・テクノロジーズ | UTM-1など | http://www.checkpoint.co.jp/products/utm/ |
デルソニックウォール | SonicWALL Network Security Appliance | http://www.sonicwall.com/jp-ja/products/sonicwall-nsa/ |
フォーティネット | FortiGate | http://www.fortinet.co.jp/products/fortigate/ |
パロアルトネットワークス | PAシリーズ | https://www.paloaltonetworks.jp/products/platforms/firewalls.html |
ネットワーク通信を検査し、ポートスキャンのような攻撃準備行動や脆弱性を突く攻撃コードが含まれていないかどうかを検査し、警告するシステム。攻撃の検出にとどまらず、その場でパケットの廃棄などを行い、リアルタイムに遮断を行うのがIPSだ。ファイアウォール同様、UTMの一機能として提供される場合も多い。
ベンダー名 | 主な製品名 | URL |
---|---|---|
シスコシステムズ | Cisco IPS | http://www.cisco.com/web/JP/product/hs/security/ids4200/index.html |
日本IBM | IBM Security Network Intrusion Prevention System | http://www-03.ibm.com/software/products/ja/network-ips |
マカフィー | McAfee Network Security Platform | http://www.mcafee.com/jp/products/network-security-platform.aspx |
TippingPoint | TippingPoint IPS | (→HPからトレンドマイクロ傘下に) |
ネットワークの境界部分で通信を監視し、主にWebやメールの通信に含まれるウイルスを検出する。エンドポイントでのアンチウイルスを補完する位置付けで、UTM製品の一機能として提供されたり、後述のURLフィルタリングとセットになって提供される場合もある。ただし、基本的にはシグネチャに基づいて検出を行うため、未知のウイルスは見逃してしまう恐れがある。このことが、後述するサンドボックスが注目される一因ともなった。
ベンダー名 | 主な製品名 | URL |
---|---|---|
エフセキュア | エフセキュア アンチウイルス Linuxゲートウェイ | https://www.f-secure.com/ja_JP/web/business_jp/products/internet-gatekeeper |
カスペルスキー | KASPERSKY SECURITY FOR LINUX MAIL SERVER | http://www.kaspersky.co.jp/business-security/mail-server |
シマンテック | Symantec Web Gateway | http://www.symantec.com/ja/jp/theme.jsp?themeid=swg |
トレンドマイクロ | InterScan VirusWall | http://www.trendmicro.co.jp/jp/business/products/isvwse/ |
マカフィー | McAfee Web Protection | http://www.mcafee.com/jp/products/web-protection.aspx |
メールの添付ファイルなど、不審なファイルを仮想環境上で実行し、その振る舞いを分析することによって、悪意あるソフトウェアかどうかを判定するセキュリティ製品。シグネチャが存在しない新種のマルウェアも検出できる点が特徴だ。ただし、解析に数分単位の時間を要すること、パスワード付きZIPなど一部のファイルは解析できないといった課題も浮上しており、他のセキュリティ対策と組み合わせて利用することが推奨されている。
ベンダー名 | 主な製品名 | URL |
---|---|---|
シスコシステムズ | Cisco Advanced Malware Protection | http://www.cisco.com/web/JP/solution/security/advanced-malware-protection/index.html |
トレンドマイクロ | Deep Discovery Analyzer | http://www.trendmicro.co.jp/jp/business/products/ddan/index.html |
パロアルトネットワークス | WildFire(クラウド型) | https://www.paloaltonetworks.jp/products/technologies/wildfire.html |
ファイア・アイ | FireEye NXシリーズなど | https://www.fireeye.jp |
フォーティネット | FortiSandbox | http://www.fortinet.co.jp/products/fortisandbox/ |
マカフィー | McAfee Advanced Threat Defense | http://www.mcafee.com/jp/promos/atd/index.aspx |
主にエンドポイント(PC)をターゲットとしたマルウェアの検出に着目してきたソリューションとは異なり、Webアプリケーションが稼働しているサーバへの攻撃を検出するセキュリティ製品だ。具体的にはSQLインジェクションなど、Webアプリケーションの脆弱性を狙う攻撃を検出する。こうした攻撃に対する根本的な対策は、Webアプリケーションを改修し、脆弱性をなくすことだが、すぐには改修が困難な場合の回避策としても活用できる。
ベンダー名 | 主な製品名 | URL |
---|---|---|
インパーバ | SecureSphere | http://www.imperva.jp |
セキュアスカイ・テクノロジー | Scutum(クラウド型) | https://www.scutum.jp/topics/waf_leader.html |
バラクーダネットワークス | Barracuda WAF | http://www.barracuda.co.jp/products/waf |
F5ネットワークス | BIG-IP Application Security Manager | https://f5.com/jp/products/modules/application-security-manager |
特定のWebサイトへのアクセスをブロックする仕組みだ。元々は、生産性向上などの狙いで、不適切なWebサイトや業務とは無関係なWebサイトを表示させないようにする目的で導入されることが多かったが、近年では、マルウェア感染防止の一環として活用されることも多い。マルウェアの感染経路はメールとWebに大別できる。マルウェアを配布するような不正なWebサイトへのアクセスを防止することで、Web経由の感染経路の大元を断つ仕組みだ。ただし、最近では、正規Webサイトが改ざんされ、必ずしも「怪しいサイト」から感染するとは限らないため、あくまでも補足手段と捉えるほうがいいだろう。
http://www.atmarkit.co.jp/ait/articles/1404/02/news002.html
5分で絶対に分かるWebフィルタリング(初級編)
http://www.atmarkit.co.jp/ait/articles/1404/09/news002.html
5分で絶対に分かるWebフィルタリング(上級編)
ベンダー名 | 主な製品名 | URL |
---|---|---|
ALSI | InterSafe WebFilter | http://www.alsi.co.jp/security/is/ |
キヤノンITソリューションズ | WEBGUARDIAN | http://canon-its.jp/guardian/product/wg/ |
デジタルアーツ | i-FILTER ブラウザー&クラウド | http://www.daj.jp/bs/ifb/filtering/ |
標的型攻撃が猛威を振るったケースを目の当たりにして、これまであまり注目されてこなかった「事後対応」や「内部拡散防止」といった分野の重要性が浮上した。だがだからといって、従来から連綿と続いてきた境界での防御が全く意味をなさなくなったわけではない。境界防御をしっかり行うことで、比較的単純な攻撃や既知のマルウェアをふるい落とし、その分のリソースを、対処が困難な脅威に振り向けることができる。その限界と利点をしっかり理解した上で運用していくことが重要だ。
しばしば「サイバーセキュリティは複雑だ。よく分からない」と言われます。脅威の複雑さもさることながら、ITの他の分野と異なり、あまりに多くの種類の「セキュリティソリューション」が世の中にあふれていることも理由の一つではないでしょうか。それを大まかに整理することで、セキュリティ専門家以外の人々が、自社の防御の弱い部分を把握し、セキュリティレベルを高めていくお手伝いをします。
Copyright © ITmedia, Inc. All Rights Reserved.