新たな脅威に動的に対応し、利便性とセキュリティを両立させる“次々世代”ファイアウォール/IPSの実力キーワードは「可視化」と「インテリジェント化」

一般企業でも大学でも、クラウド利用が進むことで、ネットワークセキュリティについての考え方を変えざるを得ない状況が生まれている。もはや「利便性とセキュリティは両立しない」と言っていられる時代ではなくなってきた。そうした中、同志社大学の見いだした“現実解”とは?

» 2019年04月24日 10時00分 公開
[PR/@IT]
PR

従来とは異なる考え方でのセキュリティ対策が不可欠に

 メールアカウントへの不正アクセスから、大量の個人情報の流出、機密情報の漏えいまで、重大なセキュリティ侵害に関する報道が後を絶たない。一般企業や行政機関にとどまらず、大学などの教育機関におけるセキュリティインシデントも減少する気配が見えない。もともと大学は、サイバー攻撃の対象になりやすい。そして、実害が発生し、ニュースとして取り上げられれば、教育機関としてのブランド価値に悪影響を与えかねない。

 根本的な問題は、攻撃する側の進化と、守る側の態勢との間のギャップがますます広がっていることだ。

 攻撃する側の動機は、以前に比べて多様化すると同時に、深刻さを増している。サイバー攻撃は、一部の組織にとって重要な「武器」になっており、豊富な資金源をバックにしていると思われる活動も目立つようになってきた。これは、セキュリティ上の脅威が高度化する一因にもなっている。一方、攻撃に使えるツールや情報は以前に比べて進化し、しかも入手が容易なため、新たな攻撃者が生まれやすい状況になっている。動機の多様化と攻撃者の増加は、攻撃対象の多様化にもつながっている。

 こうした動きにより、セキュリティの世界は以前とは様変わりした。どんな企業や公的機関でも、従来型のファイアウォールやウイルス対策ソフトで事足りるといえる状況ではなくなってきた。これは、伝統的に自由なインターネットアクセス環境を重視してきた教育機関や研究機関でも例外ではない。逆に、インターネット利用の利便性を最大限に保ちながら、セキュリティを強化していかなくてはならないという点では、こうした機関の方が大きな課題に直面しているといえるだろう。

 セキュリティ対策が困難さを増している理由として見逃せないのは、クラウド利用の進展だ。企業だけではなく学校などでも「Microsoft Office 365」や講座管理システムをはじめとしたSaaS(Software as a Service)やオンラインストレージなど、さまざまなクラウドサービスを利用するようになってきた。

 昔はインターネットアクセスというと、ほぼWebを通じた情報収集に限られていた。だが、多様なクラウドサービス利用の進展で、インターネットとの間ではさまざまな重要度を持つ通信が混在するようになってきた。また、企業や組織におけるほぼ全てのユーザーがインターネットを利用するようになってくると、リテラシーの多様化も避けることができない。PCだけでなく、スマートフォンやタブレットPCなど、端末の多様化も管理の難しさに拍車を掛けている。

 このような急速な状況の変化により、あらゆる組織において、従来とは異なる考え方に基づく対策が不可欠になってきている。根本的なテーマは、インターネット利用の多様化と高度化に対応し、“新たな次元で利便性とセキュリティの確保を両立させること”にある。

セキュリティに「効く」と断言できるキーワードとは?

 セキュリティ関連の製品/サービスでは、新たなジャンルが次々に生まれてきた。では、導入する製品/サービスの種類を増やせば増やしただけ、セキュリティが強化できるのかといえば、そうではない。

 キーワードは「インテリジェント化」と「可視化」だ。

 一般的に、IPアドレスやポート番号にとどまらず、アプリケーションを認識し、これに基づいてきめ細かい通信の制御ができるファイアウォールが「次世代ファイアウォール」と呼ばれてきた。だが、ゼロデイ攻撃の増加に伴い、境界セキュリティにおいても最新の脅威への対応が大きな焦点になってきている。そこで登場してきたのが「脅威に重点を置いた次世代ファイアウォール」だ。

 現在は、ファイアウォールに対して一度行った設定が、新たな脅威が登場したことで翌日には十分ではなくなってしまう可能性がある。このため、こうした製品では自社のセキュリティ分析チームが得た情報や知見を、ファイアウォールによる通信制御へ迅速に自動反映する機能を搭載している。各組織のセキュリティポリシーに基づきながら、静的ではなく動的な通信制御を適用できるようになっている。

 こうした進化を踏まえても、境界セキュリティだけでは限界があることは、ますます明らかだ。ファイアウォールでは通常の通信しか行われていないように映っていても、内部ネットワークでセキュリティ侵害が発生するといった例も増えている。

 さらに厄介なのは、境界セキュリティで検知されないことで、セキュリティ侵害あるいはその兆候が発生したことに気が付かないまま、何カ月も経過してしまうことがある点だ。大規模なセキュリティ問題が発生した際、原因や経緯を究明するために詳しく調べてみると、数カ月前から小規模な偵察活動など、セキュリティ侵害が起こっていたことが初めて明るみに出るケースは多い。

 そこで最近、セキュリティトレンドとして「内部ネットワークにおける通信を、セキュリティの観点から可視化する」ことが注目されている。内部で何が起こっているのかを把握し、これに基づいてセキュリティポリシーや設定を継続的に改善して、攻撃中や攻撃後の対応を迅速に行うということだ。

 「『攻撃後の対応』など意味がないのではないか」と思う人がいるかもしれないが、そうではない。上記のように、小規模な偵察や侵害の兆候が見られた後に、大規模な攻撃が発生するケースが多いからだ。つまり、初期の攻撃発生を迅速に検知し、対応すれば、大規模な被害を防げる可能性がある。

 内部ネットワーク通信の可視化はまた、事前の対策強化にもつながる。なぜなら「攻撃が発生しているか」以前に、「適切な通信が行われているか」を確認できるからだ。

 企業などのデータセンターでは、「ゼロトラスト」というキーワードが広がってきている。サーバや仮想マシンなどを単位として、必然性のある相手および内容の通信だけを許可し、他の通信は一切許可しないという考え方だ。ゼロトラストというのは、文字通り「信頼ゼロ」ということ。個々のホストについて、ファイアウォールの内外を問わず、「誰も何も信じない」、つまり、全ての通信をブロックすることから出発し、必要な通信だけをホワイトリスト的に許可する。

 「大学などの自由を重んじるところでは、ゼロトラストの適用は無理だ」という印象を持つ方もいるかもしれない。だが、ホストによっては、限定的な通信しか必要としないものもある。また、一般的なエンドポイント(PCなどの端末)についても、他のエンドポイントとの直接通信は通常あり得ない。利便性を損なうことなく、セキュリティを強化するという観点から、「ゼロトラスト」という考え方を部分的にでもいかにして取り込むかを考え、実行に移すことには大きな意味がある。

 シスコシステムズの「Cisco Firepower NGFWNGIPS」(以下、Cisco Firepower)は、これまで述べてきたセキュリティトレンドを、導入と運用が容易な形で実現できる次世代ファイアウォールだ。Cisco Firepowerは、ファイアウォールにとどまらず、統合的なセキュリティ制御システムとなっている。

ALT ▲シスコシステムズの次世代ファイアウォール/IPS「Cisco Firepower NGFW & NGIPS」

 Cisco Firepowerは「脅威に重点を置いた次世代ファイアウォール」であると同時に、IPS(Intrusion Prevention System:侵入防御システム)とネットワークベースのAMP(Advanced Malware Protection:高度マルウェア制御)機能を統合している。これらが一元管理でき、防御に関しても連動する。そして、これら全ての機能が、世界中でセキュリティ上の脅威を1日当たり200億件以上もブロックしているシスコシステムズのセキュリティインテリジェンス&リサーチグループ「Cisco Talos」に支えられている。

 Cisco Firepowerでは、単一のコンソールを通じて、境界および内部ネットワークの通信を統合的に可視化できる。IPSはエージェントレスで、セキュリティ上の脅威、ユーザー、アプリケーションプロトコル、ファイル転送などに加え、PCやモバイル端末と、そのOSおよびクライアントアプリケーション、プリンタ、サーバなどを可視化し、その上で攻撃に対する防御を行う。また、AMPは、内部ネットワークに入ってきたファイルの活動を観測、分析、記録し続ける。そして、複数の手法を駆使し、既知/未知のマルウェアを検出して、リアルタイムでブロックする。

 未知だったファイルがCisco Talosの調査によってマルウェアだと後から分かることもある。また、悪意のある動作が、マルウェアの社内ネットワークにおける活動開始後に検出されることもある。この場合、AMPは「マルウェアがどこからきて、どこで何をしているのか」を文脈として示す「レトロスペクティブアラート」を通知し、セキュリティ担当者はわずか数クリックで攻撃を封じ込めることができる。

同志社大学はどのようにしてネットワークセキュリティを改善したのか?

 Cisco Firepowerを導入し、使いこなしている例に、同志社大学がある。同校は、全学ネットワークシステムの更改と同時に、ネットワークセキュリティの見直しを行った結果、Cisco Firepowerを選定した。

 見直しのポイントは、より利便性の高いインターネットアクセスの実現と、その裏付けとなるセキュリティの確保だ。例えば、従来はインターネットアクセスでプロキシ認証を適用していたが、これでは利便性が低く、利用できるアプリケーションにも制限がある。より自由なインターネット利用環境を実現しながらも、何が起きているかを確実に把握し、即時対応できるようにすることが目的だった。

 同校ではそれまでIDS(Intrusion Detection System:侵入検知システム)を利用してきた。だが、問題発生時の対応を迅速化するためには、検知だけでなく防御を自動化する仕組みが必要だった。そこでIPSの機能を特に吟味した上で、次世代ファイアウォールと統合されたCisco Firepowerを選択。結果として、パフォーマンスの劣化もなく、通信が安定している点、そして機能統合により機器構成がシンプル化し、通信ログを一元管理できるようになったという。

 Cisco Firepowerでは、集中管理解析サーバ「Cisco Firepower Management Center(FMC)」との連携で、通信から判断できるプロトコル、アプリケーション、OSなどの情報をデータベース化する。そして、この内容に基づいて、IPSシグネチャの自動選択やインシデントの緊急度などに関する識別機能を提供する。

 こうした機能によって、運用負荷を抑えながらもセキュリティを強化できたことを、同志社大学では高く評価している。


 「利便性とセキュリティは相反関係」と言われ続けてきた。大局的には、誰もこれを否定することはできない。だが、クラウドシフトによって、今ではさまざまな組織が「誰でもどこからでも柔軟にアクセスできる」環境を整備せざるを得なくなっている。すなわち、新たなレベルの利便性実現が最重要課題になってきている。かといって、セキュリティをおろそかにするわけにはいかない。逆に強化しなければならない。

 だからこそ、同志社大学のように、ネットワークセキュリティについての考え方を変える必要がある。キーワードは「可視化」と「インテリジェント化」。Cisco Firepowerは、マルチクラウド時代にふさわしいセキュリティに取り組む組織に歓迎され、採用が広がっている。

Copyright © ITmedia, Inc. All Rights Reserved.


提供:シスコシステムズ合同会社
アイティメディア営業企画/制作:@IT 編集部/掲載内容有効期限:2019年5月27日

RSSについて

アイティメディアIDについて

メールマガジン登録

@ITのメールマガジンは、 もちろん、すべて無料です。ぜひメールマガジンをご購読ください。