 |
Security&Trust トレンド解説
脅威に対して自動的に防衛するネットワーク
鈴木淳也(Junya Suzuki)
2005/5/31
最近、セキュリティ関連のトピックとして「NAC(Network Admission Control)」や「SDN(Self Defending Network)」というキーワードを聞いたことはないだろうか。これらは、ネットワーク機器ベンダであるシスコシステムズが提唱するセキュリティ対策のためのシステム構築モデルだ。今回は、このSDNとNACの仕組みを解剖し、その役割を考察していこう。
 |
なぜSDNが必要になるか? |
ネットワークのセキュリティ対策といえば、古くはファイアウォールから始まり、IDS(Intrusion Detective System)や各クライアントにインストールするウイルス対策ソフトなど、ソリューションは非常に多岐にわたる。
シスコのSDNでは段階こそあるものの、それらを個々のソリューションとしてではなく、ネットワーク全体で1つのソリューションとして利用することを目指している。個々の技術を別個の存在として考えることを「ポイントソリューション」と呼ぶが、シスコでは「個々の技術がばらばらに動作するポイントソリューションでは、未知の事例に対処できない」と主張する。
この例が顕著なのは、ウイルス/ワームの高度化による拡散スピードの増加と、バリアントと呼ばれる変異体の出現だ。かつては、ファイアウォールにおいて水際チェックさえ行っていれば、インターネットから社内LANへとやってくる脅威を防ぐことが可能だった。
ところが、現在のウイルス/ワームにおいては、このような単純な攻撃手段だけしか持っていないものは少ない。たいていの場合、複合型と呼ばれる、複数の感染経路を持つウイルス/ワームが主流であり、チェックをすり抜けて社内ネットワークへと到達する。
例えば、メールやWeb閲覧などを介して感染するタイプのウイルスであれば、ファイアウォールのチェックだけでは心もとないのが現状だ。そこで、各クライアントにはウイルスチェッカやパーソナルファイアウォールを導入し、2重の壁で守るのである。
ウイルス拡散のスピードは日増しに早くなってきている。「ゼロデイアタック」という言葉に代表されるように、被害が一瞬で広がるケースも存在する。企業において週末の休みの間にウイルスがメールボックスに侵入し、月曜日の始業と同時にパニック、という事例も見受けられる。
OSやアプリケーションのバグや脆弱性などを利用した攻撃も大きな問題だ。数年前であれば、こうした脆弱性を利用したウイルスのコードが出回るのには、数カ月の時間が必要だった。だが現在では、数日〜1週間という短期間で攻撃コードが登場し、数日内に全世界を駆け巡るケースも珍しくない。「数秒〜数分で被害が拡大するウイルスが登場するんじゃないか?」という、冗談とも本気ともとれるジョークもささやかれるほどだ。
ウイルスの変異体であるバリアントはさらにやっかいだ。単純にウイルスのパターン検知(定義ファイルによる検知)だけでは、バリアントの存在が発見できない可能性もある。未知のバリアントが登場した場合、既存のウイルスパターン(定義ファイル)では対処できない。そこで、ウイルスそのものではなく、ウイルスの振る舞いを監視して、それがウイルスであるかどうかを確認する技術が必要とされている。
もう1つの脅威が、ウイルスに感染したノートPCやCD-ROMといったメディアの社内LANへの持ち込みや、無線LAN・VPN経由でのウイルスの搬送である。ファイアウォール型の布陣を敷いていても、それとはほかのルートから直接侵入されたらたまらない。
こうした攻撃に対処するには、
- ウイルスが持ち込まれたネットワークを分離してトラフィックの影響を減らす
- 各クライアントや機器にパーソナルファイアウォールを導入して保護を行う
という2つのアプローチを取るのが一般的だ。
基本的には、(1)ウイルス/ワームの接続前チェックの厳格化、(2)リアルタイム監視で必要に応じたネットワークのコントロール、という機構をネットワークに組み込むことになる。これを個別の技術ではなく、1つのコンセプトとしてまとめたのがシスコのSDNである。
1/3 |
|
| Index | |
| 脅威に対して自動的に防衛するネットワーク | |
 |
Page1 なぜSDNが必要になるか? |
| Page2 SDNの3つのフェイズ |
|
| Page3 ウイルス/ワームを防御する「Cisco NAC」 |
|
 |
Security&Trust記事一覧 |
- Windows起動前後にデバイスを守る工夫、ルートキットを防ぐ (2017/7/24)
Windows 10が備える多彩なセキュリティ対策機能を丸ごと理解するには、5つのスタックに分けて順に押さえていくことが早道だ。連載第1回は、Windows起動前の「デバイスの保護」とHyper-Vを用いたセキュリティ構成について紹介する。 - WannaCryがホンダやマクドにも。中学3年生が作ったランサムウェアの正体も話題に (2017/7/11)
2017年6月のセキュリティクラスタでは、「WannaCry」の残り火にやられたホンダや亜種に感染したマクドナルドに注目が集まった他、ランサムウェアを作成して配布した中学3年生、ランサムウェアに降伏してしまった韓国のホスティング企業など、5月に引き続きランサムウェアの話題が席巻していました。 - Recruit-CSIRTがマルウェアの「培養」用に内製した動的解析環境、その目的と工夫とは (2017/7/10)
代表的なマルウェア解析方法を紹介し、自社のみに影響があるマルウェアを「培養」するために構築した動的解析環境について解説する - 侵入されることを前提に考える――内部対策はログ管理から (2017/7/5)
人員リソースや予算の限られた中堅・中小企業にとって、大企業で導入されがちな、過剰に高機能で管理負荷の高いセキュリティ対策を施すのは現実的ではない。本連載では、中堅・中小企業が目指すべきセキュリティ対策の“現実解“を、特に標的型攻撃(APT:Advanced Persistent Threat)対策の観点から考える。
 |
|
|
|
|
