RSA Conference 2009 レポート(1)
「対策疲れ」に対するセキュリティ業界の解は?
高橋 睦美
@IT編集部
2009/5/15
統合した情報に基づく対処を企業内でも企業外でも
このように基調講演では、個別の対策から統合された対策へというトレンドが鮮明に打ち出された。
統合といっても、単に管理コンソールを1つにまとめるだけにはとどまらない。まず、クライアントPCやサーバ、ファイアウォールといった、企業システム内のさまざまな端末から得られるログや情報を集約し、分析を加えるというイントラネット内での統合がある。情報を元に、マルウェアに感染していたり、ポリシーに反する端末があればすぐに見つけ出し、内部での被害拡大を防ぐ仕組みだ。
セキュリティベンダはさらに、自社で設置したセンサや顧客から得られた情報を集約して、世界的な脅威のトレンドを把握する体制を整えつつある。いつ、どの地域でどういった攻撃(あるいは攻撃の兆候)が見られたかをまとめ、顧客にフィードバックすることで、脅威の迅速な検出と対処を実現しようとしている。
■マイクロソフト
米マイクロソフトはRSA Security 2009に合わせて、企業向けセキュリティ製品「Microsoft Forefront」の次世代版、「Stirling」(コードネーム)を紹介した。初日の基調講演に登場した米マイクロソフトのTrustwothy Computing担当プレジデント、スコット・チャーニー氏は、「次の問題は管理だ。いまや、企業システムには多数のデバイスが存在するが、それをどのように管理し、意思決定を下すかが課題だ」と述べ、次期Forefrontはその解決を狙った製品だと紹介した。
Forefrontは、クライアント/サーバやその上で動作するアプリケーション、あるいはネットワークゲートウェイ向けにセキュリティ機能を提供するが、Stirlingでは、それらが一元的に管理され、状況に応じてダイナミックに脅威に対処できることが特徴という。
Stirlingの各製品が収集したイベント情報は管理コンソールに集約される。その際、「Security Assessment Sharing(SAS)」と呼ばれる相関分析エンジンによって、クライアント側の情報とネットワークの情報を付き合わせて状況を分析し、リスクに応じて対処することができる。
 |
| 次期「Microsoft Forefront」、「Stirling」(コードネーム)のデモンストレーション |
例えば、マルウェアに感染したクライアントが社内に持ち込まれ、ネットワークに接続された場合、どれか1つのログを元に判断していては、「何かおかしいことが起こっている」ことは分かっても、その原因が何で、どの端末なのかを特定するまでに時間がかかってしまっていた。これに対しStirlingは、不審な挙動を検出し、感染元を特定して駆除を行うまでを迅速に行えるという。
また、Active Directoryや検疫ネットワーク機能の「Network Access Protection(NAP)」とも連携して動作するほか、サードパーティ製の製品をプラグイン的に追加することも可能という。より詳細な機能は今後明らかにされる予定だ。
■シスコシステムズ
米シスコシステムズも、統合セキュリティ製品「Cisco Adaptive Security Appliance 5500(Cisco ASA 5500)」のソフトウェアをバージョンアップした。Cisco ASA 5500はファイアウォールやVPNといった機能を提供するUTMアプライアンスだが、バージョン8.2では、世界中のネットワークから収集した情報を元に、脅威がどこから発生しているかを把握し、迅速に対応するための機能が強化されている。
新バージョンの特徴的な機能として、「Cisco ASA Botnet Traffice Filter」がある。シスコがグローバルに構築したセンサ網「Sensor Base」と連携することにより、常に最新のボットネットの挙動に基づいて対策を行うものだ。もしクライアントがボットに感染し、何らかの攻撃活動を始めたら、正確にその在りかを突き止めることができる。
Sensor Baseは、同社が世界中に配置している70万台以上のセンサやサードパーティかられられた情報を、セキュリティセンターとなるCisco Security Intelligence Operationのデータベースに集約し、分析する仕組みだ。ボットおよびその制御を行う攻撃元は、足が付かないようひんぱんに居所を変えるものだが、ASA Botnet Traffice FilterはIPアドレスやドメイン名情報も付き合わせ、たとえ攻撃元が移動してもすぐに突き止めることが特徴だという。
 |
| シスコの「Cisco ASA Botnet Traffice Filter」は、Sensor Baseと連携してボットの在りかを突き止める |
同社はまた、RSAセキュリティとの連携による成果も紹介。RSA enVisionとCisco Mobility Services Engine(MSE)の連携によって、位置情報や資産情報などを組み合わせながらセキュリティ対策を行うコンセプトモデルのデモンストレーションも行った。
■ジュニパーネットワークス
米ジュニパーネットワークスも、脅威や端末の状況に応じて動的に対処を行う「Adaptive Threat Management(AdTM:アダプティブ脅威管理)」のデモを紹介した。
| 【関連記事】 ジュニパー、セキュリティ管理の新ソリューションAdTMを発表(@IT NewsInsight) http://www.atmarkit.co.jp/news/200903/10/juniper.html |
AdTMは、同社のSSL-VPNアプライアンスやIDPアプライアンス、ネットワークアクセス制御製品の「Unified Access Control(UAC)」などを組み合わせたシステム。やはりログを相関分析することにより、脅威の動向を把握し、自動的に対処・管理できるようにする。例えば、社員が企業ネットワークにSSL-VPNでリモートアクセスしてきたとき、その端末がマルウェアに感染していた場合は、ファイアウォールのアクセスコントロールリストを自動的に変更し、隔離するといった一連の作業を、各機器が連動して実施する。
| 近日中に、仮想化技術とセキュリティ対策の組み合わせやセッションについてまとめたレポート第2弾をお届けします |
 |
2/2 |
| Index | |
| RSA Conference 2009 レポート(1) 「対策疲れ」に対するセキュリティ業界の解は? |
|
| Page1 いかにして新たな脅威に追従するか シグネチャ型IPSの課題 |
|
 |
Page2 統合した情報に基づく対処を企業内でも企業外でも |
 |
Security&Trust記事一覧 |
- Windows起動前後にデバイスを守る工夫、ルートキットを防ぐ (2017/7/24)
Windows 10が備える多彩なセキュリティ対策機能を丸ごと理解するには、5つのスタックに分けて順に押さえていくことが早道だ。連載第1回は、Windows起動前の「デバイスの保護」とHyper-Vを用いたセキュリティ構成について紹介する。 - WannaCryがホンダやマクドにも。中学3年生が作ったランサムウェアの正体も話題に (2017/7/11)
2017年6月のセキュリティクラスタでは、「WannaCry」の残り火にやられたホンダや亜種に感染したマクドナルドに注目が集まった他、ランサムウェアを作成して配布した中学3年生、ランサムウェアに降伏してしまった韓国のホスティング企業など、5月に引き続きランサムウェアの話題が席巻していました。 - Recruit-CSIRTがマルウェアの「培養」用に内製した動的解析環境、その目的と工夫とは (2017/7/10)
代表的なマルウェア解析方法を紹介し、自社のみに影響があるマルウェアを「培養」するために構築した動的解析環境について解説する - 侵入されることを前提に考える――内部対策はログ管理から (2017/7/5)
人員リソースや予算の限られた中堅・中小企業にとって、大企業で導入されがちな、過剰に高機能で管理負荷の高いセキュリティ対策を施すのは現実的ではない。本連載では、中堅・中小企業が目指すべきセキュリティ対策の“現実解“を、特に標的型攻撃(APT:Advanced Persistent Threat)対策の観点から考える。
 |
|
|
|
|
