セキュリティの複雑化によるトラフィックの漏れが脅威に
ビジネスにおけるITの重要度が高まるにつれ、ネットワークセキュリティを取り巻く環境は、年々厳しいものになりつつある。警察庁が把握するだけでも2016年の標的型攻撃の件数は4046件と急増。また、企業のデータ流通量は2005年から9年間の間に9.3倍にも上り、その傾向は現在も続いている。
一方、2016年末時点での暗号化トラフィック推計率は7割、2019年には8割にも増えるといわれており、2017年のネットワーク脅威対策製品市場は700億円にも成長している。まさにデジタルセキュリティの世界での攻防は加熱するばかりだ。
そうした状況について小圷氏は「デジタルセキュリティは複雑化しており、それによる課題も顕著に現れつつある」と指摘する。そして、「把握できない、見えないデータに対してはセキュリティの施しようがない。例えばパケットのブロックや取りこぼしがあった場合、そこに脅威が潜んでいれば、対策のとりようがない。そのためにもまずは“可視化”が重要なテーマになる」と語る。
イクシアコミュニケーションズ株式会社 マーケティングマネージャー 小圷 義之氏
セキュリティ対策を考えるとき、ネットワークトラフィックにおける各レイヤーを「アクセス層」「コントロール層」「モニタリング層」の大きく3つのカテゴリに分けて捉える。その中でなじみ深いのは、「モニタリング層」でのIDS(不正侵入検知システム)やIPS(不正侵入防御システム)、Firewallなどかもしれないが、小圷氏は「『アクセス層』で企業の中に流れるトラフィックをしっかりと取得して把握すること、そして『コントロール層』で取得したデータを各セキュリティ装置に分配していくことが、複雑化するセキュリティ対策の課題解決の基礎となる」と語る。
出所:イクシアコミュニケーションズ株式会社 小圷 義之氏、水澤 景太氏
Security Online Day(主催:翔泳社)講演資料より[クリックすると図が拡大します]
アクセス層1:
ネットワークTAPでトラフィックの漏れをすべて把握する
ここからは水澤氏が登壇し、複雑化したセキュリティ対策における解決策の考え方、コツについて紹介を行なった。
イクシアコミュニケーションズ株式会社 ネットワークビジビリティ・ソリューション
セールスエンジニア 水澤 景太氏
水澤氏は、まず「アクセス層」について「『見えないトラフィック』があるとセキュリティ対応が困難になる」と課題を指摘する。たとえば、脅威が検知されない時があるだけでなく、何か問題があった時にアクセスがログに残っておらず、原因が究明できない。そこで解決策としてあげられるのが「ネットワークTAP(タップ)の導入」だ。これによって、これまでとれていなかったトラフィックまでロスなく100%取得できるという。
従来のようなトラフィック監視システムとしてSPANポートを利用する場合、必ずしもトラフィックを100%コピーできているとは限らない。一定量を超えたり、スイッチのパフォーマンスが追いつかなかったりした場合、ロスが生じることがある。本来モニタリングツールに行くべきトラフィックが漏れている可能性があるという。
そこで、SPANポートに代えて、イクシアの「ネットワークTAP」を導入することで、上り下り両方向トラフィックを漏れなくコピーすることが可能であり、モニタリングツールが信号にフルアクセスできるようになる。つまり、モニタリングツールは、インライン接続と同じように、物理レイヤーエラーを含むトラフィックをすべて監視できるようになり、いざというときも原因究明のために全ログを解析できるという。
なお、物理環境だけでなく仮想マシン間に流れているトラフィックについても「仮想TAP」で漏れなく拾い、モニタリングツールに送り込むということも可能だ。
水澤氏は「『ネットワークTAP』はシンプルな作りで高い可用性を誇り、特に電源を必要としないFlex TAPでは故障を心配することなく利用いただける。海外はもとより、国内でもキャリアなどを含む重要なサービスでも活用されており、多くの実績を持つ。迅速な対応ができなければ、社会的責任を問われる時代に致命的なことになる。ぜひとも『ネットワークTAP』でネットワークトラフィックを漏れなく取得し、有事の対応に備えてほしい」と語った。
アクセス層2:
フェイルセーフ機能でネットワークアクセスの回復力を確保する
さらに「アクセス層」における課題としてもう1つ挙げられるのが「インラインツールのダウン、メンテ、交換時でのネットワークダウンタイム」である。通常のインライン接続では、メンテナンスのためにセキュリティ装置を取り外す必要が生じることもあり、その際は、ネットワーク全体に影響が出ることになる。そのため通常は休日や深夜などに対応することになるが、トラブル時にはオンタイムでも取り外さなければならず、システムをダウンさせることになる。
そこで水澤氏が薦めるのが「外部バイパススイッチの導入」だ。フェイルセーフ機能を持っており、万一インライン上のセキュリティ装置がダウンしても、事業継続性を担保できる。つまり、バイパススイッチを経由してセキュリティ装置へとトラフィックを受け渡すことで、いざ何かがあった際にもシステムを止めることなくセキュリティ装置を外すことが可能になるという。さらに接続しているセキュリティ装置に対してHeartbeatパケットで死活監視を行ない、万一の障害時でもフェイルオープンまたはクローズの処理が可能になる。
水澤氏は「独立したバイパススイッチを導入することでダウンタイムを回避したり、障害点を減少させたりするだけでなく、『装置の増設や管理が容易になる』点でも大きなメリットがある」と強調した。
ネットワークコントロール層1:
装置に応じたデータを選定して配分し、処理の効率化を促進
次に「ネットワークコントロール層」の課題と施策について紹介がなされた。ここでも同様にセキュリティ機器の増加に従って、パフォーマンス、拡張性、運用性について様々な課題に直面しているという。複雑化によるトラフィックの重複で不必要な分まで処理することになり、機器の処理能力が低下するだけでなく、装置の増設も柔軟にできないという問題がある。
そこで「ネットワークパケットブローカー」を導入することで、セキュリティ装置に必要なデータをフィルタリングして配分し、装置の性能を最大限に引き出していく。
具体的には、パッシブ構成の場合、前述したような「ネットワークTAP」で抜き出したトラフィックを「ネットワークパケットブローカー」に送り、そこから各セキュリティ機器に適したデータをフィルタリングして送付するという仕組みになる。また、個人情報データなどをマスキングして受け渡す機能などを持っており、分析機能を持つ装置に合う形式にしてデータを受け渡す「NetFlow」にも対応している。
さらにもう1つの課題であった、処理能力に応じた装置の増設や運用に関しても、容易に解決可能だという。インライン接続の場合、バイパススイッチとネットワークパケットブローカーで適切な配置が可能になり、構成がシンプルになることで、必要な機器を必要な分だけ導入することができ、運用の手間もコストも削減できる。他にも、コマンドラインによる入力ではなく、ドラック&ドロップのような直感的な操作が可能な専用UIが用意されており、運用負荷を削減できる。
なお、イクシアではパブリッククラウドにおけるトラフィック可視化の取り組みも行なわれており、日本でもAWS版が本年中に提供開始の予定だという。仕組みとしては、可視化したいソースとなるパブリケーションをDockerコンテナに配置することで、同じくDockerコンテナ上のモニタリングツールに対してトラフィックを安全・確実に流すことができる。従量課金制のため、要望・要件に応じて必要なだけトラフィックを抽出できるのも魅力の一つだろう。
ネットワークコントロール層2:
SSL暗号化通信を悪用した脅威への対策も不可欠
なおイクシアの「ネットワークパケットブローカー」は、新たにActive SSL機能をリリースし、SSLトラフィックの復号化にも対応している。
冒頭に紹介したように、既にSSLを使用した通信は7割、まもなく8割を超えようとしている。しかし、暗号化トラフィックの中身を見ることができないと脅威を見逃すことがあり、かといって装置側のSSL復号化機能を用いると、パフォーマンス低下の可能性が否めない。また、SSL復号化専用ツールでは、フィルタリングやロードバランス機能が使えないことも多い。「ネットワークパケットブローカーは、その辺りを考慮し、補完できるツールとして開発されている」と水澤氏は強調する。
ネットワークパケットブローカーの「Active SSL機能」により、SSL暗号化通信の復号化を一括処理し、各装置に適切に分配することで、セキュリティ装置のパフォーマンスを落とすことなく、暗号化されたデータについてもセキュリティ分析を担保できるというわけだ。具体的には、インターネットにつながる部分を「外部バイパススイッチ」を介して「ネットワークパケットブローカー」のActive SSL機能で復号化し、適切な形でフィルタリングしてセキュリティ装置に受け渡し、処理されたものを再び受け取って暗号化して返すという流れになる。
「ここでも各セキュリティ装置に適切な形でトラフィックをフィルタリングして受け渡せるので、暗号化データのセキュリティ処理にありがちなパフォーマンス低下を排除することができる」と水澤氏はその効果の高さを語る。
出所:イクシアコミュニケーションズ株式会社 小圷 義之氏、水澤 景太氏
Security Online Day(主催:翔泳社)講演資料より[クリックすると図が拡大します]
最後に、小圷氏により、北米の金融機関におけるイクシアのバイパススイッチとネットワークパケットブローカーの導入事例が紹介された。その事例では、メンテナンスや交換などの際も休日や深夜ではなく柔軟に行なえるようになったことで、有意義な業務時間を増やすことができたことが最も高く評価されたという。さらに複数のセキュリティ機器に対するフィルタリング、ロードバランシングにより、複雑なネットワーク構成を簡素化し、装置のパフォーマンスを向上することができた。
小圷氏は「複雑化したネットワークセキュリティ構成をイクシアのソリューションでシンプルに整理することは大きな価値を生み出す」と語り、そのための方策として「ネットワークTAPで100%のトラフィックを可視化し、セキュリティの盲点を解消すること」「外部バイパススイッチでダウンタイムを短縮し回復力を確保すること」「ネットワークパケットブローカーで、必要なデータを取捨選択してセキュリティ装置に分配し、性能を最大限に引き出すこと」の3点を改めて強調し、講演の締めくくりとした。
