検証:セキュリティアーキテクチャの堅牢性をテスト
まずネットワークのセキュリティの「検証」について、小圷氏は3つのポイントを重視するという。まずネットワークの堅牢性やセキュリティ機器の性能を検証するだけでなく、ツールの傾向や使い方のクセなども見極め、組織に最適なセキュリティ要件を確認し、機器を選択することが大切だ。そして2つ目が巧妙化・高度化するサイバー攻撃への対処として、定期的にネットワークシステムを評価すること。そして3つめが様々な攻撃・侵入シナリオを理解し、対応するために、サイバーセキュリティ演習を実施することである。
小圷氏は具体的な検証項目として、ファイアウォールやDDoS対策装置、サンドボックスなどを挙げながら、「単にツールの機能・性能のチェックではなく、自社に合うかどうかの視点が重要」と語り、加えて近年のトレンドとして「ネットワーク内から外への情報流出リスクに対して“出口”の調査も重要」と指摘した。さらに検証のポイントとして「実ネットワークに相当するトラフィックの生成」「実際と同じアプリケーションプロトコルの再現」「多数の攻撃、マルウェア種類の再現」などを挙げ、「実際の環境・使用状況に合致した検証」が必要と強調した。
出所:「Security Online Day 2018」キーサイト・テクノロジー株式会社講演資料より[画像クリックで拡大表示]
さらに具体的なクライアント/サーバーのシミュレーションによるセキュリティ検証手法として、キーサイト・テクノロジーの製品「BreakingPoint」を用いた例を紹介。クライアントとサーバーの両方をシミュレーションして、正常なトラフィックと悪意のあるトラフィックの両方を流し、現実に即したトラフィックを生成するという。なお「不正トラフィック」におけるマルウェアやエクスプロイトなどの定義トラフィック数は約38,000あり、同社のATIリサーチセンター経由で2週間おきに更新される。また「正常トラフィック」については、ソーシャルや音声、動画、ウェブ、ビジネスアプリ、モバイルなど350以上になる。
これを具体的に検証すると、ブロック率や重要な脅威の検出状況などが見えてくる。たとえば「ブロック率は低いが重要な脅威はしっかり検出できている」など、それぞれの堅牢性が確認でき、改善策を考えられるというわけだ。また小圷氏はファイヤーウォール機器の検証から、求められる要件に応じて機器を選ぶ際の指針となることを紹介した。
防御:先回り防御でセキュリティ運用性を向上
次に「防御」についてだが、セキュリティの運用部門は大量のセキュリティアラートで追われているとされる。実際、米国のPonemon Instituteの大手企業を対象にした調査によると、週あたり受信する平均アラート数は16,937と多く、そのうち調査された割合は3割に満たないという。さらにセキュリティ侵害の検出に要する平均日数は170日と時間がかかることが報告されている。結果、脅威の見逃しや誤検知・重複検知の可能性もあり、それを補完しようとすると確認作業負荷は増大する一方だ。
そこでキーサイトでは、インターネットに流れているトラフィックを分析要・不要なものに分けて、必要な方の監視に専念するためのソリューションを用意している。それでは、分析が不要なトラフィックとは何か。すなわちハイジャックされ乗っ取られたIPアドレスや各種不正サイト、コントロールサーバーからの通信など。さらに特定国からのトラフィックも該当するだろう。それをIPフィルタリングで一気にブロックしようというわけだ。
出所:「Security Online Day 2018」キーサイト・テクノロジー株式会社講演資料より[画像クリックで拡大表示]
では、具体的にどのような形でIPフィルタリングを行なうのか。強力なIPフィルタリングツールを、ファイアウォールの前にインラインで設置し、分析不要なIPアドレスから来るトラフィックを先回りでブロックする。IPフィルタリングツールのアプライアンスの中に10分ごとに更新されるブラックリストが入っており、ファイヤーウォールの前に怪しいIPアドレスはブロックしてしまうというわけだ。一方、内部から不正なサイトにアクセスしようとした時も、IPフィルタリングツールを経由するためそこでブロックされる。
この方法のメリットについて、小圷氏は「分析不要な通信を丸ごと排除するため、脅威が複雑化しても負荷がかかりにくく効率化が図れる」と語る。また出口対策になるのに加え、不正IPからとなればSSL暗号化通信も遮断するため、SSL暗号化にマルウェアが仕込まれた場合にも対応が可能となる。
