【特集記事】「社内LANは安全」という認識はもう古い 内部通信も漏れなく検査するには?

出典元:TechTargetジャパン 2019年09月10日掲載記事より転載。本記事はTechTargetジャパンの許諾を得て掲載しています。
掲載されておりますサービス内容などは、掲載日または更新日時点のものです。

巧妙化するサイバー攻撃は、旧来の防御方法では対策が難しくなっている。脅威の侵入を前提とし、被害が広がらないようなセキュリティ対策を備えるネットワークは、どうすれば構築できるのか。

侵入、感染は当たり前 被害につなげない“減災”が必要

サイバー攻撃の対策において、最も重要なことは何だろうか。サーバへの不正アクセスを防ぐことだろうか、それともマルウェアの感染を防ぐことだろうか。本来は、情報漏えいや金銭窃取など「実際の損害」を防ぐことであるはずだ。

特に最近のサイバー攻撃は高度化と巧妙化が進み、従来の技術では完全に防ぐことが難しくなってきている。モバイル端末やクラウドサービスの利用拡大によってIT環境が複雑になり、旧来のゲートウェイによる対策だけでは保護すべき対象を網羅できないという問題もある。

従って、仮にマルウェアが侵入してネットワーク内の端末が感染したとしても、その挙動を迅速に検知して損害を引き起こす可能性のある攻撃と感染の拡大を防ぐことが必要だ。そのためには、ネットワーク全体のセキュリティレベルを一段も二段も向上させる施策が欠かせない。

フォーティネットジャパン 内藤正規氏Fortinetが提唱する「フォーティネット セキュリティ ファブリック」は、同社の技術や製品を組み合わせた“布(ファブリック)”でネットワーク全体を包み込み、保護するというコンセプトだ。同社はゲートウェイ、エンドポイントセキュリティ、クラウドセキュリティ、Webセキュリティ、標的型攻撃対策など幅広いセキュリティ製品を提供している。これらを連携させることで、自動化された統合的なセキュリティ対策が実現する。

「フォーティネット セキュリティ ファブリックによって、運用管理に負荷をかけることなくインシデントを迅速に検知して分析し、攻撃を封じ込めることができるようになります」。Fortinetの日本法人であるフォーティネットジャパンの内藤正規氏(技術本部第一技術部 シニアシステムエンジニア)はそう述べる。インシデント対処を早めれば早めるほど、その後の復旧コストを抑えることができる。「セキュリティ人材の不足が懸念される昨今、セキュリティ対策の負荷を軽減することは非常に重要な投資です」(同氏)

もちろん、一足飛びに完全なセキュリティ対策を実現することは難しい。幾つかのステップを踏んで、自社に最適な環境を構築していくことが理想だ。そこで第1ステップとして、ネットワークのセキュリティを保ちながら一元的に管理できるサービス「セキュアSD-LAN」で、減災の要となるネットワークの隔離を実現する方法を解説する。

ネットワーク全体を可視化する

セキュアSD-LANは、次世代ファイアウォール「FortiGate」、アクセスポイント「FortiAP」、アクセススイッチ「FortiSwitch」の3製品を中核として、ネットワークを可視化する。コアスイッチの役割をFortiGateが担い、FortiSwitchとFortiAPを用いてネットワークを構成すれば、セキュリティ機能がネットワーク全体に広がるというイメージだ。

ネットワーク全体を可視化するセキュアSD-LANの構成図。FortiLinkはFortiSwitchを管理、運用するためのプロトコル

最新のサイバー攻撃の厄介なところは、一度侵入されると検出が難しい点にある。マルウェアはレイヤー2(L2)レベルの通信で内部拡散し、レイヤー3(L3)スイッチでは検知できないためだ。ゲートウェイを社内LANの各所に配置して通信をチェックする手法もあるが、運用が煩雑になる上、コストが高くなるのも問題だ。もし実現したとしても、隣り合うPC同士の通信までチェックできるわけではなく、被害の拡散防止には限界がある。

ネットワールド 林 明伸「『ローカルのL2通信は安全だからチェック不要』という考え方は、もはや前時代的です」と、ネットワールドの林 明伸氏(SI技術本部インフラソリューション技術部ネットワークソリューション課 システムエンジニア)は注意喚起する。FortiSwitchとFortiAPは、全てのL2通信についてFortiGateを経由させて内部通信を可視化し、ログを保管できる。「Fortinet製品はセキュリティ性能が高く、ネットワーク全体の安全性を向上させるための装置として開発されているため、ネットワーク全体の管理性とインシデントへの対応力を向上させます」と同氏は自信を示す。

可視化できるレベルは非常に細かく、スイッチやアクセスポイントの接続状態はもちろん、端末の状況や脆弱(ぜいじゃく)性の有無までつぶさに監視できる。ユーザー情報を登録しておけば、端末を利用しているユーザー名やユーザーの写真を表示する。仮にインシデントが発生し、端末での操作が必要になっても、すぐにユーザーに連絡して対処できる。

FortiGateの管理画面FortiGateの管理画面

最新の脅威もログ分析で振る舞い検知

ネットワークを可視化した次のステップは、セキュリティ機能で通信をチェックしてサイバー攻撃を検知することだ。一般的にはマルウェア対策、スパムメール対策などの機能、不正侵入防止システム(IPS)や統合脅威管理(UTM)製品のようなツールで分析する。ただし冒頭で述べた通り、完全に検知できない攻撃の存在が問題となる。

ネットワールド 白井 健太朗セキュアSD-LANは分析ツール「FortiAnalyzer」を組み込んでおり、従来の技術では検出しにくいインシデントでもログを分析して不審な通信を検知する。例えば通信の情報をFortinetの脅威インテリジェンス(脅威に関する知見の集合)と照らし合わせ、“グレーなIPアドレス”にアクセスする通信は「不審」と判別する、といった具合だ。

最近のセキュリティ対策が難しい理由は、モバイル端末やクラウドサービス、在宅勤務などの普及で攻撃者の侵入経路が複雑化し、“マルウェア感染の瞬間”を捕まえられない点にある。「通信の振る舞いを検知するFortiAnalyzerであれば、感染した後でも攻撃活動を捉えて、抑えることが可能です」と、ネットワールドの白井 健太朗氏(SI技術本部インフラソリューション技術部ネットワークソリューション課 システムエンジニア)は述べる。

PCを隔離してマルウェアの拡散を防止

最も難しいのは、LANを通じて感染するマルウェアの対策だ。旧来のLANでは、隣り合うPC同士の通信を遮断することが不可能に近いためだ。気付いたときには感染しており、“除染”に長時間かかったという例も少なくない。

ネットワールド 対馬 徹セキュアSD-LANは、上述のようにネットワークの末端まで可視化し、不審な通信を捉えて攻撃を検知できる。加えて被害の拡散を防ぐ“減災”の機能──「マイクロセグメンテーションファイアウォール」の機能も持っている。これはいうなれば、火事の延焼を防ぐ“防火扉(防火戸)”のようなものだ。より専門的には、火を検知して閉鎖する「随時閉鎖型防火戸」と言える。マイクロセグメンテーションファイアウォールは、マルウェアに感染した疑いのある端末を検知すると、自動的にネットワークからその端末を隔離する。もちろん、管理者が手動で隔離することも可能だ。端末単位だけでなく、ネットワーク単位でも分離できる。

「Fortinetのマイクロセグメンテーションファイアウォールはネットワーク管理の面でも有用です。細かなVLAN(仮想LAN)を構成しつつ、FortiGateの可視化ツール『FortiView』を通じて運用できます。環境の規模を問わず、シンプルかつ安全に運用可能です」と、ネットワールドの対馬 徹氏(SI技術本部インフラソリューション技術部ネットワークソリューション課 システムエンジニア)は述べる。

ネットワールドは、Fortinet製品のディストリビューターとして長い経験を有し、システムインテグレーターをはじめとした全国のパートナーと共同でセキュリティ対策を支援している。今回紹介したセキュアSD-LANについて、ネットワールドはFortiGate、FortiSwitch、FortiAP、FortiAnalyzerの体験キット「Ready Set」を貸し出している。パートナー企業を通じて申し込み、ヒアリングシートに記入すれば設定済みのキットが送られてくるため、すぐに機能や性能を試すことが可能だ。ぜひ早めに問い合わせて、FortinetのセキュアSD-LANを試していただきたい。

提供:フォーティネットジャパン株式会社、株式会社ネットワールド
アイティメディア営業企画/制作:TechTargetジャパン編集部

PAGE TOP