ネットワークのゲンバ ~ShowNetを支えるメンバーたちの奮闘ブログ~
2014/06/06
今年の注力4テーマ特集 vol.3:セキュリティ編
本日はShowNet構築作業最終日。明日からは本番に向けた運用体制に入ります。
このブログでは、ShowNet NOC teamジェネラリストである東京大学 関谷先生が4テーマそれぞれを担当するShowNet NOC teamメンバーにインタビューした模様を先取りしてご紹介しています。
第3回はセキュリティ編です。
次から次へと新たなサイバー攻撃が登場し、さらには攻撃のビジネス化も進んでいる中、どのような対策をすれば良いのか。ShowNetではその答えに触れることができるようです。
- 関谷:
- ShowNetではこの3 年ほどセキュリティ関連の機器・製品提供(コントリビューション)が増えています。セキュリティ業界は元気のよい市場のひとつでもありますが、みなさんはこの現状をどうとらえているのでしょうか?
- 橋本:
- その背景には、攻撃者がサイバー攻撃を行うことで大きな利益になることを知り、攻撃対象が一般企業などにまで広がった結果、業界に関係なくの関心を呼んでいることがあると思います。
サイバー攻撃は、この情報がいくらの価値、この攻撃手法はいくらのコストといったようにビジネス化、組織化されてきています。これまでは無差別のバラマキ型攻撃が主流でしたが、いまは攻撃者にとって価値のある情報を持っている組織を標的として狙ってきます。攻撃者もビジネスですから、情報の価値がコストに見合えば、どんどん高度で複雑な攻撃手法をコストをかけて編み出してきます。このような攻撃に対応する技術やそれを搭載した製品も多様化し市場が広がっているのだと思います。 - 遠峰:
- NICT(情報通信研究機構)では、ダークネットを利用したネットワーク観測を続けてきましたが、近年の標的型攻撃などには対応しきれなくなってきたことを感じます。すでにさまざまな技術やそれを搭載した製品が出回っていますが、個別の標的や業界を狙う場合は、その攻撃自体を相手によってカスタマイズしてきますので、シグネチャベースの脅威検出や未知の脆弱性を攻撃するゼロディアタック、そこから続くRATによる遠隔操作での情報搾取などの対応は、従来の技術だけでは難しい状況です。
- 関谷:
- 今年のShowNetでは、標的型攻撃など近年の攻撃傾向に対して効率的な監視手法や運用技術についてのアピールポイントはありますでしょうか?
- 橋本:
- 新しい攻撃には新しい技術を組み合わせた多層防御が重要となります。次世代ファイアウォール(NGFW)やUTM、IPS/IDS、サンドボックスなど異なる技術を階層的に展開し、これにエンドポイントのセキュリティ対策を行う、その必要性を訴求していきたいですね。また、そういった多層的な対策を効果的にするため、複数装置からのログやアラート、イベントを相関的に分析・監視する「SIEM」のアプローチもポイントとなります。
- 関谷:
- 今年はNOCステージでデモを行うことになっていますが、その狙いはなんでしょうか。
- 遠峰:
- まず最新の攻撃手法をご覧いただくことで、セキュリティの脅威を身近で具体的なものとして感じていただくこと、次にさまざまなアプライアンスの特性や長所をご理解いただくことで多層防御の必要性をお伝えすることです。
実際に標的型攻撃を行い、攻撃の様子と機器での検知の様子を視覚的に理解いただけるようにします。他にも、ここでは、外部からの攻撃だけでなく、内部からの情報漏えいという課題について、アプリケーションごとの動作を可視化するとともに、アプリケーションの挙動を制御する取り組みもお見せできると思います。 - 森島:
- 企業がセキュリティ対策を実施する際のポイントは、セキュリティを内部統制のひとつとして、うまく業務に組み込んでいくことです。守るべき情報や脅威は企業ごとに異なりますから、他の内部統制と同様に、リスク評価を実施し、その結果から、いつまでに、どこまで、どう軽減していくかを決定し、必要な製品や運用手順を見極めて行く必要があります。このため、どのようなリスクがあるのか、どのような対策があるのかといった観点でご覧いただければと思います。
- 橋本:
- これまでの技術をすり抜けていとも簡単にパソコンが遠隔操作される様や、どのようなソリューションがどのような攻撃を止めるのかなど、非常に面白い内容かと思いますのでぜひご覧ください。
- 関谷:
- 今後はSIEMが来るのではないかというお話もありましたが、これからのセキュリティは、どんな対策があるのか、どんなことが重要になっていくのでしょうか?
- 森島:
- まずは、人の手を介さないセキュリティ対策の強化ですね。これまではアプライアンスの進化で、自動的に守ってきましたが、そこが強固になったため、今では狙った情報を扱える人間をまず攻撃する、ソーシャルエンジニアリングが増加傾向にあります。この部分をいかに自動的に防ぐかが重要になるでしょう。
次に、SIEMのようなイベントやふるまいで攻撃やインシデントを検知するというのはひとつのトレンドだと思います。人間が攻撃対象となると、さまざまな防御が一挙に突破される可能性が高いので、攻撃の早期発見、その後のインシデント対応、データ保全、証拠保全といったことをよく考えておくべきだと思います。このような、境界防衛の突破を前提として損害を軽減する、ダメージコントロールのサービスやアプライアンスも増えてくるでしょう。 - 関谷:
- 最近DDoSの話をよく聞くのですが、実際増えているのでしょうか? また、ShowNetでの取り組みはいかがでしょうか。
- 橋本:
- 昨年あたりから急激に増加している印象がありますが、これもやはりビジネスになることが背景にあるのでしょう。DDoSによるサービス停止などの損害を与えて株価を操縦したり、DDoS攻撃を止めるために高額な費用請求をしたりすることで、リターンを得られるということが広まったからだと思います
- 森島:
- DDoSではありませんが、侵入したサーバのデータを暗号化してその暗号鍵を高く売るランサムウェアなどもありますね。こういった業務の妨害も、ブラックマーケットではビジネス化してきています。
- 遠峰:
- 今年はShowNetへの機器提供でもDDoS対策のアプライアンスが増えていますね。対応もDPI【脚注7】を利用したものやxFlowなどのフローモニタリングで検知し、アプライアンスとの連携で攻撃パケットを制御し、きれいなトラフィックにしてから戻すなどさまざまで、非常に注目されている分野であると感じています。
インタビューの続きは会場で配布されるShowNet Magazineに掲載されています。ぜひチェックしてみてください。
Interop Tokyo 2014 来場登録はコチラ
次回は最終回、ネットワーク編です。お楽しみに!