攻撃者の優位を逆転することがセキュリティ対策のカギ

第一回は、株式会社ラック 取締役 専務執行役員の西本逸郎氏に、最新のサイバー攻撃の手口や脅威について熱く語っていただいた。第二回となる本稿では、ジュニパーネットワークス株式会社 セキュリティーソリューションズ 統括部長の森本昌夫氏に、企業がとるべきセキュリティ対策について話を伺った。

攻撃者に優位なセキュリティ対策の現実

──中小企業が注意すべきセキュリティ対策の課題とは？

森本氏　企業のセキュリティ対策には、3つの大きな課題があると考えています。

1つ目は、実際に攻撃を受けたときに、ちゃんと止められるかどうかという点です。多くの企業では誤検知を避けるため、まずはモニタリングのみを行い、攻撃が発生したあとでログなどを検証して次の攻撃を受けないように対策を打つというアプローチが主流になっています。従来のテクノロジーでは、攻撃をリアルタイムにシャットアウトすることが難しいのです。

2つ目は、得られる情報の面で、攻撃者優位の状況にあることです。さまざまなサイトでシステムの脆弱性レポートが発表されるなど、攻撃者は情報をリッチに取得することができます。一方で守る側は、攻撃された事実を隠蔽することが多く、情報をシェアすることは稀です。いかにセキュリティ技術が向上しても、攻撃者の方が多くの情報を得られる環境では、保護が追いつきません。

3つ目は、必要となるセキュリティ対策製品が多すぎることです。ファイアウォールやUTM、IPS、次世代ファイアウォール、WAFなど、実にさまざまな技術がありますが、すべてを導入して適切に運用するには大きな負担を伴います。

特に専門のエンジニアを持つことのできない中小企業の場合、セキュリティ製品からアラートが発せられたとしても、どう対処すべきかわからないケースも多いようです。外部にマネジメントを委託できればよいですが、たいていはログを貯めるだけで放置されています。これでは、どんなに良いソリューションを入れても活用できません。

トラフィックを精査せずに攻撃を防ぐ

── 新しいセキュリティ対策のアプローチが必要なのでしょうか

森本氏　ジュニパーネットワークスでは、これら3つの課題を解決すべく、新しいセキュリティ対策技術・製品の開発を進めています。

まず当社は、1つ目のポイントとして、クライアントサイドからサーバサイドまで幅広く保護できる製品ポートフォリオを有しています。前者は、スマートフォンやノートブックPCなどのエンドユーザーに近い部分の対策です。後者は、企業のキャンパスネットワークからデータセンターやクラウド環境を保護するものです。

それぞれのドメインでは求められるものが異なりますが、適材適所で保護できるソリューションを、可能なかぎりコストパフォーマンスよく提供するかという点に主眼を置いています。

セキュリティ対策というものは、それ自体が収益を伸ばすことができるものではありません。場合によっては必要悪とすら捉えられています。そのため、多くの企業ではコストをできるだけ小さくしたいと考えます。ただし、あまりに削りすぎると大きなリスクを抱えることになるため、必要最小限の投資を考慮することが重要です。

2つ目のポイントは、攻撃トラフィックの分析・判別手法にあります。最近の流行は、トラフィックの中身を高度に解析してどのような攻撃なのかを判断する手法です。そこで当社は、「だれから攻撃を受けているのか」に重点を置いています。

当社のソリューションでは、「Security Intelligence」と呼ばれる送信元の情報を認識し、相手が攻撃者かどうかを見極めます。攻撃者のシステムからの通信であれば、トラフィックの内容にかかわらずシャットアウトすればよいという考え方です。この攻撃者のデータベースは「Spotlight Secure」というクラウド型サービスとして、「SRXシリーズ サービスゲートウェイ」や「WebApp Secure」などのセキュリティ製品と連携して機能します。

従来の攻撃者を判別する手法として「IPレピュテーション」という手法があります。これは攻撃者のIPアドレスをブラックリスト化したものですが、デバイスのIPアドレスは容易に変更できるほか、プロキシサーバなどを利用して複数のユーザが単一のIPアドレスを使用している場合は、誤検知が発生します。

一方、Spotlight Secureは、IPアドレスやOSの種類、インストールされているソフトウェアなど200項目以上の属性情報に基づいて、攻撃者のデバイスを追跡するフィンガープリントを作成します。そのため、誤検知が非常に少ないという特徴を持っています。さらに、当社で作成したデータベースだけでなく、政府組織やセキュリティ対策ベンダーと情報を共有し、積極的に取り入れていく取り組みも行っています。

トラフィックの精査は負荷が高く、それなりにパフォーマンスのよいハードウェアが必要となりますし、未知の攻撃を防ぐことも困難です。当社の手法を組み合わせれば、トラフィックの処理を抑えられ、パフォーマンスよく対策できるのです。

── 運用負荷の問題にはどう対処しますか

森本氏　従来のセキュリティ対策は、セキュリティインシデントの情報は機械が発していましたが、それに対してどのように対処すべきかは、基本的に人が判断していました。この作業は、自社で行うにせよ、外部に委託するにせよ、多大な負荷とコストがかかっていました。

ジュニパーが目指しているのは、「自己学習」して自分自身で対策を講じるセキュリティデバイスです。基本的な設定を施した後は、機器が自身で学習してチューニングします。これにより、運用のコストを大幅に軽減することが可能です。

例えば、一般的なWAFは、Webアプリケーション／Webページを構築するたびにチューニングが必要です。当社のWebApp Secureには、自己学習の技術が盛り込まれており、振る舞い検知のアプローチでチューニングの必要はありません。

もちろんSRXシリーズも、WebApp Secureやその他のセキュリティ製品、Junos Spotlite Secureなどと連携して防御性能を発揮するため、こうした自己学習機能の恩恵を受けることができます。

── SRXシリーズの最大の特徴を教えて下さい

森本氏　SRXシリーズは、スループット値が10Gbpsほどまでのブランチオフィス向けと、10Gbps以上のデータセンター向けのラインアップに分けられます。

特にブランチ向けは、NetScreenシリーズからのマイグレーションに最適で、同じセキュリティ機能を持ちつつ、「次世代ファイアウォール」に該当するプラスαの機能を盛り込んでいます。

またハイエンド製品は、もともと当社がキャリア／エンタープライズ市場で高いシェアを誇っていることもあり、No.1シェアを長年獲得しています(※)。AT＆Tやベライゾンといった米国のトップキャリアや、Apple、Googleなどの名だたる企業に多数導入され、ミッションクリティカルな環境の保護に活用されています。

SRXシリーズは、ローエンドでもハイエンドでも、セキュリティ機能は同じテクノロジーが用いられています。したがって、キャリアグレードのセキュリティ機能を安価なブランチオフィス向け製品でも利用できるというわけです。

これは一方で、ローエンド製品でスモールスタートして、企業の成長に合わせてハイエンド製品に置き換わっても、同じ運用環境で使い続けることができるということです。運用面でのセキュリティ投資を無駄にしないという点でも、SRXシリーズは大きなメリットを持っているのです。

(※)出展：Infonetics社2013Q1 Network Security Appliance Market