メディカル・データ・ビジョン、標的型攻撃対策にFireEye NXとF5 BIG-IPを導入 [事例]

F5ネットワークスジャパンは1月9日、メディカル・データ・ビジョンが、標的型攻撃対策としてFireEyeとF5の連携ソリューションを導入したと発表した。

2017年11月末時点で2,080万人の医療データが蓄積されたデータベースを保有するメディカル・データ・ビジョンでは、既にISMS（情報セキュリティマネジメントシステム）の認証を取得し、シングルサインオンも実現している。だが近年、標的型攻撃が急増していることを受け、さらに強固なセキュリティの仕組みを構築する必要があると判断。マルウェアなどに感染した社内端末やサーバから、攻撃者サイトへの通信を可視化・遮断する方法について検討がなされた。

その結果、統合型ネットワークセキュリティソリューション「FireEye NX」の採用を決定したが、最近の標的型攻撃ではSSLで通信を隠蔽しているケースも多く、また、SSL通信の復号・暗号化処理を行うと、システム全体のパフォーマンスが著しく低下することが懸念された。そこで、FireEye NXにF5 BIG-IP（以下、BIG-IP）を組み合わせ、SSL処理をBIG-IPで実行することとした。

今回導入されたシステムでは、SSL Forward Proxyのライセンスを適用したBIG-IPでSSL Orchestratorの機能を有効にし、これをファイアウォールの前段にインラインモードで設置。ここでアウトバウンドのSSLを利用した通信を復号した上でFireEye NXへと送り、チェックされた通信を再びSSL化する。

これにより、仮にマルウェアが社内システムに侵入しても、その後の通信からマルウェアの存在を検出し、早い段階で対処することが可能だとしている。

システム構成図

また、BIG-IPは取得した通信ログを外部のログ管理システムに転送できるため、これを蓄積して、セキュリティインシデントが発生した際のデジタルフォレンジックに活用することも視野に入れているという。