どれほどセキュリティ対策を施していても、社内ネットワークに存在するべきでない端末が繋がっていたとしたら、外部からの不正侵入や、内部からの情報漏えいといったリスクを残してしまいます。そこで今回は、自社ネットワークの「本当の姿を可視化する方法」を解説します。
「PC管理台帳」だけでは不十分
可視化しなくても「社内デバイスはExcelで作った『PC管理台帳』で管理しているから問題ない」という方がいらっしゃるかもしれません。
こうした台帳管理では、
■どんなデバイスを、いつ、何台導入したか
■レンタルリース期間や、コストがいくらかかっているか
■導入当初はどの部署の、誰に割り当てられていたか
などの項目を明確にできます。これに加えて、定期的な実地棚卸によって、その時点における台帳との食い違いを見つけ、修正が可能になります。
しかし、管理者の眼が行き届かないところで、次のようなことが起きていないでしょうか。
- 個人所有のスマートフォンやゲーム機が、会社の無線LANに相乗り
- 廃棄処分したはずのPCが「もったいない」と、NAS代わりに利用
- 応接室や倉庫といった電波が届きにくい部屋のLANポートを誰かが無断利用
台帳管理が万能かのように思えますが、こうした抜け漏れを見つけることは困難でしょう。また、棚卸頻度を高くしようにも、社員の負担が増大し、かえって台帳の質を下げる結果に繋がりかねません。 ではこれらの問題をどう解決すれば良いのでしょうか。実は、どんなデバイスが繋がっているかを調べるには、「実際にネットワークを流れている通信パケットの内容」を調べれば良いのです。
可視化のための情報収集
 |
一般的なネットワーク構成では、インターネットからファイアウォール・UTMを介してルーターやL3スイッチでセグメントを分け、各デスクPCはL2スイッチ島ハブに接続しています。今回は、3ステップでデータを収集・可視化します。
Step1「デバイスの存在」
 |
あるデバイスがTCP/IPネットワークに接続している時は、有線・無線を問わず、ネットワークを流れるパケットにそのデバイス固有のMACアドレスが含まれているはずです。つまり、ブロードキャストパケットを調べることで、実際に接続しているデバイスの一覧が得られます(ブロードキャストパケットはIPv4の場合、IPv6はマルチキャストパケットとなります)。
L3スイッチなどで特別な設定をしないかぎり、これらのパケットはセグメントを越えません。社内全体をカバーするためには、すべてのセグメントにプローブセンサー機器を設置します。情報収集を何日か継続すれば、一時的にオフライン状態だったデバイスも接続された時点で認識できます。
そして、MACアドレスをキーにして整理すれば、社内ネットワークに接続したことがあるデバイス一覧が取得できます。この情報を「PC管理台帳」と突き合わせることで、不正に接続しているデバイスを見つけ出せるのです。
Step2「ネットワーク構成」
 |
各セグメントの接続関係や、「スイッチのどのポートに何のデバイスが繋がっているか」といった情報は、ネットワーク機器にSNMPで問い合わせることでわかります。Step1で取得したデバイス一覧情報と、各ネットワーク機器からの情報を集めることで、ネットワーク全体のトポロジー図が作成できます。※SNMP(Simple Network Management Protocol)はUDP/IPベースのネットワーク監視、ネットワーク管理を行うためのプロトコル
例えば、あるスイッチで空きポートにデバイスを接続したり、別のポートに繋ぎかえたりした場合は、機器を現地へ見に行かなくても構成が変更されたと認識できるのです。
この機能の利用には、ネットワークスイッチにSNMP機能が必要になります。これまではこうした機能を持つインテリジェント・スイッチは非常に高価でしたが、近年は低価格な製品が登場しています。あらためて導入を検討してはいかがでしょうか。なお、SNMPを使う場合はセキュリティ上の注意点があります。
- ネットワーク全体をSNMPv3で統一する
旧バージョンの「SNMPv1,v2c」は、コミュニティ名を暗号化できません。盗聴などによって攻撃者にコミュニティ名が漏れてしまった場合、ネットワーク上のデバイスに不正アクセスされる危険性があります。
- 情報提供側のネットワーク機器で、アクセス制限を厳格に行う
デバイスの構成情報を参照するだけであれば、アクセス権はRO(Read Only)とし、許可された管理者デバイスからのみアクセスできるようにACL(アクセス制御リスト)も設定します。
Step3 物理配置
 |
ネットワークを敷設するとき、事務所や建屋、フロア、部署などでセグメント分けするのが一般的です。そのため、セグメントが特定できればおおよその物理的な場所を特定できます。
フロアマップや座席表のデータがあれば、Step2で得られたネットワーク構成図をマッピングしてみましょう。このように可視化すれば、物理レイアウトとネットワークの接続状態が一目瞭然ですから、例えば「○○課の△△さんが休暇中なのに、デスクPCの電源が入っている」といった異常を見つけやすくなります。
ただし注意が必要な点としては、PCが隣のデスクに移動した場合、ネットワーク構成が変わらなければ反映されないことです。PCにはスマートフォンのようなGPS機能がありませんので、ネットワーク経路から位置を絞り込みます。
この方法でも見つけられないデバイスがある
 |
|
PCのMACアドレス図 |
社内ネットワークに有線LANで接続しているWindows PCに無線LANが搭載されている場合、「インターネット共有機能」を有効にするとWindows PCが無線LANルーターのように動作します。
これに無線で不明なデバイスを接続すると、通信パケットは「PCのMACアドレス図」中のMAC:a1に置き換えられて社内ネットワークへ送出されます。従って、MAC:b1のデータは流れずに不明デバイスを見つけることができません。
同じような構成でも、Windows PCで有線LANと無線LANを「ブリッジ接続」設定した場合は1つのセグメントとなり、MAC:b1のパケットが社内ネットワークに送出されます。USBやBluetooth、赤外線、IEEE1394などのインタフェースを持つPCでは、「インターネット共有機能」や「ブリッジ接続」によって物理メディアが変換され、通常はネットワークに接続できないと思われるようなデバイスが接続されている可能性があるので注意が必要です。
まとめ
セキュリティ対策の根幹は、「まず現状を把握すること」。そこで今回は、通信データからデバイスの実地棚卸を行う手法として、
- ブロードキャストパケットに含まれるMACアドレスを収集し、セグメントごとにデバイス一覧を収集
- 各スイッチから、SNMPで構成情報を収集
- わかりやすく可視化
を紹介しました。この方法のメリットは、
- 比較的、低コストで実現安価なSNMPスイッチが利用可能
- エージェントレスで、デバイス側のソフト導入や負荷を考慮しなくて良い
- すべてのデバイスでSNMPの設定が必要なわけではない
- IP通信しているすべてのデバイスが把握可能、複合機やNAS、IoTデバイスなど
もし意図しないデバイスが繋がっていた場合は、個々に対処方法を決めてください。システム的に対処するのであれば、許可デバイスのMACアドレスをホワイトリスト化し、不正デバイスを接続禁止にする製品・ソリューションがいくつかあります。
次回は、インターネットからのネットワーク攻撃の可視化を解説します。
著者紹介
 |
石川 堤一 (いしかわ ていいち)
キヤノンITソリューションズ 基盤セキュリティ企画センター マルウェアラボ マネージャー シニアセキュリティリサーチャー
約20年に渡りESET製品をはじめとした海外製品のローカライズ業務に携わり数多くの日本語版製品を世に送り出す。また、ウイルス感染やスパム対策、フィッシング被害のサポート業務にも従事。
現在はこれまでの経験を活かして、国内で確認された新しい脅威に対するレポートや注意喚起などの啓蒙活動や、キヤノンITソリューションズ運営の、より安全なインターネット活用のためのセキュリティ情報を提供する「マルウェア情報局」の記事執筆をするほか、マルウェア解析サービスのマネージャーとしても活動中。
