セキュリティシステムの一元管理による可視化・自動化による効率化最前線

ビジネスのグローバル化や働き方の多様化が進む現在のビジネス環境。ネットワークは企業や組織にとって、ビジネスを支えるもっとも重要なITインフラ基盤である。昨今は従来の物理、オンプレミスのネットワークだけでなく、仮想化やクラウドを活用したより柔軟にビジネスニーズに対応できるネットワークが構築されている。

その一方で、LAN、WAN、キャンパス、ブランチ、モバイルと多様なネットワーク環境ではいかに効率よく、安全に管理・運用できるかが大きな課題になっている。サイバー攻撃の高度化が進む中、特にセキュリティ運用に頭を抱える企業は多い。さまざまなセキュリティシステムから上げられる膨大なアラートを管理し、リスクの高いインシデントを優先的に対処し、セキュリティ侵害の有無を判断するためには高度なセキュリティ分析技術が求められるからだ。また、セキュリティに精通した人材を揃えることも、困難になりつつある。

本稿では情報システム部門やSOC(Security Operation Center)が直面している現実問題と、それを解決するためのアイデアを紹介する。

脅威の検知から対処までの時間、いかに迅速に対応できるか?

セキュリティ運用チームにとって大きな課題となっているのが、いわゆる「アラートの洪水」だろう。ファイアウォール、IDS/IPSをはじめとするさまざまなセキュリティシステムやアプリケーションから上がってくるログを収集してアラートを発してくれるSIEM(Security Information and Event Management)を活用している企業も多いが、膨大なアラートに頭を抱える担当者も多い。アラートに応じて該当箇所をチェックしてみても、それほど深刻なものではなかったり、すでに知られたソフトウェアのバグによるエラーだったりすることが続けば、どうしても対応が軽視されるアラートも増えていくことになる。これでは本当にリスクの高い脅威を見逃したり、対応に遅れをとったりする事態につながりかねない。

一般的にインシデント対応にかかる時間は、ホスト、ユーザーの特定から感染の進行と範囲の特定、一次対応(該当端末の隔離やマルウェアの除去など)の実施までに少なくとも数時間、他にもトラブルが重なれば24時間以上を要することもあるという。仮にアラートに即座に対応できたとしても、これだけの時間、攻撃者の活動を許してしまえば情報漏えいなどの実際の被害につながりかねない。

表 インシデントに手動で対応した際にかかる時間の目安

ホスト、ユーザの設定 0.5時間
アンチウイルス、EDR のデータを収集 1時間
NGFW 等からのネットワークデータを収集 1時間
相関分析 1時間
感染の進行と範囲を特定 0.5時間
一時対応を開始 0.5時間
合計時間 4.5時間
ジュニパーネットワークス 技術統括本部 テクニカルビジネス推進部 セキュリティコンサルティングエンジニア 森田健介氏

ジュニパーネットワークス 技術統括本部 テクニカルビジネス推進部 セキュリティコンサルティングエンジニア 森田健介氏

ジュニパーネットワークスでセキュリティコンサルティングエンジニアを務める森田健介氏は、対応時間についてこう説明する。

「脅威を検知してから一次対応までの時間は短ければ短いだけ、感染の広がりや攻撃者による情報の外部流出が抑えられます。攻撃者によっては、侵入に成功するとマルウェアを削除するため、時間がかかると検知そのものが困難になります」

――はたしてどのようなソリューションがあれば、それを実現できるのだろうか?

迅速な対応は、脅威情報の一元化・可視化から

セキュリティ侵害の迅速な検知に求められるのは、まずセキュリティシステムのアラートを一元化して可視化できることだ。そこから迅速に脅威の進行状況を全体像として掴むことで、必要なアクションにつなげていくことが重要である。たとえば図1はリアルタイムに各ホストのリスクを表示している管理画面である。

  • 図1 円の色とサイズで各ホストのリスク状態を可視化

    図1 円の色とサイズで各ホストのリスク状態を可視化

また図2は各ホストごとに受けている脅威のプロセスを時系列で可視化した画面だ。

  • 図2 脅威がどんな経緯で侵入したか時系列で表示した画面。各セキュリティソフトの対応状況もわかる

    図2 脅威がどんな経緯で侵入したか時系列で表示した画面。各セキュリティソフトの対応状況もわかる

これらの画面はファイアウォールの他、メール、Web、エンドポイントそれぞれを守るセキュリティシステムの情報を横断的に一元管理し、高度な脅威検知・解析の結果をわかりやすく示している。脅威がどのレベルまで浸透しているのか、優先的に対処しなければならないインシデントなのかを管理者が一目で把握できるようになっている。さらにこの画面から感染している機器を隔離したり、感染の拡大を防げるようにネットワーク機器に新たなセキュリティポリシーを適用できれば、インシデント対応の時間は大幅に短縮される。

企業には、ファイアウォールやIDS/IPS、アンチウイルスなどさまざまなセキュリティシステムがすでに稼働しているだろう。最近では、EDR(Endpoint Detection and Response)などのエンドポイントセキュリティやネットワークアクセス制御(NAC)で対策を強化する企業も増えている。しかし、多岐にわたる機器を監視し、それぞれの機器が発するアラートの相関分析を手動で行わなければならず、セキュリティ担当者の負荷だけでなく、脅威を断片的に見ることでリスクを見逃す可能性もある。そのため、一元的に管理できる仕組みが必要である。

さまざまなセキュリティシステムを統合し、セキュリティポリシーの適用を自動化

昨今の高度なサイバー攻撃ではマルウェアを使って組織に侵入した後、攻撃者は内部のアクセス権限を昇格して他のエンドポイントに侵害を広げる「横展開」を繰り返し、潜伏する。そのサイバー攻撃のライフサイクルに基づいて脅威を可視化し、ネットワークデバイスと連携することが、現在のサイバーセキュリティ対策に求められる。

また脅威の検知から一次対応まで迅速に実行するには、自動化が欠かせない。さまざまなメーカーのセキュリティシステムを統合して、侵害が発生した際には、新たなセキュリティポリシーの適用を自動的にできるようにすれば、早期の脅威の封じ込めと被害の発生を防ぐことが可能になる。

――デジタルトランスフォーメーションに伴い、今後も変化を続けるネットワーク環境を限られた人員で運用し、サイバー攻撃から自社を守るためには、上述のようなセキュリティの高度化と効率化を両立できる運用手段を考えていく必要がある。

こうした複雑なネットワーク環境において、高度なサイバー攻撃に対する先進の対策を実現するのがジュニパーネットワークスの脅威分析エンジン「Juniper Advanced Threat Prevention(JATP)」だ。JATPはWeb通信を解析して既知・未知のマルウエアを検知するオンプレミス型の仮想実行環境で、サードパーティのセキュリティシステムと連携したログの管理が可能になっている。ファイアウォールやアンチウイルスはもちろん、カーボン・ブラックやフォアスカウトといった企業とセキュリティエコシステムを構築し、EDR(Endpoint Detection & Response)製品 やネットワークアクセス制御製品とも連携している。

JATPはこれら各製品からの情報を一元化・可視化して、脅威の状態をすばやくわかりやすい画面で把握できるだけでなく(図3)、稼働中のネットワーク製品に動的に変更したポリシーの適用も実現している。こちらも対応機器・ベンダーは次々に追加されており、より多様なネットワーク環境にも活用できるようになるだろう。

  • 図3 JATPはさまざまな製品と連携し、検知した脅威を一つの画面で可視化できる

    図3 JATPはさまざまな製品と連携し、検知した脅威を一つの画面で可視化できる

[PR]提供:ジュニパーネットワークス