セキュリティ事故が発生してしまった際の「インシデントレスポンス(インシデントへの対応)」をテーマとしたセミナー「事故対応の勘所~日々巧妙化するサイバー攻撃。もしもの時にあなたは会社を守れますか? 最新アップデート情報やユーザー事例が学べる1日~」が2019年3月20日に東京で開催された。事後対応を迅速かつ適切に行うための心構えや、 事前の備えなど、セキュリティ事故を最小限に防ぐ打ち手について、各社から講演が行われた。本記事では、当日のセッションで紹介された、他社製品との連携によってネットワークを「面」で守る、ジュニパーネットワークスとカーボン・ブラック・ジャパンとの連携について解説する。

あらゆるセキュリティシステムと連携してネットワークを守る

ジュニパーネットワークス(以下、ジュニパー)といえば、ルーターやスイッチなどのネットワーク機器で知られた企業である。そのジュニパーがネットワークという視点から提供するセキュリティソリューションが「Juniper Advanced Threat Prevention Appliance (JATP) 」「Sky Advanced Threat Prevention (SkyATP) 」だ。

JATPと SkyATPは、最新の機械学習と動作分析テクノロジーによって未知・既知の脅威を検知するサンドボックス機能に加え、ネットワークに接続するセキュリティシステムと連携し脅威の状況を可視化するセキュリティ運用プラットフォームとしての機能を併せ持つ。

「当社の製品も含めて、ネットワークには脅威を検知するための多層防御のセキュリティ機器が多く稼働しています。そうした機器を1つのセキュリティシステムとして連携動作させ、脅威の状況を可視化することで、運用の効率化とリスクの判別、万一侵入された際の迅速な対応が可能になります」と語るのは、ジュニパーネットワークス株式会社 マーケティング本部 本部長 武堂 貴宏氏だ。

ジュニパーネットワークス株式会社 マーケティング本部 本部長 武堂 貴宏 氏

ジュニパーネットワークス株式会社 マーケティング本部 本部長 武堂 貴宏 氏

セキュリティの運用では、脅威を検知したあとに、その脅威がどれほどリスクが高いを判断し、適切な対応をとらなければならない。脅威がどのセキュリティ機器によって検知され、ブロックが適切になされたのかそうでないのかをひと目でわかれば、セキュリティ運用負荷を軽減できるだけでなく、見逃しなどのリスクを減らせる。

「JATPと SkyATPはサンドボックス機能を備えますが、それだけで確実に脅威を防げるわけではありません。ネットワーク上にはさまざまなテクノロジーでセキュリティ機能を担う製品があります。JATPと互いに脅威情報を共有することで、脅威を自動的にブロックしたり、感染端末を隔離したりとネットワークがセキュリティ運用を手助けできるようになります。これはジュニパーの提供するセキュリティの大きなアドバンテージで、ネットワークを『面』で守ることができます」(武堂氏)

例えば、ネットワーク上にファイアウォール、JATP(サンドボックス)、アンチウイルスゲートウェイ、IPS、エンドポイントセキュリティ(EDR)が動いているとする。JATPではこうしたセキュリティ機器と連携し一元的に監視できる。サイバー攻撃における侵入から内部活動、情報流出までの一連の活動(サイバーキルチェーン)ごとに脅威を可視化できるのだ。

セキュリティ運用はエコシステムで考える

現在の高度に進化したサイバー攻撃を完全に防ぐことは難しいといわれる。侵害を前提とした対策を検討することが重要と武堂氏は主張する。

「サイバー攻撃の段階には、侵入前と侵入後があります。実際の被害は侵入された後、エンドポイントで発生します。エンドポイントセキュリティだけでは、エージェントが動作しないポイントが発生するかも知れない。そこで、ネットワークセキュリティとエンドポイントセキュリティが互いに連携して脅威情報を共有しながら対策できるほうが、より強固なセキュリティ対策につながります」(武堂氏)

ジュニパーでは、JATP/SkyATPとカーボン・ブラックのEDR製品CarbonBlack Cb Responseと連携したソリューションを2018年5月に発表した。JATPはCarbonBlackから感染端末の情報をAPI経由、もしくはSyslogで取り込み、端末が感染するまでのネットワーク上の一連の動作と脅威がまだ継続しているのか時系列で自動的に分析する。

また、CarbonBlackから転送されたファイルの分析結果をCarbonBlackへ提供し、ネットワーク内での未知の脅威の拡散を防ぐことが可能になる。SkyATPはCarbonBlackから感染端末の情報をAPI経由で取り込み、エンドポイント側だけでなくネットワーク側の双方から感染端末をブロックできる。 また、SkyATPが保持している脅威情報をCarbonBlackへ提供し、ネットワーク内での未知の脅威の拡散を防ぐことが可能になる。

JATPとSkyATPにより、セキュリティ運用の工数を劇的に削減することで、限られたIT人員で迅速な対処が可能となりビジネスへの被害を防ぐことが可能となる。

JATPとCarbonBlackの連携が生み出す強固なセキュリティ

セッションの後半には、カーボン・ブラック・ジャパン株式会社 テクニカルディレクター・エバンジェリスト 大久保 智氏から、ジュニパーのJATPと連携するCarbonBlack Cb Responseによるエンドポイントの検知と対応(EDR)ソリューションが紹介された。

カーボン・ブラック・ジャパン株式会社 テクニカルディレクター・エバンジェリスト 大久保 智 氏

カーボン・ブラック・ジャパン株式会社 テクニカルディレクター・エバンジェリスト 大久保 智 氏

カーボン・ブラックは、次世代エンドポイントセキュリティを提供するセキュリティベンダーである。その特長は、大きく分けて次の3つがある。

1つめは、端末上のあらゆるログ、あらゆる痕跡を記録して管理する「UNFILTERED」。

2つめは、集めたログから時間軸で前後の動きに関連付けして「点と点をつなぐ」ことで正しい解析結果に導く「ANAKYTICS」。

3つめは、OPEN APISで他社ソリューションと簡単に連携可能な「EXTENSIBLE&OPEN ARCHITECTURE」だ。

次に、こうした特徴を持つCarbonBlackとJATPの連携例について、以下の4つが紹介された。

JATPとCarbonBlack連携例1
① CarbonBlackがエンドポイントにおける怪しい振る舞いを検知して感染ホストの情報JATPに通知
②JATPは感染ホストのネットワーク上の一連の動作と脅威がまだ継続しているのか時系列で分析結果を管理者に通知する。

JATPとCarbonBlack連携例2
① CarbonBlackはエンドポイントから集めたファイルをJATPに転送
② JATPはファイル分析を実施し、脅威の検知情報をCarbonBlackに提供
③ JATPの検知情報を利用してCarbonBlackは端末上でのファイル実行の無効や、感染端末の隔離をする。

SkyATPとCarbonBlack連携例1
① CarbonBlackがエンドポイントにおける怪しい振る舞いを検知して感染ホストの情報をSkyATPに通知
② SkyATPが感染ホストのIPアドレスをフィード情報に追加して、ジュニパーのファイヤーウォールでSRXに通知
③ SRXが感染ホストの通信を遮断

SkyATPとCarbonBlack連携例2
① 感染した場合の通信先IP情報をSkyATPがCarbonBlackに脅威情報として提供
② CarbonBlackはすべてのエンドポイントにおいてSkyATPの脅威情報と照合する
③SkyATPの脅威情報を利用してCarbonBlackは潜在的な脅威を検知する

セッションの最後には、エンドポイントとネットワークセキュリティの関係を、サッカーのディフェンスに例えて解説された。

「例えばエンドポイントをゴールキーパーとすると、ネットワークセキュリティはサイドバックやセンターバックにあたります。それぞれがバラバラに動いていては、ディフェンスの効果は激減です。ですが、お互いの間にコミュニケーションがあれば、もっともっと攻撃を防ぎやすくなります。日々進化するサイバー攻撃に対抗するには、エンドポイントとネットワーク、それぞれのセキュリティの統合が必然のトレンドなのです」(大久保氏)

[PR]提供:ジュニパーネットワークス、カーボン・ブラック、ジェイズ・コミュニケーション