コロナ禍をきっかけにテレワークが普及した。現在では出社とテレワークを組み合せたハイブリッドワークが働き方の1つとして定着している。ハイブリッドワークにはメリットも多い一方で、セキュリティ対策が行き届かず、サイバー攻撃の被害にあう企業も増えている。
6月10日に開催されたTECH+セキュリティセミナー「専門家とベンダーの対話 第9回 理想と現実の“折り合い”を探る」では、従来の一般的な対策であった「境界型防御」の次の一手となる対策について、パイオリンク 事業推進マーケティング部 マネージャー 松田太郎氏が、ネットワークの観点から解説した。
-
パイオリンク 事業推進マーケティング部 マネージャー 松田太郎氏
「境界型防御」の限界
2020年8月、三菱重工業は外部からの不正アクセスを受け、従業員の個人情報などが流出したと発表した。同社の従業員が在宅勤務時に社内ネットワークを経由せず外部ネットワークへ接続し、ダウンロードしたファイルから社用PCにウイルス感染させてしまった。従業員は感染に気づかず、出社時に社内ネットワークへ接続。社内に感染が拡大してしまった。
このように、テレワーク運用の盲点は、テレワークで使用した端末を出社時に社内ネットワークへ接続するところにある。松田氏は三菱重工の被害が拡大してしまった原因について、「社内以外の通信により端末が感染したこと、感染した端末が社内ネットワークに接続されたこと、社内で感染が拡散したこと、これら3つの事象に気づけなかったことがポイント」と説明する。
一方、攻撃者側の状況も変化している。ランサムウェアだけをみても、データの暗号化により身代金を要求する当初のタイプから、内部で拡散し暗号化が拡大するもの、特定の企業を狙い攻撃をしかけるもの、盗んだ個人情報や機密情報を公開するもの、攻撃のサービス化(RaaS)へと高度化してきている。被害にあう組織も大企業から小規模な組織までさまざまだ。
クラウドサービスの利用も拡大するなか、社内ネットワークと外部に境界を設ける従来の境界型防御の考え方だけでは、多様化する働き方や高度化する攻撃に十分対応できなくなってきているといえる。松田氏は、対策のポイントとして、「端末の近くで動作し攻撃を検知できること、社内に接続されている端末情報を把握できること、既存のセキュリティ製品とは別の特徴を持っていること、これらの特徴を持つ機器を導入する必要がある」と話す。
では、具体的にどのようなネットワークを構築すべきだろうか。松田氏によると、ネットワーク構築に必須となるL2スイッチが鍵になるという。L2スイッチにセキュリティ機能と端末把握機能を付与することで、端末の近くで攻撃拡散を検知・遮断できるだけでなく、社外から持ち込まれた端末にも有効となる。
「攻撃者による情報収集活動やウイルスの拡散は、正常な通信に偽装して端末から実施される。閾値を超えた攻撃の可能性がある通信に対して検知・遮断を行うことで、感染を防止するのではなく、マルウェアの動きを止めるという発想で対応する。境界型防御が不要ということではなく、侵入箇所や攻撃手法が多様化するなか、感染・侵入を前提とした対策が必要ということ」(松田氏)
クラウド管理型セキュリティースイッチ「TiFRONT」
こうしたセキュリティ対策を実現する製品が、パイオリンクが提供する「TiFRONT(ティーフロント)」シリーズである。TiFRONTは、クラウド管理型のセキュリティスイッチ、クラウド管理型セキュリティアクセスポイント(AP)、管理システム「TiController(ティーコントローラー)」からなる。スイッチまたはAPの機器入れ替え時に導入することはもちろん、現状のネットワークにハブとして追加していく方法でも問題ないという。TiControllerはクラウド環境で運用されるため、インターネットが接続された環境であればどこでも利用可能だ。
TiFRONTの特徴は4つ。1つめは、端末・通信を可視化できる点。2つめは、攻撃拡散の通信や不許可端末による接続を検知できる点。3つめは、端末の通信を手動で遮断できる点、4つめは、一元管理できるダッシュボードにより、工数を掛けずに設定できる点だ。
TiFRONTは、閾値をベースに端末の近くで攻撃を検知・遮断する。具体的には、DDoS、DoSなどのフラッディング、ポートスキャン、IPスキャンなどのスキャニング、エターナルブルーで用いられるSMBスキャン、盗聴で用いられるARPスプーフィングといった通信を検知する。プロトコルアノマリーにも対応しているという。異常が検知された場合、メールまたはダッシュボードにてアラートが通知される。
これらの通信を遮断することにより、内部での拡散、情報収集活動を止め、攻撃の最終目的である情報窃盗を防ぐことができる。エージェントレスで管理外端末の発見にもつなげられる。保護対象はTCP/IPベースでIPを持つ機器すべて。PC、IPカメラ、センサーといったIPアドレスを持つ機器が対象となる。
TiControllerのダッシュボードでは、TiFRONTに接続している端末のIPアドレス、MACアドレス、通信量、オンライン/オフライン状況などを一覧できる。任意の端末を選択し通信を遮断させる対応も可能だ。
また、TiFRONTでは、セキュリティレポートがPDF/PPT形式で定期的にメール配信される。どのような攻撃がどれくらいの件数あるのか、どういった機器から発生しているかなど、攻撃状況をまとめて確認できる。
松田氏は、TiFRONTの代表的な運用例について「アラートメールをベースにログや端末状況の確認・対処を行う」「レポートの定期配信をトリガーに振り返りや調査を行う」「他のセキュリティ機器で検知された端末を遮断する手段として使う」「セキュリティログをベースにパラメーターや例外設定のメンテナンスを行う」の4つをあげた。企業の目的や状況に合わせた形で活用されているという。
外部機器とのAPI連携も可能
セミナーでは、セキュリティ専門家である北河拓士氏と辻伸弘氏からのQ&Aセッションも行われた。ここからは、その様子の一部を紹介する。
北河氏:セキュリティスイッチに通常のAPを接続した場合とセキュリティAPを使用する場合の違いは何か。
松田氏:セキュリティスイッチに通常のAPをつないだ場合は攻撃の検知をスイッチ側で行えるが、無線AP間の通信はできる前提となる。TiFRONTのAPを利用する場合、AP側でも攻撃検知可能なため、AP間通信を遮断して拡散できないようにすることが可能。
北河氏:攻撃パターンにもいろいろあるが、IPSシグネチャのように更新されていくのか。
松田氏:シグネチャの機能は持っていないが、ファームウェアで1つ1つの通信の基準を定めており、高・標準・低と3つのプリセットを用意している。新たな攻撃が出てきた際には、ファームウェアのアップデートによって対応していく。
北河氏:TiFRONTは閉塞網でも利用可能なのか。
松田氏:TiControllerを閉塞網に立てて、IPベースでアクセスできる環境であれば、閉塞網でも対応可能。工場に持ち込まれた保守端末が安全かどうかをTiFRONTで確認しているというユースケースもある。
辻氏:他のセキュリティ機器で検知が上がった際に端末を遮断する手段として使えるとのことだが、別の製品と連携できるということなのか。
松田氏:開発が必要になるが、APIによって外部機器からキックを受け連動遮断できるよう対応している。
辻氏:メール添付で配信されるレポートにはどのような項目があるのか。活用事例もあれば教えてほしい。
松田氏:レポートでは、攻撃件数や種類、検知元のTOP情報をまとめている。管理者の方が社内で報告用に使っていたり、TOP5の調査をするトリガーにしたりなどといった活用例がある。また、トラフィックの情報も確認できるので、通信量があまりに多い場合に社内でどういうことが起きていたか調査を行うための判断基準としているケースもある。
TiFRONTは、従来のセキュリティ対策と合わせて利用することで、より効果が発揮される。ハイブリッドワークにおけるセキュリティ強化を考えている場合は、ぜひ検討してみてほしい。
[PR]提供:パイオリンク
