Home > News > News & Notice

※本記事は、株式会社リクルートのキーマンズネットに2012年05月23日に掲載された記事より転載

掲載されております。サービス内容、料金などは、掲載日または更新日時点のものです。

掲載日: 2012/05/23


巧妙化する標的型サイバー攻撃対策に!「検知したら即遮断」の新発想

「標的型サイバー攻撃」は一部の著名な大企業だけにとっての脅威ではなく、多くの企業や部門(組織)、個人までもが"標的"になってきている。しかし、対策と しては「ファイアウォールやウイルス対策製品による防御」「IPS/IDS(Intrusion Protection System/Intrusion Detection System)などによる検知」にとどまっているケースがほとんどではないだろうか。

巧妙化する「標的型サイバー攻撃」に防御を破られてネットワークに不正な動きをするデバイス(PCにかぎらず例えばOA機器やIP電話など)があっても対策に時間がかかっていたり、そもそも"気づいていない"という状況では、知らず知らずのうちに被害が拡大してしまう。

そこで注目なのが「怪しい動きのデバイスがあったら即時に遮断」するソリューションだ。その内容を詳しく見ていこう。

「標的型サイバー攻撃」は"相手に気づかれないように不正に情報を収集する"というタイプのものが急増している。

例えば、あなたのもとに取引先や自社の総務部門から添付ファイル付のメールが届いたとしよう。しかし、これは取引先や関係部署になりすまして、送信者名を 偽装している「標的型サイバー攻撃」かもしれない。その場合、いかにも業務に関係しそうなファイル名であれば、ついファイルを開いてしまうのではないだろ うか。しかも、ファイル自体に当たり障りのない内容が記載されていたら「怪しい」と思うこともないだろう。

こうして、あなたのPCはマルウェアに感染してしまうのだが、この段階では気づきようもないだろう。そして、やや時間を空けてからマルウェアが活動を開始 し、外部から別のマルウェアをダウンロードし、ネットワーク経由でサーバから重要な情報を抜き出したり、ネットワークに接続されている他の端末にも感染を 拡大させる…といった行為が密かに行われてしまったら?

知らず知らずのうちに、情報漏洩やトラフィックの急増でネットワークがダウンするなどの被害が広がってしまうということになる。

つまり、「入口での防御」対策だけしかとっていない企業では、入口をすり抜けてしまった脅威があれば、もはや"安全なネットワーク"とは言えない状況になってしまうわけだ。
もちろん、IPS/IDS や統合運用管理製品などで「怪しい動き」を検知するしくみを導入している企業もあるだろう。しかし、アラートが上がってきても、「どのPCが不正な動きを しているのか」などの特定に時間がかかったり、管理者が対処するまでにタイムラグがあることで、被害が拡大してしまうという危険性もある。

「防御だけ」に偏重していては、万一、すり抜けられた場合に対応できず、「検知だけ」では対応するまでのタイムラグが問題となる。

そこで有効なのが、「怪しい動き」を検知したら、まずは自動的に「遮断」できる"しくみ"を構築することだ。


「検知したら即遮断」というしくみを構築するのは、決してハードルの高いものではない。

「検知」自体は、IPS/IDS製品や統合運用管理製品など、多くの企業で既に導入が進んでいるだろう。これらの製品により「怪しい動きが検知」された場合、即時に発生元であるPCを特定して遮断できるのが、パイオリンク社のセキュリティスイッチ「TiFRONT」だ。

「TiFRONT」は、L2スイッチとして機能をフルに実装した上で、以下のセキュリティ機能もあわせもつ製品だ。
(1) DoS/DDoS攻撃など内部ネットワークからのサイバー攻撃を検知して遮断
(2) ハッキングによるID/パスワードの盗難、IP電話の盗聴、情報漏洩につながるサイバー攻撃を認知して遮断
(3) アンチボット製品、IPS/IDS、フィルタリング製品など、他のネットワークセキュリティ製品と連動して
発生元となるゾンビPCを即時に遮断
L2スイッチでありながらもセキュリティ機能も持っている"セキュリティスイッチ"というのが「TiFRONT」の位置づけだ。

現在のL2スイッチを「TiFRONT」に入れ替えることで、手遅れになる前に「まずは遮断」してしまえる体制を実現できるようになるわけだ。
さて、また「あなたのPCが標的型サイバー攻撃によってマルウェアに感染したら」という例え話をしよう。

あなたのPCが「怪しい動き」をしていることで、「TiFRONT」によりネットワークから遮断された場合、「遮断されている」ことを通知するWebア ラートが画面に表示される。このWebアラートがないと、あなたは「ネットワークに接続できない」→「時間を置いてから再度トライするも接続できず」→ 「再起動してみるがやはり接続できず」→「しかたなくネットワーク管理者に問い合わせ」…といった試行錯誤を繰り返すことになるだろう。こうした配慮がな されていることにより、エンドユーザに無用の苛立ちを感じさせずにすむというわけだ。
「TiFRONT」はスイッチだけに複数台の設置となるケースが多い。そのため統合運用管理のための「TiManager」が用意されている。「TiManager」では1000台規模での「TiFRONT」運用実績があるため、大規模環境でも十分活用できる。

また、「TiFRONT」は現在設置されているL2スイッチの位置に配置する、あるいは配下のL2スイッチをまとめるフロアスイッチとして配置するといっ た導入が可能なため、重要な特定部門のみ先行して導入し、他の部門はスイッチのリプレース時期を待って順次更改する…といったスモールスタートにも適して いる。
「TiFRONT」は 日本では2012年4月に発売されたばかりだが、韓国では2010年4月のリリースから2年で導入台数は既に1万台超という実績を有している。というの も、ワーム・ボットが社会問題化したことのある韓国では、感染PCの遮断という考え方は一般的であるためだ。
(1)教育委員会傘下の各小・中・高校、大学
(2)地方自治体、警察、軍関係
(3)銀行などの金融業
(4)インターネットカフェ、インターネットマンション、学生・社員寮など
(5)IP電話導入企業、研究所     …など
韓国ではゾンビPCに対する
法規制も検討された
「TiFRONT」のセキュリティ機能は、単に外部からの攻撃だけを対象としたものではない。例えばARPスプーフィングという、「ARP」 (Address Resolution Protocol)パケットを悪用した攻撃にも対応している。

ARPは、IPアドレスとMACアドレスの紐付けを行うが、MACアドレスを書き換えてしまうことで、PCとサーバ間でやり取りされるIDやパスワードを傍受したり、IP電話での通話内容を盗聴するといったことも可能になってしまうのだ。

「TiFRONT」では次のような手順でARPスプーフィング攻撃を検知し遮断する。
このような機能により、内部ネットワークからの攻撃及び拡散防止、ID/パスワードの盗難防止、IP電話の盗聴防止などを行えることで、社内に悪意を持つ人物がいたとしても、サイバー攻撃と標的型サイバー攻撃の踏み台になることなどを防御することもできるのだ。



「TiFRONT」は セキュリティ機能を搭載していながら、低コストでの導入が可能。100Mbpsの24ポートと1Gbpsの2ポートモデルである「TiFRONT- F26」は標準価格24万円(税別)といった価格帯であるため、コスト面でも大きなメリットが感じられるのではないだろうか。
また、「導入したスイッ チをなるべく長期間利用したい」という企業も多いだろう。そこで、パイオリンクでは10年間という長期サポートに対応。「TiFRONT」のセキュリティ 機能はOSレベルでのファームウェアアップデートで最新版に更新できるため、長期間の利用に適している。
「TiFRONT」の ラインナップや各モデルのスペック、価格などについては、資料ダウンロードの『PIOLINK製品紹介』に詳しく記載されている。また、韓国におけるイン ターネットカフェでの導入事例や、従来のアンチボット製品やNAC製品との違いなどを客観的に紹介したホワイトペーパーも、製品理解のために役立つはず だ。是非、参考にしてほしい。



| SITEMAP | 個人情報の取扱い |
COPYRIGHT(C) PIOLINK, Inc. ALL RIGHTS RESERVED