Interopの会場において、デモおよび相互接続検証を行う実験ネットワークがShowNetだ。このネットワークは会場内だけでなく、インターネットや外部のサーバーやクラウドなどにも接続される。そのためShowNetにもセキュリティ対策が不可欠だ。その対策と新ツールなどの検証・デモを担当するNOCメンバーに話をうかがった。
他の写真を見る
■ビジネス化するサイバー攻撃、多層防御とSIEM による監視
関谷:ShowNetではこの3 年ほどセキュリティ関連の機器・製品提供(コントリビューション)が増えています。セキュリティ業界は元気のよい市場のひとつでもありますが、みなさんはこの現状をどうとらえているのでしょうか?
橋本:その背景には、攻撃者がサイバー攻撃を行うことで大きな利益になることを知り、攻撃対象が一般企業などにまで広がった結果、業界に関係なくの関心を呼んでいることがあると思います。サイバー攻撃は、この情報がいくらの価値、この攻撃手法はいくらのコストといったようにビジネス化、組織化されてきています。これまでは無差別のバラマキ型攻撃が主流でしたが、いまは攻撃者にとって価値のある情報を持っている組織を標的として狙ってきます。攻撃者もビジネスですから、情報の価値がコストに見合えば、どんどん高度で複雑な攻撃手法を、コストをかけて編み出してきます。このような攻撃に対応する技術やそれを搭載した製品も多様化し市場が広がっているのだと思います。
遠峰:NICT(情報通信研究機構)では、ダークネットを利用したネットワーク観測を続けてきましたが、近年の標的型攻撃などには対応しきれなくなってきたことを感じます。すでにさまざまな技術やそれを搭載した製品が出回っていますが、個別の標的や業界を狙う場合は、その攻撃自体を相手によってカスタマイズしてきますので、シグネチャベースの脅威検出や未知の脆弱性を攻撃するゼロディアタック、そこから続くRAT(Remote Access Tools)【★脚注1】による遠隔操作での情報搾取などの対応は、従来の技術だけでは難しい状況です。
関谷:技術的な対策に加え、企業からの相談やコンサルティングはどうでしょうか?
森島:攻撃対象が政府機関やIT系企業だけではなくなっているため、さまざまな業態から相談を受けます。相談をいただくきっかけも、攻撃を受けてしまったことだけではなく、攻撃を受ける前に点検しておきたい、態勢を構築しておきたいということが増えてきました。このように、企業の情報セキュリティに対する危機感の高まりを感じるのですが、その危機感はまだ漠然としていることが多いようです。
関谷:今年のShowNetでは、標的型攻撃など近年の攻撃傾向に対して効率的な監視手法や運用技術についてのアピールポイントはありますでしょうか?
橋本:新しい攻撃には新しい技術を組み合わせた多層防御が重要となります。次世代ファイアウォール(NGFW)やUTM、IPS/IDS、サンドボックスなど異なる技術を階層的に展開し、これにエンドポイントのセキュリティ対策を行う、その必要性を訴求していきたいですね。また、そういった多層的な対策を効果的にするため、複数装置からのログやアラート、イベントを相関的に分析・監視する「SIEM」【★脚注2】のアプローチもポイントとなります。
関谷:今年はNOCステージでデモを行うことになっていますが、その狙いはなんでしょうか。
遠峰:まず最新の攻撃手法をご覧いただくことで、セキュリティの脅威を身近で具体的なものとして感じていただくこと、次にさまざまなアプライアンスの特性や長所をご理解いただくことで多層防御の必要性をお伝えすることです。実際に標的型攻撃【★脚注3】を行い、攻撃の様子と機器での検知の様子を視覚的に理解いただけるようにします。他にも、外部からの攻撃だけでなく、内部からの情報漏えいという課題について、アプリケーションごとの動作を可視化するとともに、アプリケーションの挙動を制御する取り組みもお見せできると思います。
森島:企業がセキュリティ対策を実施する際のポイントは、セキュリティを内部統制のひとつとして、うまく業務に組み込んでいくことです。守るべき情報や脅威は企業ごとに異なりますから、他の内部統制と同様に、リスク評価を実施し、その結果から、いつまでに、どこまで、どう軽減していくかを決定し、必要な製品や運用手順を見極めて行く必要があります。このため、どのようなリスクがあるのか、どのような対策があるのかといった観点でご覧いただければと思います。
橋本:これまでの技術をすり抜けていとも簡単にパソコンが遠隔操作される様や、どのようなソリューションがどのような攻撃を止めるのかなど、非常に面白い内容かと思いますのでぜひご覧ください。
関谷:NICT さんはNICTER、NIRVANA(改)、DAEDALUS【★脚注4-6】とサイバー攻撃の可視化について定評があります。今年の見どころはなんですか。
遠峰:今年はNIRVANA改をパワーアップさせます。SIEMのように複数の機器からアラートを集めて、セキュリティインシデントの検出情報などを視覚的に認知出来る仕組みを実装し、更に細かく調べられるようにしています。また、DAEDALUS ではプライベートアドレスに対応し、より多くのアラートを表示出来るようにしましたので、こちらにもご注目ください。
関谷:今後はSIEMが来るのではないかというお話もありましたが、これからのセキュリティは、どんな対策があるのか、どんなことが重要になっていくのでしょうか?
森島:まずは、人の手を介さないセキュリティ対策の強化ですね。これまではアプライアンスの進化で、自動的に守ってきましたが、そこが強固になったため、今では狙った情報を扱える人間をまず攻撃する、ソーシャルエンジニアリングが増加傾向にあります。この部分をいかに自動的に防ぐかが重要になるでしょう。次に、SIEMのようなイベントやふるまいで攻撃やインシデントを検知するというのはひとつのトレンドだと思います。人間が攻撃対象となると、さまざまな防御が一挙に突破される可能性が高いので、攻撃の早期発見、その後のインシデント対応、データ保全、証拠保全といったことをよく考えておくべきだと思います。このような、境界防衛の突破を前提として損害を軽減する、ダメージコントロールのサービスやアプライアンスも増えてくるでしょう。
橋本:証拠保全【★脚注7】は重要ですね。実際にアラートが発生したとき、その時のパケットトレースを保存しておいたり、本当にその脅威が端末まで届いていて、ファイルが端末内にあるだけなのかどうか、本当に開いてしまって感染しているのかどうか、端末で動いているプロセスを確認してその脅威の状況証拠を集めて関連づけて解析することで、そのリスクの大きさや緊急度の判断に用いることも非常に重要なポイントで、そのような製品も出てきていますね。
遠峰:攻撃者が狙う情報は利用者の端末やそこからアクセスできるサーバに存在しています。こういった、守るべき情報に一番近いところでの防御も重要なので、エンドポイントでの監視、不審なファイルなどの静的な検査の技術も進化してきています。一方で、攻撃者側も高度なエンドポイントソリューションを回避するため、監視エージェントや仮想環境を検出すると活動を停止したり、スリープタイマーも仕掛けて、検査が完了するであろう時間をおいてから活動を開始したりする仕組みを組み込んでいます。このようなマルウェアに対しては、エンドポイント同士の通信を外部から監視して攻撃やインシデントを検出するという研究もされていますね。まさに多重防御が必要だというわけです。
関谷:最近DDoS の話をよく聞くのですが、実際増えているのでしょうか? また、ShowNetでの取り組みはいかがでしょうか。
橋本:昨年あたりから急激に増加している印象がありますが、これもやはりビジネスになることが背景にあるのでしょう。DDoSによるサービス停止などの損害を与えて株価を操縦したり、DDoS攻撃を止めるために高額な費用請求をしたりすることで、リターンを得られるということが広まったからだと思います。
森島:DDoSではありませんが、侵入したサーバのデータを暗号化してその暗号鍵を高く売るランサムウェア【★脚注8】などもありますね。こういった業務の妨害も、ブラックマーケットではビジネス化してきています。
遠峰:今年はShowNet への機器提供でもDDoS対策のアプライアンスが増えていますね。対応もDPI【★脚注9】を利用したものやxFlow【★脚注10】などのフローモニタリングで検知し、アプライアンスとの連携で攻撃パケットを制御し、きれいなトラフィックにしてから戻すなどさまざまで、非常に注目されている分野であると感じています。
■ShowNet のチャレンジ~セキュリティ全体をマネジメントするSIEM がキーポイントに
関谷:今後の10年、セキュリティ全般に関し社会やShowNetにおいてどのようなチャレンジがあるでしょうか。
遠峰:多層防御によって組織を堅牢にすることが前提となり、多層防御を突破された後のダメージコントロールの高度化と、そのための多角的な監視が重要なチャレンジになるかと思います。その要素のひとつである早期発見の観点からは、SIEMとしての機能を追加した可視化ツールや監視に関する研究を進めることで、さらに現実的な対策を実現できるのではないかと思っています。
森島:早期発見の中核を担うSIEMでは、インシデント検出のためのイベント分析のチューニングが重要です。それもセキュリティアプライアンスの進化や攻撃手法の変化に応じて、継続的に見直しや改善をしていく必要があるものです。チャレンジする部分は多いですね。
橋本:今後はSIEMのような検出をさらに進めて、さまざまなポイントデータの解析だけでなく、その周辺の人や物の動きなどの間接的な情報も収集し、ビッグデータの相関分析を駆使して、サイバー攻撃を事前に予知するということが出来る世界がくるのでは無いかと期待しています。
関谷:なるほど。セキュリティがかかわる範囲はどんどん広がっていくようですね。それだけ、ShowNet でもセキュリティに関心を持ってくる人も多いかと思います。今年もShowNetでは「ASK NOC」のコーナーを設けますので、セキュリティ編のみなさんにも来場者の質問対応お願いいたします。本日はありがとうございました。
【★脚注1】
RAT:Remote Access Toolの略。ネットワークに接続された遠隔のコンピュータを、手元のコンピュータから操作するツール。本来の目的は、システム管理者が遠隔地からPCやネットワーク機器のトラブルを解決したり、外出先の社員が遠隔地から自分のPCなどを操作したりするために用いられるものだった。しかし、悪意のある攻撃者がRATを使って、攻撃経路に様々な攻撃を仕掛けたり、脆弱なポートからネットワークに不正アクセスするケースなどが確認されている。
【★脚注2】
SIEM:Security Information and Event Management の略。セキュリティイベントの相関および標準化を行うSIM(Security Information Management)と、セキュリティイベントの収集・集約を行うSEM(Security Event Management)という2つの異なる技術を統合したソリューションのこと。
【★脚注3】
標的型攻撃:特定の組織や個人をターゲットにして、明確な目的をもって行われるサイバー攻撃の総称。たとえば、企業の機密情報や、軍事技術などの需要な情報の不正取得、業務の妨害なども含まれる。人が攻撃を行っているため、通常のコンピュータウイルスとは区別されるが、攻撃の過程では不正プログラムが使われることもある。被害に遭ったことが分からず、1年以上前から情報が盗まれていたのに気付かなかったというケースもある。
【★脚注4】
NICTER:Network Incident analysis Center for Tactical Emergency Response の略。NICTが開発しているインシデント分析システムのこと。インターネットで発生するさまざまなセキュリティ上の脅威を迅速に把握し、有効な対策を導出するための複合システム。
【★脚注5】
NIRVANA改:ニルヴァーナ・カイ。NICTが開発した大規模ネットワークの管理を支援するネットワークリアルタイム可視化システム・NIRVANAの改造版。新たに各種の分析エンジンを追加したもの。
【★脚注6】
DAEDALUS:Direct Alert Environment for Darknet And Livenet Unified Security の略。NICTERの大規模ダークネット観測網を活用した対サイバー攻撃アラートシステム。NICTが開発したシステム。
【★脚注7】
証拠保全:ここでは電子データの証拠保全を指す。セキュリティ事故時に最も重要なポイントとなるものだ。ファイルやメールの生成・改変・移動・アクセスなどの情報記録を、法的に有効な証拠となりうる方式で確保すれば、何かあっても正確な事後解析が可能になる。データに改ざんが加えられていないことを証明するためには、デジタルフォレンジック技
術が用いられる。
【★脚注8】
ランサムウェア:Ransomwareはマルウェアの一種で、感染するとシステムへのアクセスが制限されたり、HDDが暗号化されてしまう。その制限を解除するために、マルウェアの作者が身代金を要求することがある。サイバー犯罪のビジネス化の顕在化といえる。
【★脚注9】
DPI:Deep Packet Inspectionの略。パケットフィルタリングの一種。インスペクションする際に、パケットのデータ部(場合によってはヘッダ部も)まで精査する。
【★脚注10】
xFlow:通信トラフィックをフロー単位でサンプリングし、通信の統計を取得する技術のこと。これにより利用者の傾向、AS単位の通信経路、プロトコル毎の通信傾向などが分かる。ネットワークの全体的な傾向を把握し、DoS攻撃などによる不審なトラフィックが流れていないかどうかを検出することができる。
例:Net Flow、sFlow、IP FIXなど。
