警告! 見落としがちな不正アクセス対策ポイントとは!?

Flowmonによるフローセキュリティのススメ

ここでは、見落としがちな不正アクセス対策のポイントと、フローセキュリティによる振る舞い検知を活用した、セキュリティリスクの解消方法について解説いたします。

日本は不正アクセス天国?

昨今、日本では、企業のサイトやサービスを狙った不正アクセス・情報漏洩などといったセキュリティ事件の発生が後を絶ちません。また、こうしたセキュリティ事件の被害を受けたといわれる企業名のリストを眺めてみますと、そこには日本を代表するような組織や団体が数多く含まれており、今やどんな企業であっても、「うちは大丈夫!」と胸を張って言えるところは少ないのではないかとさえ思えます。実際のところ、ほとんどの企業では、頻発する他社のセキュリティ事件に戦々恐々としては、「明日は我が身」とばかりに、不正アクセスや情報漏洩対策に躍起となっているのではないでしょうか。
Flowmon

セキュリティ事故の発生要因

Flowmonこのようなセキュリティ事故・事件はいったいなぜ頻発するのでしょうか。実はそこには、最近の不正アクセスや情報の盗聴を目的としたサイバー攻撃が、実に巧妙にインテリジェントなものに進化してきているという要因があります。たとえば、最近のサイバー攻撃は、標的型攻撃と呼ばれるような、特定の企業や部署・個人に対して、ピンポイントで攻撃を仕掛けてくるタイプのものが増えてきています。このタイプの攻撃は、巧妙すぎるために、ユーザが攻撃を受けていることに全く気がつかなかったり、ファイアウォールやアンチウイルスソフト、IPS/IDSなどといったセキュリティ製品では検知できなかったりするのです。(※1)
(※1)従来のファイアウォールやIPS/IDS、アンチウイルスなどのセキュリティ製品の多くは、過去に世界中のどこかで検知・検疫された攻撃シグネチャをデータベースに持ち、次回から同様な攻撃が来たらシャットアウトをすることで、攻撃からシステムを守ります。しかし、まだデータベースに登録されていないシグネチャパターンや、自身を経由せずにやり取りされるパケット、巧妙で継続的で長い時間をかけた攻撃には弱い面があります。

信じる者は救われる? 過信は禁物?

では、こうした従来のセキュリティ製品は、現在におけるセキュリティ対策として、まったく意味のないものになってしてしまったのでしょうか? いいえ、そうではありません。ファイアウォールやIPS/IDS、アンチウイルスは今でも大変有効であり、現在においても第一に導入すべき対策です。しかし、それらの機能にもう一つの要素を加えることで、格段にセキュリティレベルを押し上げることが出来るようになります。それが、防犯カメラ的セキュリティ要素です。
実は日本のネットワークシステムのセキュリティ対策は、この防犯カメラ的セキュリティ要素の部分がすっぽり抜け落ちてしまって、不完全な状態となってしまっている残念なケースが大変多いのです。
以下のネットワークセキュリティ対策における3大要素では、ファイアウォールやIPS/IDSを、外部からの攻撃を水際で防ぐ「境界セキュリティ」としてとらえ、アンチウイルス対策やアプリケーションの脆弱性対策をサーバ/クライアント側の「エンドポイントセキュリティ」としてとらえています。その上で、ネットワーク全体のセキュリティを強化するために、さらにもう一つの防犯カメラ的要素である「LANの可視化(フローセキュリティ)」をも加えることを提唱しています。
FlowMon

フローセキュリティによる振る舞い検知(ネットワークにおける防犯カメラはなぜ有効か?)

防犯カメラの犯罪抑止効果は良く知られていますが、同様の効果がLANの可視化で得られます。NetFlowなどのフロー統計技術を活用したフロー解析を行うことで、ネットワーク上で、誰が・いつ・どこで・何をしたかを監視することが可能になり、ユーザの不用意な行動(不審なサイト、外部IPアドレスへのアクセスやP2P通信、ファイル共有、違反行為)を抑制できます。
また、ファイアウォールやIPS/IDSの内側から発信される攻撃やワームの発見、望ましくないユーザの振る舞い、ネットワーク障害などといったことを簡単に検知できるため、内部乗っ取りによる攻撃にも効果を発揮します。さらに、情報漏洩の予兆的な動きを検知することで、操られた不審ホストを特定し、そのホストが重要な情報にたどり着きセキュリティ事故が発生する前に(※2)、そのホストをネットワークから切り離すこともできます(検疫状態)。さらには、フローによる通信ログを残すことで、情報漏洩や不正アクセス事故発生時の証跡確認・照合にも利用でき、痕跡を残さないタイプの不正アクセスがあった際にも、被害範囲の特定や手口の分析にも活用することができます。
(※2) 通常、不正侵入者がターゲットである情報にたどり着き情報を盗みとるまでには、潜伏期間を含め時間的猶予があるといわれています。乗っ取り犯人は、いきなり目的の情報にたどり着くのではなく、通常は周辺のホストを乗っ取ったり、手を変え品を変え、徐々に本命の情報があるサーバまでたどり着くからです。そのため、乗っ取られたホストが発する予兆的な振る舞い(スキャンや外部との通信)を検知することで、乗っ取られたホストを特定し、排除することは、大変有効な手段といわれています。

Flowmon ADS(Anomaly Detection System)によるフローセキュリティとは

NetFlow技術をベースにしたフロー統計情報の定常的な評価および汎用的な振る舞いリストとの比較により、ネットワーク上の異常や望ましくない動きをいち早く検出し、乗っ取りや不正アクセスの兆候を知らせます。そうすることにより、ファイアウォールやIPS/IDSで守られたネットワーク内部のセキュリティをさらに強化することが可能です。

SIEM(セキュリティ情報イベント管理)システムとの連携も

また、Flowmon ADSやコレクタで検知したアラートを、社内のSIEM(セキュリティ情報イベント管理)システムに飛ばすことで、これまで見落としがちだった、各ネットワークの監視モニタ的視点を、セキュリティ監視ポイントの一部として取り込み、より充実したSIEMシステムを構築することも可能です。
Flowmonとネットワークセキュリティ


ますます巧妙になってくる昨今のサイバー攻撃を100%完璧に防ぐことは難しいかもしれません。しかし、完璧ではなくても、100%に近づけるように努力することは出来ます。また、万一事故が発生してしまった際に、被害を最小限にとどめることや、事故後の対応・調査をスピーディーに行い、信頼をいち早く回復させる道筋を、あらかじめ用意しておくことも可能です。フローセキュリティは、そうした企業・団体側のセキュリティに対する真剣な取り組みを、強力に支援することのできる技術なのです。

不正アクセス対策に有効なネットワーク
トラフィック監視製品「Flowmon」に
関する
お問い合わせはこちらからどうぞ