【Interop 2014 Vol.7　座談会】「SIEMでセキュリティ全体をマネジメント!」（セキュリティ編）

　Interopの会場において、デモおよび相互接続検証を行う実験ネットワークがShowNetだ。このネットワークは会場内だけでなく、インターネットや外部のサーバーやクラウドなどにも接続される。そのためShowNetにもセキュリティ対策が不可欠だ。その対策と新ツールなどの検証・デモを担当するNOCメンバーに話をうかがった。

■ビジネス化するサイバー攻撃、多層防御とSIEM による監視

関谷：ShowNetではこの3 年ほどセキュリティ関連の機器・製品提供（コントリビューション）が増えています。セキュリティ業界は元気のよい市場のひとつでもありますが、みなさんはこの現状をどうとらえているのでしょうか?

橋本：その背景には、攻撃者がサイバー攻撃を行うことで大きな利益になることを知り、攻撃対象が一般企業などにまで広がった結果、業界に関係なくの関心を呼んでいることがあると思います。サイバー攻撃は、この情報がいくらの価値、この攻撃手法はいくらのコストといったようにビジネス化、組織化されてきています。これまでは無差別のバラマキ型攻撃が主流でしたが、いまは攻撃者にとって価値のある情報を持っている組織を標的として狙ってきます。攻撃者もビジネスですから、情報の価値がコストに見合えば、どんどん高度で複雑な攻撃手法を、コストをかけて編み出してきます。このような攻撃に対応する技術やそれを搭載した製品も多様化し市場が広がっているのだと思います。

遠峰：NICT（情報通信研究機構）では、ダークネットを利用したネットワーク観測を続けてきましたが、近年の標的型攻撃などには対応しきれなくなってきたことを感じます。すでにさまざまな技術やそれを搭載した製品が出回っていますが、個別の標的や業界を狙う場合は、その攻撃自体を相手によってカスタマイズしてきますので、シグネチャベースの脅威検出や未知の脆弱性を攻撃するゼロディアタック、そこから続くRAT（Remote Access Tools）【★脚注1】による遠隔操作での情報搾取などの対応は、従来の技術だけでは難しい状況です。

関谷：技術的な対策に加え、企業からの相談やコンサルティングはどうでしょうか?

森島：攻撃対象が政府機関やIT系企業だけではなくなっているため、さまざまな業態から相談を受けます。相談をいただくきっかけも、攻撃を受けてしまったことだけではなく、攻撃を受ける前に点検しておきたい、態勢を構築しておきたいということが増えてきました。このように、企業の情報セキュリティに対する危機感の高まりを感じるのですが、その危機感はまだ漠然としていることが多いようです。

関谷：今年のShowNetでは、標的型攻撃など近年の攻撃傾向に対して効率的な監視手法や運用技術についてのアピールポイントはありますでしょうか?

橋本：新しい攻撃には新しい技術を組み合わせた多層防御が重要となります。次世代ファイアウォール（NGFW）やUTM、IPS/IDS、サンドボックスなど異なる技術を階層的に展開し、これにエンドポイントのセキュリティ対策を行う、その必要性を訴求していきたいですね。また、そういった多層的な対策を効果的にするため、複数装置からのログやアラート、イベントを相関的に分析・監視する「SIEM」【★脚注2】のアプローチもポイントとなります。

関谷：今年はNOCステージでデモを行うことになっていますが、その狙いはなんでしょうか。

遠峰：まず最新の攻撃手法をご覧いただくことで、セキュリティの脅威を身近で具体的なものとして感じていただくこと、次にさまざまなアプライアンスの特性や長所をご理解いただくことで多層防御の必要性をお伝えすることです。実際に標的型攻撃【★脚注3】を行い、攻撃の様子と機器での検知の様子を視覚的に理解いただけるようにします。他にも、外部からの攻撃だけでなく、内部からの情報漏えいという課題について、アプリケーションごとの動作を可視化するとともに、アプリケーションの挙動を制御する取り組みもお見せできると思います。

森島：企業がセキュリティ対策を実施する際のポイントは、セキュリティを内部統制のひとつとして、うまく業務に組み込んでいくことです。守るべき情報や脅威は企業ごとに異なりますから、他の内部統制と同様に、リスク評価を実施し、その結果から、いつまでに、どこまで、どう軽減していくかを決定し、必要な製品や運用手順を見極めて行く必要があります。このため、どのようなリスクがあるのか、どのような対策があるのかといった観点でご覧いただければと思います。

橋本：これまでの技術をすり抜けていとも簡単にパソコンが遠隔操作される様や、どのようなソリューションがどのような攻撃を止めるのかなど、非常に面白い内容かと思いますのでぜひご覧ください。

関谷：NICT さんはNICTER、NIRVANA（改）、DAEDALUS【★脚注4-6】とサイバー攻撃の可視化について定評があります。今年の見どころはなんですか。

遠峰：今年はNIRVANA改をパワーアップさせます。SIEMのように複数の機器からアラートを集めて、セキュリティインシデントの検出情報などを視覚的に認知出来る仕組みを実装し、更に細かく調べられるようにしています。また、DAEDALUS ではプライベートアドレスに対応し、より多くのアラートを表示出来るようにしましたので、こちらにもご注目ください。

関谷：今後はSIEMが来るのではないかというお話もありましたが、これからのセキュリティは、どんな対策があるのか、どんなことが重要になっていくのでしょうか?

森島：まずは、人の手を介さないセキュリティ対策の強化ですね。これまではアプライアンスの進化で、自動的に守ってきましたが、そこが強固になったため、今では狙った情報を扱える人間をまず攻撃する、ソーシャルエンジニアリングが増加傾向にあります。この部分をいかに自動的に防ぐかが重要になるでしょう。次に、SIEMのようなイベントやふるまいで攻撃やインシデントを検知するというのはひとつのトレンドだと思います。人間が攻撃対象となると、さまざまな防御が一挙に突破される可能性が高いので、攻撃の早期発見、その後のインシデント対応、データ保全、証拠保全といったことをよく考えておくべきだと思います。このような、境界防衛の突破を前提として損害を軽減する、ダメージコントロールのサービスやアプライアンスも増えてくるでしょう。

橋本：証拠保全【★脚注7】は重要ですね。実際にアラートが発生したとき、その時のパケットトレースを保存しておいたり、本当にその脅威が端末まで届いていて、ファイルが端末内にあるだけなのかどうか、本当に開いてしまって感染しているのかどうか、端末で動いているプロセスを確認してその脅威の状況証拠を集めて関連づけて解析することで、そのリスクの大きさや緊急度の判断に用いることも非常に重要なポイントで、そのような製品も出てきていますね。

遠峰：攻撃者が狙う情報は利用者の端末やそこからアクセスできるサーバに存在しています。こういった、守るべき情報に一番近いところでの防御も重要なので、エンドポイントでの監視、不審なファイルなどの静的な検査の技術も進化してきています。一方で、攻撃者側も高度なエンドポイントソリューションを回避するため、監視エージェントや仮想環境を検出すると活動を停止したり、スリープタイマーも仕掛けて、検査が完了するであろう時間をおいてから活動を開始したりする仕組みを組み込んでいます。このようなマルウェアに対しては、エンドポイント同士の通信を外部から監視して攻撃やインシデントを検出するという研究もされていますね。まさに多重防御が必要だというわけです。

関谷：最近DDoS の話をよく聞くのですが、実際増えているのでしょうか? また、ShowNetでの取り組みはいかがでしょうか。

橋本：昨年あたりから急激に増加している印象がありますが、これもやはりビジネスになることが背景にあるのでしょう。DDoSによるサービス停止などの損害を与えて株価を操縦したり、DDoS攻撃を止めるために高額な費用請求をしたりすることで、リターンを得られるということが広まったからだと思います。

森島：DDoSではありませんが、侵入したサーバのデータを暗号化してその暗号鍵を高く売るランサムウェア【★脚注8】などもありますね。こういった業務の妨害も、ブラックマーケットではビジネス化してきています。

遠峰：今年はShowNet への機器提供でもDDoS対策のアプライアンスが増えていますね。対応もDPI【★脚注9】を利用したものやxFlow【★脚注10】などのフローモニタリングで検知し、アプライアンスとの連携で攻撃パケットを制御し、きれいなトラフィックにしてから戻すなどさまざまで、非常に注目されている分野であると感じています。

【Interop 2014 Vol.7　座談会】「SIEMでセキュリティ全体をマネジメント!」（セキュリティ編）

関連リンク

関連ニュース

特集

ネットワーク

セキュリティ

トップトピックス

エンタープライズトピックス

Interop Tokyo 2014