はじめに
皆さんは、「ネットワーク・セキュリティ対策製品」をどのように選ばれますか?
各種対策製品は、それぞれが製品の特徴をPRしているものの、体系的にどうして必要であり導入によってどのような効果があるのかを知らなければ、正しい選び方はできないことでしょう。
ネットワーク・セキュリティとは、無資格者のアクセスからネットワークを守る管理体系であり、管理者の監視による運営・安全体制の維持と製品・サービスの導入による技術防御の2つの対策が必要です。
今回は、こうしたネットワーク・セキュリティに関して多岐にわたる製品郡の中から、正しい選び方の根拠となる情報をご提供したいと思います。
これまで会社や情報セキュリティ部門担当者に任せてばかりきた方々にとっても他人事ではない基礎知識をしっかり身につけて、比較サイトでサービスを選定できるように理解を深めていきましょう。
ネットワークを狙うサイバー攻撃
2011年7月に米国防総省が、「サイバー空間」を陸・海・空・宇宙に次ぐ「第五の戦場」と定めたように、国家や重要インフラに対する国家間の攻撃は、インターネットを経由して絶えず行われています。
その中で、特定の業種や企業、関連会社をターゲットにした「標的型攻撃」は増加の一途をたどっており、機密情報の漏えいやランサムウェアの感染被害、オンラインバンキングの不正送金などの報告は後を絶ちません。
日本も例外ではなく、2015年のカスペルスキー社の観測データでは、C&Cサーバとの通信を確認した300のIPアドレスに標的型攻撃のマルウェアが侵入しており、そのうち73%が日本の組織であると発表しています。
マルウェアに感染した状態を「風邪をひく」と例える専門家も増えているくらいに、マルウェアは猛威を振るっています。
インターネットが汚染されたネットワークである以上、企業のネットワークを無防備にさらすことは非常に危険であり、いかに予防するか、またいかに拡散させないかを考えなければなりません。
それでは、企業のネットワークを保護する場合、どのように検討すれば良いのでしょうか。
対策製品は3つの視点から考える
一般的には、「入口対策」「出口対策」「内部対策」の順に導入します。
「入口対策」
入口対策には「IPS(侵入防止)」「アプリケーション制御」「ウィルス対策」「スパム対策」「サンドボックス」などがあります。これらは、ネットワークの境界にゲートウェイ装置またはモニタリング装置を置いて防御、可視化を実現します。
各機能に対して、専用機を使用すると高性能で細やかな制御ができます。ただし、ログの出力内容やソフトウェアのバージョンアップ手順が異なることなどを考慮すると、単一の機器で全ての機能を賄う多層防御型の製品のほうがコストパフォーマンス的に優れています。
特に最近では、シグネチャマッチングでは検知できない未知のマルウェアや亜種が増加していることもあり、「サンドボックス」と呼ばれる仮想空間上でファイルを実行して、その振る舞いを見て検知する製品の導入が加速しています。
ただし、仮想空間を識別して活動を停止するマルウェアやマウスカーソルなどの操作を認識しないと活動しないマルウェアなどは、通常のサンドボックスでは検知できません。サンドボックスは有効な入口対策であることは間違いありませんが、万能ではないため注意が必要です。
こういった背景から、近年では入口対策が突破される前提で、端末がマルウェアに感染しても機密情報を外部に送信させないための出口対策が必要とされています。
「出口対策」
出口対策には、「URLフィルタリング」「ボット対策/コールバック検出」「データ漏えい対策」などがあります。ボット対策とは、感染した端末がC&Cサーバに接続する通信を検出して機密情報がインターネット上のサーバに不正送信する通信を遮断する機能です。
この機能は、マルウェアに感染した端末を知ることもできるため非常に有効です。データ漏えい対策は、ファイルに含まれる社外秘などのキーワードを検知してゲートウェイで遮断する機能ですが、ポリシー策定の難しさから国内の普及率はまだ低いのが現状です。
「内部対策」
内部対策には「エンドポイント」「データ暗号化」「パケットキャプチャ」などがあります。マルウェアは端末から端末へと広がるため、ネットワーク内部で感染を早期に発見することが重要です。これらはエンドポイント製品やパケットキャプチャなどによる監視で実現します。
また、パスワード付Zipなどで圧縮されたマルウェアは、多くのゲートウェイ型セキュリティ製品を通過するため、エンドポイント製品で端末でパスワードを開いてファイルが取り出してからサンドボックスを実行するなどの対策製品も出ています。
これらの対策製品を選ぶ際には、「機能」「価格」「性能」「運用管理」などの観点で評価をします。多層防御型の製品を選択して、全ての機能を使用しようとすると必要以上に高額な機種になるため、現在の環境に必要なセキュリティ機能の優先度をつける必要があります。機能の優先度が判断できない場合は、ベンダに相談するのも一つの方法です。
価格は重要な要素ですが、安価な機種はセキュリティ面で劣る場合があります。NSS Labが公開しているTCOなどが参考になります。また、特定の機能を使用する際にライセンス費用が発生する製品もあるため、事前に確認し、イニシャルコストとランニングコストの両方で比較検討する必要があります。
性能については、メーカカタログのスループット値から判断するケースがほとんどですが、メーカにより測定条件が大きく異なるため、現環境のスループット値と今後の増加傾向を正確に算出して判断する必要があります。
特に、実環境に近いトラフィックで検査するとカタログ値よりも大幅にスループットが低下する機器も多いのが現状です。また、スループットが低下しないと謳われている場合であっても、セキュリティを高めるために設定をデフォルト値から変更すると性能が大きく低下する製品もあるため、注意が必要です。
仮に想定より低いスペックの機種を選択するとトラフィックのピーク時に通信が遅延したり、管理操作のレスポンスが著しく低下するなどのリスクがあります。現在使用している機器や負荷状況などの情報をベンダに提出して、サイジングを受けることをお勧めします。
運用管理は、ルール変更の容易性やログの情報量、ログ分析の可否などの観点で検討する必要があります。ログが見づらいとインシデントが発生したときの調査が困難であったり、調査に不必要に時間を要したりします。機能や価格だけではなく、導入後の状況も想定した上で、実際にデモ画面で操作性などを確認すると良いでしょう。
また、運用管理をサービスとして提供する業者も増えているため、これらを利用してシステム管理者の負担を減らすのも有効です。
攻撃と防御は常にいたちごっこで終止符が打たれることはありません。
ネットワーク・セキュリティの対策はどうしてもコストと考えられがちですが、セキュリティ事故が発生した後に受ける影響の深刻さを理解し、組織を存続させる上での必要な投資と考えて入念に検討することで、必要な対策を行いましょう。
参照: Boxil(ボクシル) ネットワークセキュリティ
参照: 【参考版】ネットワークセキュリティを強化するサービスを種類ごとに集めてみた
Boxil(ボクシル)への会員登録はこちらから
Boxilとは
法人向けクラウドサービス比較 Boxil(ボクシル)では、「コスト削減」「売上向上」につながる法人向けクラウドサービスを中心に、様々なサービスを掲載しています。
「何かサービスを導入したいけど、どんなサービスがあるのか分からない。」
「同じようなサービスがあり、どのサービスが優れているのか分からない。」
そんな悩みを解消するのがBoxilです。ぜひ、登録してみてください。
