情報BOX 【 知って得するサイバーセキュリティ講座 】
第15回サイバーセキュリティを実現する
2013年1月23日
サイバー攻撃に対する耐性を高めるためには、脆弱性対策を進めていくとともに、ネットワークの外部から行われる攻撃に対して検知と防御を行わなければなりません。
今回は、ネットワークセキュリティ機器とセキュリティオペレーションで実現する、サイバーセキュリティに関して説明します。
Ⅰ.セキュリティ機器
(1)ファイアウォール ファイアウォールは、「防火壁」と呼ばれているように、ネットワークの外部と内部の間に設置することで、内部ネットワークを保護するためのセキュリティ機器です。外部ネットワークから行われる信頼できない通信を、通信内容とルールに基づいて通したり遮断したりします。
(2)IPS(侵入防御システム)
IPS(侵入防御システム)は、攻撃の特徴を含むパケットかどうか“データの中身”を検査することで攻撃を検知し、検知した攻撃パケットを遮断します。
攻撃の特徴を含むパケットかどうかのチェックは、ブラックリスト方式のウイルス対策ソフトウェアと同様に、シグネチャを使って判断を行ないます。そのため、最新の攻撃に対応するためには、常にシグネチャを最新の状態に更新しなければなりません。
(3)WebアプリケーションとWAF
複雑な攻撃に対して対応するためには、アプリケーションプロトコル(Webなどのアプリケーション固有の通信手順)を理解し、データの持つ意味を理解する必要があります。アプリケーションプロトコルを解釈するタイプのファイアウォールを、「アプリケーションゲートウェイ型ファイアウォール」といいます。
特に、Webで使われるプロトコルであるhttp/httpsに関して、その内容を検査するアプリケーションゲートウェイのことを、WAF(ウェブ・アプリケーション・ファイアウォール)といいます。WAFは、外部に対してサービスを提供するWebアプリケーションを、攻撃から防御するために使われます。
(4)HTTPプロキシサーバとフィルタリング
内部から外部へのWebアクセスを行うときに使用されるアプリケーションゲートウェイは、HTTPプロキシサーバと呼ばれます。
プロキシサーバを経由し、”どこにアクセスしてよいか””してはいけないか”をフィルタリングすることで、Webアクセスのポリシー強制を行うことができます。また、ウイルス検知をすることで、危険のあるWebアクセスを遮断することもできます。また、誰がどこにアクセスしたかの履歴を記録することも可能です。
標的型攻撃などで使われるバックドアは、外部のサーバに対してhttpを使用して接続することが多いため、それに対する対策としても有効です。
Ⅱ.セキュリティオペレーション
「ファイアウォール」「IPS」「WAF」などのセキュリティ機器は、それを設置するだけでは十分な攻撃の検知と防御を行うことはできません。日々の適切な運用管理が重要となります。
このセキュリティ機器の運用管理のことを、セキュリティオペレーションといいます。セキュリティオペレーションでは、1.セキュリティ監視(モニタリング)、2.セキュリティイベントの分析、3.警戒の強化を行ないます。
まず検知ルールに違反する通信を検出したセキュリティ機器が警報(アラート)を発します。セキュリティ監視を行う監視員は、このセキュリティ機器の発する警報を常時チェックし、それが誤検知か実際に攻撃の可能性があるかの判定を行います。
攻撃の可能性が疑われる場合、セキュリティインシデントの分析を行う分析官に引き継ぎ(エスカレーション)を行います。
分析官は、「攻撃手順の分析」「攻撃対象となっている脆弱性」「攻撃が成立する可能性」など、それぞれのセキュリティイベントを分析します。分析の結果、最終的にそのセキュリティインシデントの深刻度の判定を行い、「誤検知」「警告(ワーニング)」「致命的(クリティカル)」などのレベル分けを行います。
この分析されたセキュリティインシデントのレベルによって、インシデント・ハンドリングや、「セキュリティ監視」「防御の強化」などの対応が行われます。
セキュリティオペレーションは、セキュリティ監視に必要な設備を持つ、SOC(セキュリティオペレーションセンター)で24時間365日行われます。
SOCは、「MSSP(Managed Security Service Provider=セキュリティ管理サービス事業者)」「ウイルス対策ソフト開発会社」「セキュリティ研究機関」「セキュリティ連携機関(コーディネーションセンター)」などで運営されます。
企業であれば、MSSPに業務委託を行うことが一般的です。
MSSPで運営されるSOCでは、セキュリティ監視サービスを契約した企業のサーバやセキュリティ機器の情報を集約して監視しています。複数の企業のセキュリティオペレーションを一手に引き受けることで、複数の企業で共通して発見されるセキュリティイベントの検知能力を高めたり、脆弱性や攻撃の分析能力を高めたりすることができるのです。
適切なセキュリティオペレーションを行うためには、サイバースペースの様々な脅威について、常に警戒をしなければなりません。そのためには、時々刻々と変わる脅威の傾向に関する情報収集を行うことが欠かせません。セキュリティオペレーションを行うために必要な情報は、セキュリティ連携機関やセキュリティ監視を行っている各SOC、セキュリティ研究機関などから発表されます。
セキュリティオペレーションでは、これらの情報を基に、セキュリティ機器の検知ルールやポリシーを変更することで、必要に応じて新しい種類の攻撃に対する警戒の強化を行います。
◆ 次回は「デジタルフォレンジックスの導入」についてお届けします。
セミナー講演のご依頼・お問い合わせはこちらから。
過去の記事一覧
- 2011年11月1日 第1回 サイバースペースのセキュリティ
- 2011年12月20日 第2回 なぜサイバーセキュリティが必要か?
- 2012年1月25日 第3回 サイバーセキュリティの意義
- 2012年2月29日 第4回 エラーとバグと脆弱性
- 2012年3月23日 第5回 権限と脆弱性
- 2012年4月12日 第6回 人間の持つ脆弱性
- 2012年5月24日 第7回 サイバー攻撃を受けたら何をするべきか【1】
- 2012年6月27日 第8回 サイバー攻撃を受けたら何をするべきか【2】
- 2012年7月26日 第9回 サイバー攻撃を受けたら何をするべきか【3】
- 2012年8月22日 第10回 サイバー攻撃を受けたら何をするべきか【4】
- 2012年9月19日 第11回 汎用ソフトウェアの脆弱性対策
- 2012年10月17日 第12回 ゼロデイ攻撃・標的型攻撃と新型ウイルス対策
- 2012年11月21日 第13回 Webアプリケーションの脆弱性対策
- 2012年12月19日 第14回 Webアプリケーションのセキュリティ設計
- 2013年1月23日 第15回 サイバーセキュリティを実現する
- 2013年2月20日 第16回 デジタルフォレンジックスの導入
- 2013年3月26日 第17回 情報漏洩対策
- 2013年4月24日 第18回 メールの添付ファイル禁止とファイル送信サービス
- 2013年5月22日 第19回 私物モバイル対策(BYOD対策)
- 2013年6月19日 第20回 新型サイバー攻撃には多層防御で対抗する
- 2013年7月23日 第21回 マスコミ社会から口コミ社会へ
- 2013年8月22日 第22回 批判にさらされる企業
- 2013年9月26日 第23回 サイバースペース上での企業の責任を知る
- 2013年10月23日 第24回 顧客の情報を預かる責任
- 2013年11月20日 第25回 個人情報取得のポリシー
- 2013年12月18日 第26回 即応性の危機管理広報
- 2014年1月6日 第27回 情報という経営資源を守れ
- 2014年2月19日 第28回 利用者中心のサイバーセキュリティへ向けて
- 2014年3月13日 第29回 安全・安心なサイバー社会の実現(最終回)