トーテックアメニティ株式会社

http://www.totec.jp/

製品・サービス情報

情報BOX 【 知って得するサイバーセキュリティ講座 】

第15回サイバーセキュリティを実現する

2013年1月23日

サイバー攻撃に対する耐性を高めるためには、脆弱性対策を進めていくとともに、ネットワークの外部から行われる攻撃に対して検知と防御を行わなければなりません。
今回は、ネットワークセキュリティ機器とセキュリティオペレーションで実現する、サイバーセキュリティに関して説明します。

Ⅰ.セキュリティ機器

(1)ファイアウォール ファイアウォールは、「防火壁」と呼ばれているように、ネットワークの外部と内部の間に設置することで、内部ネットワークを保護するためのセキュリティ機器です。外部ネットワークから行われる信頼できない通信を、通信内容とルールに基づいて通したり遮断したりします。

(2)IPS(侵入防御システム) IPS(侵入防御システム)は、攻撃の特徴を含むパケットかどうか“データの中身”を検査することで攻撃を検知し、検知した攻撃パケットを遮断します。
攻撃の特徴を含むパケットかどうかのチェックは、ブラックリスト方式のウイルス対策ソフトウェアと同様に、シグネチャを使って判断を行ないます。そのため、最新の攻撃に対応するためには、常にシグネチャを最新の状態に更新しなければなりません。

(3)WebアプリケーションとWAF 複雑な攻撃に対して対応するためには、アプリケーションプロトコル(Webなどのアプリケーション固有の通信手順)を理解し、データの持つ意味を理解する必要があります。アプリケーションプロトコルを解釈するタイプのファイアウォールを、「アプリケーションゲートウェイ型ファイアウォール」といいます。
特に、Webで使われるプロトコルであるhttp/httpsに関して、その内容を検査するアプリケーションゲートウェイのことを、WAF(ウェブ・アプリケーション・ファイアウォール)といいます。WAFは、外部に対してサービスを提供するWebアプリケーションを、攻撃から防御するために使われます。

(4)HTTPプロキシサーバとフィルタリング 内部から外部へのWebアクセスを行うときに使用されるアプリケーションゲートウェイは、HTTPプロキシサーバと呼ばれます。
プロキシサーバを経由し、”どこにアクセスしてよいか””してはいけないか”をフィルタリングすることで、Webアクセスのポリシー強制を行うことができます。また、ウイルス検知をすることで、危険のあるWebアクセスを遮断することもできます。また、誰がどこにアクセスしたかの履歴を記録することも可能です。
標的型攻撃などで使われるバックドアは、外部のサーバに対してhttpを使用して接続することが多いため、それに対する対策としても有効です。

Ⅱ.セキュリティオペレーション

「ファイアウォール」「IPS」「WAF」などのセキュリティ機器は、それを設置するだけでは十分な攻撃の検知と防御を行うことはできません。日々の適切な運用管理が重要となります。

このセキュリティ機器の運用管理のことを、セキュリティオペレーションといいます。セキュリティオペレーションでは、1.セキュリティ監視(モニタリング)、2.セキュリティイベントの分析、3.警戒の強化を行ないます。

まず検知ルールに違反する通信を検出したセキュリティ機器が警報(アラート)を発します。セキュリティ監視を行う監視員は、このセキュリティ機器の発する警報を常時チェックし、それが誤検知か実際に攻撃の可能性があるかの判定を行います。

攻撃の可能性が疑われる場合、セキュリティインシデントの分析を行う分析官に引き継ぎ(エスカレーション)を行います。

分析官は、「攻撃手順の分析」「攻撃対象となっている脆弱性」「攻撃が成立する可能性」など、それぞれのセキュリティイベントを分析します。分析の結果、最終的にそのセキュリティインシデントの深刻度の判定を行い、「誤検知」「警告(ワーニング)」「致命的(クリティカル)」などのレベル分けを行います。

この分析されたセキュリティインシデントのレベルによって、インシデント・ハンドリングや、「セキュリティ監視」「防御の強化」などの対応が行われます。

セキュリティオペレーションは、セキュリティ監視に必要な設備を持つ、SOC(セキュリティオペレーションセンター)で24時間365日行われます。

SOCは、「MSSP(Managed Security Service Provider=セキュリティ管理サービス事業者)」「ウイルス対策ソフト開発会社」「セキュリティ研究機関」「セキュリティ連携機関(コーディネーションセンター)」などで運営されます。

企業であれば、MSSPに業務委託を行うことが一般的です。

MSSPで運営されるSOCでは、セキュリティ監視サービスを契約した企業のサーバやセキュリティ機器の情報を集約して監視しています。複数の企業のセキュリティオペレーションを一手に引き受けることで、複数の企業で共通して発見されるセキュリティイベントの検知能力を高めたり、脆弱性や攻撃の分析能力を高めたりすることができるのです。

適切なセキュリティオペレーションを行うためには、サイバースペースの様々な脅威について、常に警戒をしなければなりません。そのためには、時々刻々と変わる脅威の傾向に関する情報収集を行うことが欠かせません。セキュリティオペレーションを行うために必要な情報は、セキュリティ連携機関やセキュリティ監視を行っている各SOC、セキュリティ研究機関などから発表されます。

セキュリティオペレーションでは、これらの情報を基に、セキュリティ機器の検知ルールやポリシーを変更することで、必要に応じて新しい種類の攻撃に対する警戒の強化を行います。

前号へ

◆ 次回は「デジタルフォレンジックスの導入」についてお届けします。

セミナー講演のご依頼・お問い合わせはこちらから。

お問い合わせフォーム

過去の記事一覧

このページのトップへ

事業内容
製品・サービス情報

TOTEC AMENITY LIMITED. All Rights Reserved. since2006.