Special Issue
ネットワンパートナーズ 内部対策特集 入口・出口だけでは守れない
2016/08/25 19:55
週刊BCN 2016年08月22日vol.1641掲載
ネットワーク機器最大手のシスコシステムズ(シスコ)が、近年セキュリティ事業を強化している。同社によれば、企業内のネットワーク機器をセキュリティセンサとして活用することで、効果的な内部対策が実現できるという。国内のパートナーに向けて提供できる“シスコ・セキュリティ”の価値とは何か、シスコと同社製品を熟知するディストリビュータのネットワンパートナーズに聞いた。
なぜ、企業が行っているセキュリティ対策は、標的型攻撃に対して効果を発揮できていないのか。その理由の一つとして、これまではマルウェアの侵入や外部への通信の経路となる、ネットワークの出入口部分での対策が重視されていたことが挙げられる。
侵入を100%防ぐのが難しい以上、今後のセキュリティ対策は、侵入した攻撃者の活動を抑え、企業内部での感染や侵害の拡大を防ぐ「内部対策」にも力点を置くことが必要だ。内部対策を実現するソリューションの提供に力を入れるベンダーの取り組みを探った。
専業ベンダーをしのぐ膨大なセキュリティ情報を蓄積
西原敏夫
セキュリティ事業
エバンジェリスト 「入口・出口に加えて内部の対策が必要」と聞いて、「また、新しいセキュリティ機器が必要になるのか」との思いをもつIT管理者は少なくないだろう。しかし、シスコの西原敏夫・セキュリティ事業エバンジェリストは、「すでにお客様が導入されているルータやスイッチの機能を使って内部対策は実現可能」と述べ、ネットワーク機器を上手に活用すれば、大がかりなインフラ構築や運用の手間なしに対策を施すことができると強調する。
ネットワークのトップベンダーとして知られるシスコだが、実は1995年にファイアウォールを発売して以来、20年以上にわたってセキュリティの分野にも積極的な投資を行っている。武器となるのは、世界中から収集した膨大なサイバー脅威情報を分析することで得られるセキュリティ・インテリジェンスだ。
西原エバンジェリストによると、シスコが分析するデータは1日あたりマルウェアのサンプル数で約150万、電子メールで約6000億通に上るといい、ほかにもURLやDNSなどセキュリティにかかわるあらゆるデータを収集している。これは、セキュリティ専業のベンダー各社がもっているデータと比べても桁違いの情報量だ。分析結果は、ユーザーがもつシスコ製品の精度を高めるために逐次活用され、最新の脅威がいち早く検出可能になると同時に、誤検知による業務への影響を最小限に抑えられるのが特徴となる。
通信の可視化と自動制御で内部対策を実現
では、シスコの製品では具体的にどのように内部対策を実現するのか。同社のアプローチは、通信の「可視化」と「自動制御」を行い、企業の入口部分で捕捉しきれなかった脅威の動きを抑え込むというものだ。
例えば、多くのルータやスイッチが標準装備しているトラフィックモニタ機能の「NetFlow」。もともとはネットワーク性能の最適化のために使われていた機能だが、シスコが提供する分析ソリューション「Cisco StealthWatch」を利用してNetFlow情報を解析することで、企業内に入り込んだ攻撃者の偵察活動や、情報漏えいの疑いがある怪しい動きなどもリアルタイムで検知できる。企業のセキュリティ対策は、外部からの不正な通信からネットワークを守るのに集中しがちだが、昨今の情報漏えい事件では内部の監視ができていれば大規模な被害を防げたとみられるケースも多く、トラフィックの可視化は急務だ。
内部対策では「脅威の拡大を防ぐためネットワークの“セグメント化”が重要」とも言われているが、西原エバンジェリストは、「細かくファイアウォールなどを設置することで境界を増やそうとすると、より多くの機器が必要となって費用がかかるばかりか、管理の手間も増えてしまう」と話し、ネットワーク構成の変更によるセグメント化は得策ではないと指摘する。
対してシスコは、ネットワークコントローラ 「Cisco Identity Services Engine(ISE)」による「人や状況に応じて動的に変化するセグメント化」を提案する。ISEでは、「誰が」「どの端末で」「どこから」アクセスしたかなどといった情報に応じてトラフィックにタグ付けを行う。付与されたタグに応じて各ネットワーク機器が自動的にアクセスを制御するので、VLANの構築や膨大なACL(アクセス制御リスト)の管理といった手間をかけることなく、セキュリティポリシーを企業内全体で確実に適用できる。
また、「StealthWatchで検知した脅威をISEに通知し、通信を遮断し、感染端末をネットワークから自動的に隔離する」といったように、機器を連携させることによって人手を介する作業を最小限に減らせる。機器の制御には、「pxGrid」と呼ばれる実装済みAPIを用いており、pxGridをサポートする他社製品とも連携が可能だ。
今後ネットワークとセキュリティの融合は必須
シスコ製品を日本のパートナー向けに提供しているネットワンパートナーズも、今後シスコの内部対策ソリューションの販売を本格化する。
原田照己
ソリューション事業部
事業部長 ネットワンパートナーズでは、セキュリティ関連の売り上げが昨年度以降大きく伸びているという。原田照己・ソリューション事業部事業部長は、販売を拡大できた理由を「セキュリティ需要の高まりに加え、パートナー各社のSEの方々にご提供するトレーニングを強化したことが大きい」と分析する。シスコのディストリビュータとして充実した検証環境や評価用機材を用意しており、パートナーのSEが実際に手を動かしながら製品の特徴や導入にあたって必要な知識を学べる体制を整えている。
原田事業部長は、シスコのセキュリティソリューションのメリットについて「これまで蓄積してきたネットワークに関する技術やノウハウを生かし、ネットワークにプラスする形でセキュリティもご提供できる」と説明し、従来個別に提供していたネットワークとセキュリティを、今後は融合していくことでより付加価値の高い提案が可能になると強調する。
コスト削減や業務効率化といった効果がみえる製品とは異なって、セキュリティの分野ではユーザーにとって信頼できるアドバイザーになれなければ、売り上げを継続的に伸ばしていくことは難しい。原田事業部長は、「セキュリティ製品を売るというよりも、お客様のビジネスを守る手段を提供するという考え方をしていきたい」と語り、シスコの内部対策ソリューションについても、パートナー各社がもつ製品や技術との組み合わせによって、一層強固なセキュリティ基盤を提供できるとの見方を示す。
既存のネットワーク機器で実現できる内部対策
標的型攻撃による情報漏えい事件がしばしば報じられているが、被害に遭った企業の報告をみると、何らかの形で攻撃への対策を講じていたにもかかわらず、重要な情報を盗まれてしまったというケースが多いことがわかる。なぜ、企業が行っているセキュリティ対策は、標的型攻撃に対して効果を発揮できていないのか。その理由の一つとして、これまではマルウェアの侵入や外部への通信の経路となる、ネットワークの出入口部分での対策が重視されていたことが挙げられる。
侵入を100%防ぐのが難しい以上、今後のセキュリティ対策は、侵入した攻撃者の活動を抑え、企業内部での感染や侵害の拡大を防ぐ「内部対策」にも力点を置くことが必要だ。内部対策を実現するソリューションの提供に力を入れるベンダーの取り組みを探った。
パートナー経由で“シスコ・セキュリティ”の価値を提供
専業ベンダーをしのぐ膨大なセキュリティ情報を蓄積
西原敏夫
セキュリティ事業
エバンジェリスト
ネットワークのトップベンダーとして知られるシスコだが、実は1995年にファイアウォールを発売して以来、20年以上にわたってセキュリティの分野にも積極的な投資を行っている。武器となるのは、世界中から収集した膨大なサイバー脅威情報を分析することで得られるセキュリティ・インテリジェンスだ。
西原エバンジェリストによると、シスコが分析するデータは1日あたりマルウェアのサンプル数で約150万、電子メールで約6000億通に上るといい、ほかにもURLやDNSなどセキュリティにかかわるあらゆるデータを収集している。これは、セキュリティ専業のベンダー各社がもっているデータと比べても桁違いの情報量だ。分析結果は、ユーザーがもつシスコ製品の精度を高めるために逐次活用され、最新の脅威がいち早く検出可能になると同時に、誤検知による業務への影響を最小限に抑えられるのが特徴となる。
通信の可視化と自動制御で内部対策を実現
では、シスコの製品では具体的にどのように内部対策を実現するのか。同社のアプローチは、通信の「可視化」と「自動制御」を行い、企業の入口部分で捕捉しきれなかった脅威の動きを抑え込むというものだ。
例えば、多くのルータやスイッチが標準装備しているトラフィックモニタ機能の「NetFlow」。もともとはネットワーク性能の最適化のために使われていた機能だが、シスコが提供する分析ソリューション「Cisco StealthWatch」を利用してNetFlow情報を解析することで、企業内に入り込んだ攻撃者の偵察活動や、情報漏えいの疑いがある怪しい動きなどもリアルタイムで検知できる。企業のセキュリティ対策は、外部からの不正な通信からネットワークを守るのに集中しがちだが、昨今の情報漏えい事件では内部の監視ができていれば大規模な被害を防げたとみられるケースも多く、トラフィックの可視化は急務だ。
内部対策では「脅威の拡大を防ぐためネットワークの“セグメント化”が重要」とも言われているが、西原エバンジェリストは、「細かくファイアウォールなどを設置することで境界を増やそうとすると、より多くの機器が必要となって費用がかかるばかりか、管理の手間も増えてしまう」と話し、ネットワーク構成の変更によるセグメント化は得策ではないと指摘する。
対してシスコは、ネットワークコントローラ 「Cisco Identity Services Engine(ISE)」による「人や状況に応じて動的に変化するセグメント化」を提案する。ISEでは、「誰が」「どの端末で」「どこから」アクセスしたかなどといった情報に応じてトラフィックにタグ付けを行う。付与されたタグに応じて各ネットワーク機器が自動的にアクセスを制御するので、VLANの構築や膨大なACL(アクセス制御リスト)の管理といった手間をかけることなく、セキュリティポリシーを企業内全体で確実に適用できる。
また、「StealthWatchで検知した脅威をISEに通知し、通信を遮断し、感染端末をネットワークから自動的に隔離する」といったように、機器を連携させることによって人手を介する作業を最小限に減らせる。機器の制御には、「pxGrid」と呼ばれる実装済みAPIを用いており、pxGridをサポートする他社製品とも連携が可能だ。
今後ネットワークとセキュリティの融合は必須
シスコ製品を日本のパートナー向けに提供しているネットワンパートナーズも、今後シスコの内部対策ソリューションの販売を本格化する。
原田照己
ソリューション事業部
事業部長
原田事業部長は、シスコのセキュリティソリューションのメリットについて「これまで蓄積してきたネットワークに関する技術やノウハウを生かし、ネットワークにプラスする形でセキュリティもご提供できる」と説明し、従来個別に提供していたネットワークとセキュリティを、今後は融合していくことでより付加価値の高い提案が可能になると強調する。
コスト削減や業務効率化といった効果がみえる製品とは異なって、セキュリティの分野ではユーザーにとって信頼できるアドバイザーになれなければ、売り上げを継続的に伸ばしていくことは難しい。原田事業部長は、「セキュリティ製品を売るというよりも、お客様のビジネスを守る手段を提供するという考え方をしていきたい」と語り、シスコの内部対策ソリューションについても、パートナー各社がもつ製品や技術との組み合わせによって、一層強固なセキュリティ基盤を提供できるとの見方を示す。
- 1
