ネットワーク監視ツールは、多くのIT部門でIT運用の要として利用されています。ネットワーク監視ツールを効果的に使ってサービス、ネットワーク、アプリケーションパフォーマンスの状況を正確に把握し、ユーザーからヘルプデスクに問題解決要請チケットが届くより前に、問題を検知して根本原因を解明し、解決することができます。
ITのスイスアーミーナイフと呼ばれるほど機能豊富なネットワーク監視ツールですが、その機能が十分生かされていない分野があります。それは、セキュリティです。
あまり認知されていないようですが、ちょっとした創意と工夫で、ネットワーク監視ツールにセキュリティ問題への対処のために加えられている機能を活用して、アラートやレポートを組み込むことができます。
ネットワーク監視ツールはネットワークの健全性を監視しますが、攻撃やマルウェアなどのセキュリティ問題によってネットワークの健全性に悪影響を与えるとすれば、ネットワーク監視ツールはセキュリティ上の問題を監視することができると言えます。上述のように、ネットワーク監視ツールはすでに導入済みのところが多いので、あまりコストをかけることなくセキュリティイベントの監視ができます。
誤解しないでいただきたいのは、ネットワーク監視ソフトウェアがセキュリティ問題をすべて監視できるわけではないということです。ネットワーク監視ソフトウェアの主目的はネットワークの監視です。このブログで主張したいのは、優れたネットワーク監視ソリューションは、適切な設定を行うことで、セキュリティ保護活動への強力な支援ができるということです。本格的なSIEM(セキュリティ情報イベント管理)やSOC (セキュリティ・オペレーション・センター)のためのリソースがない組織にとって、重要なセキュリティ問題を警告できる穴埋め的ソリューションになり得ます。
ネットワーク検出とインベントリ
ネットワーク検出は、ネットワーク監視システムがまず最初に行うことであり、ネットワーク・セキュリティの3フェーズのビフォア・フェーズに当たります。
どのようなセキュリティプログラムにも、ネットワーク上のデバイスのインベントリとそのプロファイル情報は不可欠です。ネットワーク検出結果とインベントリの情報は、災害発生後の復旧時に有用なだけでなく、データ漏洩の場合にはどこからデータが漏洩したかを追跡するのに必要になります。ネットワークの詳細を把握して、規制の対象になる情報が格納または送信されるサーバーなど、厳重な注意が必要なエリアへの注視を怠らないことが大切です。
優れたネットワーク監視ツールは、SNMPベースかシステム固有のネットワーク検出を定期的に行うよう設定でき、ネットワークに新しいデバイスが追加されたなどの環境の変化があっても追随できます。また、不穏な状況が感知された場合は、一時的な検出を実施することもできます。イプスイッチのネットワーク監視ツール、WhatsUp Gold を使うと、予期しないデバイスが検出された場合に電子メールや Slack など警告を通知するよう設定できます。
セキュリティのためのベースラインの設定
ネットワークに何か問題がありそうだと察知するためには、まず正常なネットワークがどのように見えるかのベースラインを確認しておくことが必要です。
可能な限り多くの測定値に関してベースラインを確立しておくのがベストです。パフォーマンスモニタを使用して、CPU、メモリ、ディスク、インタフェース使用率などの測定値を追跡できるので、それらを基準にベースラインを決めます。ベースラインのしきい値を超えたときに警告を発するように設定しておくと、様々な問題が検知できますが、セキュリティ問題の検出につながることもあります。
たとえば、クリプトジャッキングはリソースを大量に消費するので、乗っ取られたマシンのCPU使用状況は激変するはずです。マシンがあまり使用されないはずの夜半や週末のような営業時間外にCPU使用率が上がっていたら、クリプトジャッキングの疑いがあります。また、普段はCPU使用率が30%のマーケティング部門のマシンが、突然100%の使用率になったら、何か問題があることは明らかです。
高機能なネットワーク監視ツールでCPUスパイクを監視し、CPU使用率が90%(ベースラインを考慮して最適なしきい値に設定可能)を超えた場合に警告を出すように設定しておくことにより、異変があった際に素早く検知できます。
WhatsUp Gold では、CPUスパイクの監視は事前設定されています。
ネットワークトラフィック分析でデータ窃盗、DDoS攻撃、ダークウェブ使用を検出
ネットワーク監視ツールの中で明確なセキュリティ機能があるのは、ネットワークトラフィック分析 (Network Traffic Analysis、NTA) でしょう。ネットワークトラフィック分析は、NetFlow、NSEL、J-Flow、sFlow、IPFIX などのレコードを分析して、誰あるいは何が帯域幅を消費しているのかを詳細に把握します。四六時中Netflix を視聴している人、ボットネットの被害を受けたマシン、データを流出させるハッカーなど、様々な尋常でない動きを警告することができます。
ネットワークトラフィック分析を使ってリアルタイムの帯域幅の使用状況を監視できますが、過去の帯域幅の使用傾向と比較することによって、DDoS攻撃などのセキュリティ問題を検出することも可能です。セキュリティフォレンジックに関しても、NTAは、監視されていないポートのトラフィックフローが高ければ検知し、使用許可されていないアプリケーションを識別し、送信元と送信先の間のトラフィック量を監視するなど、効果的に利用できます。
WhatsUp Gold 2018 のネットワークトラフィック分析には、設定された期間中に既知のTorポートへの接続数(設定可能)を超えた場合に警告を発するダークウェブ・トラフィック監視 機能があり、ユーザーによるダークウェブ(Tor) へのアクセスをコントロールできます。
設定変更の検出
ネットワークに侵入してアクセスを獲得しようとする際、攻撃者がよく使う手法は、サービスやホストの設定を自分たちに都合がいいように変更することです。幸いなことに、これはネットワーク監視ツールでしっかり監視できるようになっています。
優れたネットワーク監視ツールは、ネットワークデバイスの設定に変更がないかどうかを監視し、変更が検出されれば電子メールなどで警告します。設定が定義されたポリシーを満たしているかについても監査できます。WhatsUp Gold の設定管理モジュールでは、デバイスのプロパティページでデバイス設定を表示、比較することもできます。設定情報が紛失した場合に備えて、Telnet または SSH をサポートするデバイスのネットワークデバイス設定のバックアップを自動化できます。
警告:重要な最終ステップ
このような様々なセキュリティ関連の問題が検出されたとしても、不審な状況を速やかに告知する強力な警告システムがなければ実用的ではありません。上記のように、たいていのネットワーク監視ツールは、異常な動き、リソースの使用状況、帯域幅の使用状況に関するしきい値を設定できますが、しきい値を超えた場合の警告が適切な人に届いて初めて実際に役に立ちます。
警告を見る必要がある人がデスクから離れている場合は、アプリの警告が大量にデスクに届いてもまったく意味がありません。電子メール、SMS、Slack など、警告通知のために複数のオプションを利用できることも重要です。必要な人に速やかに警告が届くよう、十分考慮する必要があります。