見えないネットワークを保護することは不可能

“What you don't know can't hurt you（知らなければ傷つくことはない）” という格言がありますが、ネットワークセキュリティに関しては完全に間違っています。知らなければ、大いに支障が出ます。ビジネスの資産を保護して、コンプライアンス違反による制裁金や精査を回避するには、ネットワークを完全に可視化して、すべてを把握しておくことが非常に重要です。

昨年 COVID-19 のパンデミックが始まって以来、FBI に報告されたサイバー犯罪が300％増加したことをご存知ですか？これらの攻撃の多くはネットワークを直接狙ったものであり、Cisco は2023年までに1,540万の DDoS 攻撃が発生すると予測しています。たとえネットワークを直接狙った攻撃でないとしても、サイバー犯罪はネットワークを通して行われます。

Verizon の試算では、昨年のデータ侵害の平均コストは386万ドルになります。経済的な打撃としては、コンプライアンス違反の制裁金より実際の被害額を心配した方がいいかもしれません。Accenture によると、企業経営者の68％が、サイバーセキュリティリスクが実際に増加していると考えています。

セキュリティリスクに対処し、ネットワークを保護するためには、デバイス、アプリケーション、仮想マシン、接続関係、セグメントなど、ネットワークに接続されているすべてを把握する必要があります。これらの要素はすべて、ますます高度化するサイバー犯罪者のターゲットになります。見えないものを保護することはできません。

Security Boulevard は、次のように論じています。「可視性の課題は、見えないものを守ることはできない、という点に帰結します。オンプレミスであろうとクラウドであろうと、ネットワーク環境全体を包括的に可視化することは、堅牢なセキュリティとコンプライアンス体制を確立し、維持するための基盤です。詳細な可視性によって、どのビジネスアプリケーションとその接続フローが、セキュリティルールの変更や計画されたサーバーとデバイスの停止によって影響を受けるかがわかります。これは、主要なアプリケーションが、サーバーの移行や廃止、または問題のトラブルシューティングを行う際に、どう影響を受けるのかを把握して、コストのかかる停止を回避するために重要です。」

ネットワーク監視は、IT 部門のセキュリティ対策の一部として、多層防御戦略の中の不可欠な要素の1つです。ネットワーク監視は、マルウェア対策とファイアウォールがすべての資産をカバーする必要があるのと同様、すべてのネットワークリソースについて把握して追跡し、新しいリソースがオンラインになったら直ちに検知する必要があります。

ネットワーク監視による可視化で防御

ネットワーク監視は、IT インフラストラクチャへの重要な保護層になり得ます。優れたネットワーク監視ソリューションは、データ侵害につながる可能性のあるネットワーク設定の変更を検出します。ネットワークのログには何が発生したかが正確に示され、何を修正する必要があるかがわかります。データ侵害は、より迅速に検出されてブロックできれば、コンプライアンス違反に問われる可能性が減少し、経済的損失を防ぐことができます。

データ侵害は、単なる厄介ごとでは済まされません。昨年の上半期だけでも、360億ものレコードが侵害されました。Verizon によると、そのうち58％に個人データが含まれています。コンプライアンスに関心がある人には見逃せない事実です。

ネットワークセキュリティのスタートポイントは検出

このブログのタイトル通り、見えないネットワークを保護することはできません。優れたネットワーク監視ソリューションは、まずネットワークの検出から始めます。ネットワークに接続しているすべてを検出し、プロファイルを定義して、インベントリを作成します。検出プロセスは、事前に選択した時間に、ネットワーク上の新しいネットワーク要素とデバイスを検出してインベントリに追加するよう自動化できます。このようにして常に新しいデバイスや接続情報を更新して、目に見えるようにしておくことで、環境にとっての新しい脆弱性が知らないうちに発生するような事態を防ぐことができます。

ネットワーク状況のベースライン

ネットワークの可視性には、ネットワークが正常に稼働しているかどうかの判断基準があることが含まれます。通常でない状況を検知するためには、まず適切に動作しているときのネットワーク状況を把握しておく必要があります。それが、ネットワーク状況のベースラインになります。

ベースラインは、メモリ、CPU、インタフェース、ディスクの使用率など、主要なパフォーマンスとセキュリティのベンチマークを、包括的に網羅している必要があります。ネットワークが適切に稼働しているときの統計情報をもとに、ベースラインが決定できたなら、ディスクが容量に近づいたときや、セキュリティ問題を示す可能性のある状況が感知されたときなどのしきい値を設定し、注意を促す警告を通知するように設定できます。

例えば、過負荷のデバイスは、早急な対応が必要な危険な DDoS 攻撃を示している可能性があります。また、必ずしもセキュリティイベントではありませんが、ネットワーク・リソースを過剰に使用して可用性が損なわれる可能性がある仮想通貨のマイニングにも注意が必要です。誰かが業務時間外にネットワークを介してビットコインを使ったりその他の暗号処理タスクを行ったりする可能性があります。このようなアクティビティは、CPU とメモリ使用の監視を業務時間後も含めて常時行うことで検出でき、検出できれば対処可能です。

CPU の監視であれば、まず最初に CPU のベースラインを決定します。効率的な使用を重視して 90％ の CPU 使用率で実行されるサーバーもあり、そういったサーバーのしきい値は高く設定しますが、CPU 負荷が 50〜60％ 程度で実行される通常のサーバーの場合は、例えば使用率が 90％ に達したらアラートを出せるようしきい値を設定します。このようにしてすべてのサーバーに、ベースラインをもとにしてしきい値を設定し、監視するようにします。しきい値ベースの監視で、疑わしい動きを察知し、サーバーが本来のタスクを実行しているかどうかの判断を下すことができます。

警告通知

しっかりベースラインを設定して問題を検出できたとしても、それを通知する仕組みがなければ意味がありません。ベースラインをもとにして設定したしきい値を超えたときに警告通知を行うための設定をしておく必要があります。上述の CPU 使用率のほか、パフォーマンスの問題、帯域幅の過負荷、異常な動作、その他、あらゆる監視項目に関して警告通知を設定できます。

ただし、警告通知の設定には慎重を要します。適切に設定しないと、アラートが多過ぎて警告疲れになってしまう恐れがあります。ベースラインを少し逸脱したものをすべてアラートとして通知する必要はありません。レポート機能を使ってネットワークの稼働状況を追跡するようにし、数値がクリティカルレベルに達したときに警告通知を行うといった、効果的な対処ができるような調整を行います。

ネットワーク監視ソリューションを使用するすべての人に一括して警告通知をするのは適切ではなく、個々人の責任範囲に基づいて警告通知対象を絞る必要があります。サーバーに関するアラートはサーバーチームに、アプリケーションのアラートはそのアプリケーションを担当しているグループに、帯域使用に関するアラートは接続を管理する部門に、といったように、適切な人が通知を受け取るように設定するべきです。また、アラートの重大度を考慮して通知手段を設定することも大切です。通知が必要でも緊急ではないようなものは、メール通知したり Slack などのコラボレーションソリューションを使って送信したりするのが一般的ですが、すぐに対応が必要な重要なアラートは、テキストメッセージとして送信するようにするなどの工夫をします。

ネットワーク設定のコントロール

ガートナーによると、データ侵害の80％は、設定の誤りか、その他の種類の管理ミスに起因しているとのことです。

攻撃者は、ネットワークにアクセスするために、サービスやホストの設定を変更するという手段を取ることが多く、再設定のプロセスでサービスやホストが一時的に利用できなくなります。サービス停止を検知し、悪意ある再設定を検出できるネットワーク監視は、データ侵害防止に大きな役割を果たします。

優れた監視ソリューションは、設定情報を検出して文書化し、設定変更があれば、重大度に応じて電子メールやテキストでアラートを送信することもできます。定義され承認されたポリシーに基づいて設定できるよう、設定を自動化することも可能です。設定情報を喪失したり、設定に問題が見つかったりした場合は、自動バックアップ機能を利用して適切な設定に簡単に復元することができます。

承認された実証済みの基準から逸脱した新しい設定は、設定エラーに結びつきやすく、設定インベントリと自動設定、自動バックアップ機能で設定エラーを排除することが可能になります。

パスワード暗号化の有効化やポリシーコンプライアンスの確保などのセキュリティ設定も可能です。

ネットワークトラフィック分析で DDoS 攻撃やダークウェブの使用を検出

セキュリティ問題の多くは帯域使用と関連があり、ネットワークトラフィック分析が非常に重要になります（トラフィック分析の主要な目的はパフォーマンス監視ですが）。トラフィック分析では、NetFlow、NSEL、S-Flow、J-Flow、IPFIX などを分析し、帯域幅を使用しているリソース、グループ、個人に関する包括的で詳細な詳細を取得します。この分析により、ボットネット攻撃やネットワークの乗っ取り、サイバー犯罪者によるデータ漏えい、DDoS攻撃、仮想通貨のマイニングなどの異常な動作を見つけることができます。

ベースラインが適切な場合は、帯域使用量をリアルタイムで監視していれば、何か通常ではないことがあれば検出できます。また、帯域使用量の履歴レポートは、帯域幅を広げる必要があるかどうかの検討の際に参考になります。

ネットワークトラフィック分析は、セキュリティフォレンジック、不正なアプリケーションの検出、送信元と宛先のペア間のトラフィック量の追跡、監視されていないポートへの大量のトラフィックフローの検出などにも利用できます。

WhatsUp Gold では、ユーザーがダークウェブにアクセスしたとき警告通知するよう設定できます。ダークウェブの訪問者を中継する Tor ネットワークは匿名化されたネットワークですが、ネットワークに入るためには特定の場所から入る必要があります。WhatsUp Gold は、データベースに登録された Tor ノードを通したトラフィックを検出できます。

WhatsUp Gold のそのほかのネットワーク監視機能

このブログで記述したすべてのネットワーク監視機能は、プログレスの WhatsUp Gold に備わっています。そのほかの機能を含む WhatsUp Gold の詳細については、ホームページをチェックしてください。