ネットワークは、IT 全体の中で最も複雑で脆弱な部分であるとともに、IT 全体の中心になります。ネットワークトポロジーとネットワークを構成する要素を把握し、データの通過する経路で何が起こっているかを理解することは、この基本的なリソースを保護するための鍵です。
それはすなわちネットワーク監視であり、適切なネットワーク監視によってネットワークセキュリティを強化することができます。ネットワーク監視でセキュリティを強化させるための5つのポイントを次に示します。
1. 高度な持続的脅威に対する防御
セキュリティ担当の責任者が最も恐れる問題の1つに、高度な持続的脅威(Advanced Persistent Threats、APT)があります。これは、経営幹部など、組織内でも最も価値のあるターゲットを追跡する傾向がある、慎重に標的化されたエクスプロイトであり、ターゲットである個人の資格情報を解読して、気付かれることなく管理者権限を取得しようとします。いったんその管理者権限を取得してネットワーク内に侵入すると、サイバー犯罪者は、(もし発見されるとしたら)発見されるまで、高レベルの管理者に与えられた特権を使ってできるどんなことでも可能になります。
では、特権を使って何でもできるようになったハッカーは、実際には何をするでしょうか?貴重なデータを盗むか、もしくは、組織における特権を利用して他の人を攻撃しようとします。「高度な」という形容詞が付いていることでもわかるように、洗練されたハッカーを常に阻止できるとは限りませんが、ネットワーク監視で、次のような攻撃インジケータと攻撃タイプを監視することで、APT を早期に識別できます。
バックドア型のトロイの木馬: ハッカーは、APT 攻撃がいつかは発見されると想定した上で、苦労して獲得した管理者権限を無駄にしないよう、他のエンドポイントにバックドア型トロイの木馬マルウェアをインストールして、複数の侵入経路を確保しようとします。1つのドアが閉まるときに別のドアが開くといったような現象が起こります。こうした奇妙なネットワークの動作の変化を見逃さないよう監視し、トロイの木馬の可能性を絶えずチェックすることが重要です。
データ異常: 過剰なインバウンド・データは APT 攻撃の兆候の 1 つですが、異常なアウトバウンド・フローも同じように APT 攻撃の可能性があることを示唆するので、異常なデータ移動を監視する必要があります。データが大量にアウトバウンドに流れているということは、ネットワーク内のデータが犯罪者に手中に渡っている可能性があるということを意味します。
時間外ログインの試行: 勤務時間外にログイン試行が急増するのは、重要な APT の指標です。社員がログインしようとしているように見えても、サイバー犯罪者がその個人の特権とアクセス権を取得しようと試みている可能性があります。そのようなログイン試行は、様々なタイムゾーンの様々な地域から行われるので、時間外のものが多くなります。いったんアカウントが破られ押し入られてしまうと、ハッカーによる遠隔地からログインが続行されます。
シャドー IT: シャドー IT をインストールするのはエンドユーザーだけではありません。ハッカーは、ネットワーク内にシャドー IT を設定し、外部の「コマンドとコントロール」サーバーに接続してコントロールを奪おうとします。
関連ホワイトペーパー「ネットワーク監視ツールをデータセキュリティ強化に活用する方法」をお読みください。
2. 速やかな侵害検出
洗練されたハッカーであれば、短い場合は数分もあれば(秒単位でできてしまう場合もあります)ネットワークを侵害できます。これに対し、データ侵害を発見し、特定し、封じ込めるまでには、平均して287日かかることがわかっています。IBM の「データ侵害のコスト」レポートは、データ侵害のコストについて、「200日未満の情報漏えいの場合は平均361万ドルでしたが、データ漏えいの特定と封じ込めに200日以上かかった場合は平均487万ドルかかりました。全体として、データ侵害を特定して封じ込めるのに平均287日かかり、以前のレポートよりも7日長くなりました。」と記述しています。
ネットワークの状況をしっかり監視し続けることによって、データ侵害発見までの期間が短縮できます。単なる死活監視だけではなく、ネットワークの運用状況を示す様々なメトリクスを収集して分析する機能が必要です。ネットワーク状況に異変が生じ、何かが通常の範囲を超えると、ネットワーク監視システムはすぐに IT 部門に警告通知することができます。これは、迅速な問題解決には不可欠であるとともに、詳細なメトリクス情報はセキュリティフォレンジックや新しい防衛手法の開発のためにも役立つはずです。
ネットワークがハッキングされる最初の兆候として、デバイス、ホスト、サービスの設定内容が変更されるといったことが見られることが多く、それはネットワーク監視システムでも監視対象になっています。ネットワーク監視ソリューションは、アプリケーション、サービス、ネットワークデバイスなどの設定情報に変更が加えられたことを検出すると、電子メールやテキストで警告通知を送信します。
3. DDoS その他のネットワーク攻撃への対処
分散型サービス拒否 (Distributed Denial of Service、DDoS) 攻撃その他のネットワークを溢れさせるような攻撃を検出する優れた方法は、NetFlow、NSEL、S-Flow、J-Flow、IPFIX などの記録を分析し、誰または何が帯域を大量に消費しているかなどを詳細に表示するネットワークトラフィック分析です。ネットワークトラフィック分析で、IT 部門は、極端な使用状況(比較的無害な Netflix のストリーミングなどもありますが)に関して警告を受けることができ、ボットネットやデータを盗み出そうとするサイバー犯罪者の試みのような不穏な動きを察知することが可能になります。
ネットワークフロー監視は、帯域使用に関してリアルタイムの情報を追跡するとともに、履歴情報も確認できるよう蓄積します。ネットワークフロー監視の提供するデータを分析することで、DDoS 攻撃、不正ダウンロード、悪意あるネットワークの動作などの問題をプロアクティブに検出できます。セキュリティフォレンジックを実行するのには、マクロレベルでのネットワーク監視に加えて、ネットワークフロー監視も重要なデータを提供します。例えば、監視されていないポートへの大量のトラフィックフローを自動的に識別し、送信元と宛先のペア間のトラフィック量を監視し、失敗した接続を検出できます。
ネットワークフローを監視することで、入出力トラフィックの異常なパターン(マシンが不明または疑わしい IP アドレスに ping を実行するなどといった)を検出できます。このような異常は悪意ある攻撃者によるアクティビティを示している可能性があり、関連する IP アドレス、送信されたパケット数、パケットあたりのバイト数、アクティビティの継続期間などをさらに詳しくチェックして何が起きているのかを特定することができます。
ほとんどのネットワークトラフィックは高速で、パケットのサイズも比較的少ないので、そういった傾向から外れたトラフィックは疑わしい可能性があります。サーバーが大量のパケットを介して少量のバイトを長期間にわたって送信しているというようなことがあれば、特にそのトラフィックが営業時間外に発生している場合は、極めて疑わしいと言えます。
4. インサイダー脅威の払拭
ネットワーク脅威は、外部からだけでなく、内部からも発生します。インサイダー脅威はより潜行的で、損害も大きく、発見するのがより難しいかもしれません。NetFlow などの追跡を含むネットワーク監視が疑わしい動作を特定するのに役立ちます。ユーザーアクティビティの急増がすべて問題の兆候とは限りませんが、CPU 負荷などのアクティビティとリソース使用量の突然の劇的な増加が検出されたら、注意するに越したことはありません。急増に合理的な理由がなく、疑わしい IP アドレスとのやり取りなど、不審なアクティビティも伴っていた場合は、明らかに詳細な調査を開始すべき問題だと言えます。
5. ネットワークセキュリティ体制の強化
作成されたネットワークトポロジーと連動させてアクティビティを追跡し、警告通知やレポート作成も可能なネットワーク監視システムが生成する詳細な情報は、IT 部門がネットワークのセキュリティ体制を見直して強化する際に有用です。ネットワークトラフィック分析が可視化するそれぞれのアプリケーション、ユーザー、プロトコルの帯域消費量を確認してベースラインを設定し、サイバー攻撃の明らかな兆候であるスパイクや異常な使用量などの状況について正確に判断して警告するようにするといったことができます。
ケーススタディ: Emovis UK
ネットワーク監視システム、WhatsUp Gold によってネットワーク問題を解決した Emovis UK の導入事例を紹介します。
Emovis UK は、停車不要の料金徴収システムを構築する高速道路インフラストラクチャ会社です。400台のサーバーを管理していましたが、サイバー上の死角があることがわかりました。この問題を解決できるネットワーク監視ソリューションを探した結果、プログレスの WhatsUp Goldを使用することにしました。ネットワークを完全に可視化する WhatsUp Gold は、ネットワーク問題が発生したらすぐに警告する高度なアラートシステムを提供し、サイバー上の死角をなくして大幅なコスト削減を達成することができました。
WhatsUp Gold は、非常に高度なアラートシステムを提供しました。Emovis UK のインフラストラクチャ部長である James Scott 氏は、次のように述べています。「プログレスの WhatsUp Goldは、すべてのインフラストラクチャの可視性を提供し、アプリケーション、Web サービス、スイッチなどの監視ができるようになりました。私たちは、Web サービスを実行している IIS ボックスが多数存在するインフラストラクチャを毎日24時間無休でサポートしており、何かがダウンしたらすぐに知る必要があります。私たちは、WhatsUp Gold を使用して、イベントログ、アプリケーションプール、WMI メトリックの監視を開始しました。
Emovis UK は、WhatsUp Gold を使って、インシデントが発生したら迅速に対応し、同じインシデントが再発し続けないようにします。問題が解決されたらインシデント管理プラットフォームは自動的に更新され、管理者に解決通知が送付されます。
ネットワーク監視システム、WhatsUp Gold を使ったセキュリティ向上策
WhatsUp Gold を使ってネットワークを安全に保つ方法としては、次のような機能があります。
設定管理 — ネットワークの設定情報が適正でないと、データ侵害への扉を開けてしまう可能性があります。設定管理モジュールを使用すれば、設定情報が変更され、それが予定された正しい変更でないと確認されたら承認済みの以前の設定に戻したりすることができます。また、パスワード暗号化を有効にするなどのセキュリティポリシーを設定し、そのセキュリティポリシーを確実に遵守するようにすることもできます。
ネットワークトラフィック分析 — WhatsUp Gold のネットワークトラフィック分析は、 NetFlow その他、ネットワーク上のどのようなフロー対応デバイスのトラフィックと帯域使用データでも収集できます。NetFlow 等のデータを広範に利用して、トラフィックパターン、ネットワークの動き、セキュリティ問題、などに関する詳細な情報を提供し、セキュリティの問題に迅速に対応できるよう、しきい値と警告通知を設定できます。ダークウェブ(Tor)ポートや他の不審なトラフィックへの接続を検出できます。
ログ管理 — セキュリティイベントが発生したとき、どのようなステップで、何が起こったかを正確に示す Syslog や Windows イベントログなどの重要なログ情報は、セキュリティのために不可欠です。WhatsUp Gold のログ管理は、ネットワーク内のすべてのデバイスのログを監視、フィルタリング、検索、および警告通知することができます。