Software Defined時代における新しいセキュリティのあり方

サイバー攻撃が巧妙化する中、セキュリティ対策には「攻撃の早期特定」「迅速な初動対応」が求められています。しかし、膨大なイベントログの中から対処すべきリスクの特定を行い、人手による対処を行うという現在の運用モデルでは対応にも限界があります。 こうした課題を解決するため、トレンドマイクロは「Trend Micro Policy-based Security Orchestration」というコンセプトを掲げ、これを実現する「次世代セキュリティアーキテクチャ」を開発しました。 同アーキテクチャでは仮想化技術との連携によりセキュリティ運用の自動最適化を実現。セキュリティの状態遷移やITサービスの動的な変化に応じ、セキュリティリスクの局所化・最小化とセキュリティ運用の自動最適化を実現します。

迅速な対応を難しくする要因は「運用」上の課題

昨年から今年にかけて、国内外では大規模なセキュリティ事故が相次いで発生しています。国内のケースでは、年金機構の大規模情報漏えい事案が記憶に新しいところですが、こういったセキュリティ事故は、どうして後を絶たないのでしょうか。要因を分析すると、そこからある傾向が見えてきます。

まず挙げられるのが、自主的に発見することが難しい点です。不正ログイン、情報漏えい、Web改ざんなど被害形態は様々ですが、その多くは業務委託先からの連絡や警察からの通報など外部からの指摘によるものがほとんどであり、攻撃の痕跡隠蔽など、手法が巧妙化し、自らが被害者であることに気づけないことが挙げられます。(図1-a)

攻撃・被害の長期化も大きな特徴です。攻撃者はソーシャルエンジニアリング等を駆使した用意周到な事前準備を行います。こうして標的に合わせて作り込まれた攻撃は数カ月に渡る内部活動を経てその目的を遂行します。被害側もその復旧に膨大な時間を要することになります。(図1-b)

また当然ながら、被害規模や影響範囲も拡大傾向にあります。たとえば、大規模な顧客情報の漏えいは、大きな社会問題に発展しかねません。顧客への謝罪に加え、補償負担や訴訟対応、セキュリティ対策の見直しに膨大なコストがかかります。社会的な信用も失墜し、風評による二次被害も懸念されます。ついにはサービス復旧のメドが立たず、経営に大きなダメージを被るケースさえあります。(図1-c)

図1 セキュリティ事故の傾向と特徴

自主的に発見することが難しく、被害が長期化することから、
被害規模も拡大する傾向にある
公表情報をもとにトレンドマイクロが独自に整理

標的型サイバー攻撃の攻撃手法が常に変化していることの一例を挙げましょう。これまでの標的型サイバー攻撃は海外のサーバーを踏み台にするケースが大多数だったため、企業も細心の注意を払い、その対策を行ってきました。ところが、ここ最近はその攻撃傾向にも変化が見られます。国内で見つかった標的型サイバー攻撃の44%は、国内のサーバーを踏み台とした攻撃になってきています※1。攻撃者側も企業のセキュリティ対策を熟知し、その攻撃手法を変化させているということです。

このようにサイバー攻撃のリスクが日増しに高まっている中で、企業における情報セキュリティ運用は多くの課題を抱えています。

ITインフラの各ポイントに配備したセキュリティ製品からは日々膨大なイベント通知(ログ)が上がってきます。こうした状況下で、情報セキュリティ運用者はその膨大なログの中から対処すべきイベントを特定し、その優先順位付けを行い、具体的な対処策を実行するという一連の運用プロセスを人手によって実施していくことが次第に困難になってきています。

仮にリスクを特定し回避策を実行する段階に入れたとしても、社内承認などのプロセスを必要とする場合は、実行までに時間を要するケースもあります。また運用担当者のスキルに個人差がある場合は、運用レベルにバラつきが生じることで、セキュリティリスクへの対処にも影響が生じかねません。

また、実際にセキュリティインシデントへの復旧作業にあたっては、その対処期間はサービス停止を伴うケースもあり、ITサービスの継続利用と可用性の確保という面でも大きな課題を抱えています。

仮想化技術との連携で、動的なセキュリティ対策が可能に

こうした課題解決に向けて、トレンドマイクロが提唱するセキュリティの考え方が「Trend Micro Policy-based Security Orchestration」です。これは近年急速に普及が進むSoftware Defined Infrastructure (SDI)と呼ばれるITインフラとの連携で実現するものです。SDIの柔軟性・伸縮性の高い仮想化技術のメリットを活かし、ソフトウェアベースでの制御を可能にする新しいITインフラとトレンドマイクロの強みである脅威検知・解析技術を組み合わせることで、新しいセキュリティ対策および運用の最適化が実現可能になります。

「Trend Micro Policy-based Security Orchestration」の基本的な考え方は、「発生した事象(ステータス)」および「対応すべきアクション」を抽象的に管理し、受信したステータスに対して、ユーザの個々の運用ポリシーに基づいたセキュリティ最適化のためのアクションを自動実行するというものになります。

例えば、未知の不正プログラムの挙動検知によりセキュリティの状態がクリティカルなレベルに遷移した場合は、予めユーザが定義した運用ポリシーに基づいて、ITインフラ側の状態を動的に変更し、セキュリティリスクの拡散防止のためのアクションを自動で実行します。逆に、ITサービスの利用状況に応じたITインフラ側の状態遷移に応じたセキュリティリソースの最適化も可能になります。仮想マシンの増減などの、ITインフラの変化が生じた場合に、セキュリティ製品の配置や閾値設定などを動的に変更し、セキュリティ状態の最適化を実行します。

図2 Trend Micro Policy-based Security Orchestration
のソリューションイメージ

セキュリティ状態やITサービスの利用状況をトリガに、ユーザ個々の運用ポリ
シーにもとづいて最適な対策を自動で実行する

そしてこのコンセプトを実現するのが、「次世代セキュリティアーキテクチャ」です。 膨大なセキュリティログの分析結果から対処すべきイベントを判断し、ユーザ個々の運用ポリシーに基づいた具体的な対処策を仮想化技術と連携し自動的に実行します。これにより従来のセキュリティ製品単体では実現することができなかった、システム全体を俯瞰した最適なセキュリティ対策を迅速かつ自動的に実行することが可能になります。


図3 次世代セキュリティアーキテクチャの全体概要
Orchestrationのソリューションイメージ

製品単体では判定の難しいグレーイベントを集約、相関分析し、 その解析結果をもとに、ユーザ個々の運用ポリシーに従って、ネットワークの経路変更や遮断・隔離、仮想マシンの切り離しや立ち上げなどを自動で行い、セキュリティリスクを局所化・最小化する
現在対応している製品はDeep Discovery Inspector、Trend Micro Deep Security、ウイルスバスター コーポレートエディション。連携製品は順次拡大予定。

「Trend Micro Policy-based Security Orchestration」は、ユーザに様々なメリットをもたらします。標的型サイバー攻撃ではセキュリティリスクの拡散を抑えるための初動対応がカギになります。例えば、未知の不正プログラムの挙動をセキュリティセンサで検知した場合に、SDNとの連携で当該リスクを瞬時に自動隔離することで、拡散防止によるセキュリティリスクの局所化・最小化が可能になります。

また、ユーザ個々の運用ポリシーに基づいてルーチン化しているようなセキュリティイベントへの対処を自動化することによって、セキュリティ運用者の負荷軽減を実現し、本当に人間が判断・対処すべきものを絞り込むことが可能になります。さらに、最低限の運用レベルを自動化により均一化することで、人的ミスの低減や運用のボトムラインの担保が期待できます。このようなセキュリティ運用の自動・最適化によって、被害からの早期復旧が可能になり、ITサービスの継続と可用性の維持も期待できます。

「SDN連携ソリューション」により不正通信の遮断や感染端末の隔離を自動化

「Trend Micro Policy-based Security Orchestration」のコンセプトを具現化する第一弾のソリューションが「SDN連携ソリューション」です。Software Defined Networking(SDN)とは、ネットワークをソフトウェアによって定義し、制御・構築を可能にするという概念であり、従来の自律分散型ネットワークをSDNコントローラによるセンター集中管理型のネットワークへ変革します。

「SDN連携ソリューション」では、トレンドマイクロ製品をセキュリティセンサとして使用し、SDNベンダーの提供するネットワーク製品と連携させることで、セキュリティのリスクレベルに応じた具体的なアクションを、SDNのフローベースのネットワーク制御技術を用いて実行します。それにより、ユーザの運用ポリシーに基づいた、最適なポイントでの最適なセキュリティ対策を実現することができます。

図4 SDN連携ソリューションのイメージ

トレンドマイクロではNECやアライドテレシスとソリューションを 共同開発。
ソリューションは各社より提供開始されている

「SDN連携ソリューション」では、標的型サイバー攻撃の各段階において、トレンドマイクロの最新の脅威検知技術を実装した製品からの検知情報をもとに、SDNのフローベースのネットワーク制御技術を用いて、被疑端末の自動監視や感染端末の自動隔離、未知の不正プログラムによる攻撃者側の制御・実行用のサーバ(C&Cサーバ)へのコールバック通信の自動遮断など、セキュリティリスク拡散防止のための初動対応を、ユーザの運用ポリシーに基づき自動かつ多段のアクションで実行可能です。現在、このSDN連携ソリューションは、トレンドマイクロと日本電気株式会社、アライドテレシス株式会社とのアライアンスをもとに、各社より販売展開されています。

図5 標的型サイバー攻撃における次世代セキュリティアーキテクチャの有効性

攻撃をエスカレートしていく標的型サイバー攻撃の各段階に応じて、 リスクを局所化する有効な対策を行うことが可能 
※すべての未知の不正プログラムに対応するものではありません。

ユーザ環境への仮想化技術の浸透に伴い、SDIとセキュリティ機能との密結合は、今後のセキュリティ対策・運用における大きな転換期に入ることでしょう。

トレンドマイクロはセキュリティ専業ベンダーとして長年培ってきた脅威検知・解析技術、と膨大なスレット・インテリジェンスをもとに、様々なアライアンスパートナーとの協業を加速し、「Trend Micro Policy-based Security Orchestration」のコンセプトを実現するソリューションを順次展開していく予定です。今後の「Trend Micro Policy-based Security Orchestration」にどうぞご期待下さい。

※1 トレンドマイクロ2015年第2四半期セキュリティラウンドアップ
※ 本稿は、情報セキュリティカンファレンスTrendMicro DIRECTIONの専門セッションを編集しました。

記事公開日 : 2016.01.28
 この記事は、公開日時点での情報です