【自社導入事例】

トレンドマイクロのSOC運用について
情報システム部門が語る

~現場視点で見るネットワーク型IDS/IPSの選定から
長年の運用における改善ポイント~

トレンドマイクロでは、2010年からネットワーク型IDS/IPSとしてTippingPoint Threat Protection System(以下、TippingPoint)を利用している。商用システムなどが稼働するデータセンターへの展開から始まり、現在では各リージョンの各主要オフィスにも展開、全世界で20台以上のTippingPointがバーティカルな通信(外→中、中→外)を監視し、世界から様々な攻撃を受けるセキュリティ専業ベンダーのゲートウェイを守る。
採用に至った当時を振り返りながら、現状の当社の運用方法や社内ユーザの立場として評価しているポイントなどを、当社情報システム(IS)部門へインタビューした。

インタビュー回答者

トレンドマイクロ株式会社
インフォメーションサービス本部
鈴木 亮

トレンドマイクロ株式会社
インフォメーションサービス本部
星生 貴明

── 当時を振り返って、TippinPointの導入経緯と選定理由について教えてください

鈴木:検討が始まった2009年当時、インターネット境界線の対策はFirewall中心でした。その中でまずは、お客さま向けに提供するサービスが収容された商用システムや社内用システムが設置されたデータセンターにネットワーク型IDS/IPSの導入検討がグローバルのIS部隊を中心に進められました。

TippingPointを含め3製品ほど比較検討しPoCも実施しました。最終的な決め手となったのは、設置を検討していたデータセンターのピークトラフィックを、パケットロスなどの取りこぼしを起こすことなく処理できる性能を備えていたのがTippingPointだったからです。商用システムを扱うネットワークだったため、可用性を最も重視しました。

また、当社では統合ログ管理システム(SIEM)をすでに利用していたため、連携する上での親和性も考慮しています。

  • TippingPointが当社の傘下に加わったのは2016年であり、2009年の選定当時は自社製品ではなかったTippingPointを他候補と合わせて評価した。

── 最近、運用をIDSからIPSに切り替えたそうですが、その経緯について教えてください。

鈴木:ソフトウェア開発企業としての当社の特長を考慮し、導入当初はIDSで運用を開始しました。開発者やリサーチャーによるネットワークの使われ方の自由度が高かった時代でもあり、一見不審に見える通信をブロックするか否かの判断を製品にゆだねるのではなく、監視を中心に行い可視化を通じて知見や経験を高め、適切な対応を行うことを重要視していました。

全世界にTippingPointを展開して数年運用した後、2017年から順次IPSでの運用に切り替えを行って来ています。昨今、クラウドコンピューティングやアジャイル開発など、ネットワークの使われ方がどんどん変わって来ている中、サイバー攻撃もまたどんどん変化していきます。例えばWebサイトであれば、アプリケーション開発が早まることによる生じるリスクを軽減するためにWAFを利用しますが、同様に、ネットワークトラフィックレベルでリスクを軽減する手段が必要になってきます。ハッキング自体もまたどんどん自動化していっている中、限られた我々のリソースで対応していけるようにする必要がある―。そういった背景を受け、ディフェンスレベルをマニュアルからオートメーションに舵を切っていくことにしたのです。

日本リージョンでのIPSへの切り替えにあたっては、今までの経験値に加え、さらにシミュレーションを重ねてベースラインの設定を作り上げました。業務内容や人によってネットワークの使い方が違います。そのため、時には深刻なものは止める一方で、そのアクセスが本当に必要なものなのかの検証を行っています。これは、切り替え時に限ったことではなく、定期的なタイミングや新しい深刻なイベントが発生した際などにレビューして改善するようにしています。

当社では、SIEM製品で統合管理を行っており、TippingPointからはイベントとして情報が送られ、SIEM側の解釈で総合的に判断がされるようになっています。アラートとして出るものはかなり絞り込みをかけていますが、それでもかなりの数のアラートが日々あがってきます。例えばですが、エンジニアが業務上必要になりAWS上のサーバにリモートデスクトップ接続しようとすることがありますが、これはネットワーク的にバックドアの兆候に解釈できるのでアラートがあがります。基本グローバルのSOC部隊で統合管理していますが、日本リージョンでも、どういう類のアラートが発生しているのか並行して定点チェックするようにしています。

── ユーザの立場として、改めてTippingPointについての評価を教えてください

星生:ネットワーク系のセキュリティ製品の中では、ハードウェアの信頼性・可用性は非常に高いレベルと思います。たとえ機器に障害が発生してダウンしてしまっても、ネットワークバイパスで通信だけは通すのでネットワーク全体に影響が出ません。直接的な機器としてのダウンタイムは極めて短時間で済むことがほとんどです。

長年TippingPointを利用しているので他の製品と一概の比較はできませんが、総合的に見て導入の手間は少ない方ではないかと思っています。

まず、機器の設置はネットワークの経路に差し込むだけで済む。中にはFirewallごと入れ替えないといけない製品もあるので、ネットワークに余計な変更をかけずに済むのは助かります。

また、TippingPointはセキュリティレベル間である程度グルーピングされたルールセットがプリセットされているので、ルールのベースラインを作り上げる手間も比較的少ない方ではないかと思います。例えば、「重要度高」の通信についてはブロック、「重要度中」の通信についてはシミュレーションで少し様子を見て、通信の種類によっては「重要度高」に引き上げる。レベルのチューニングでルールセットを作成していきます。これが他の製品だと、全部ルールが当たっているもしくは全く当たっていない、つまりゼロから作り上げていくのでどちらのアプローチにしても「足し算引き算」が非常に難しい。かなりの工数が必要になってくるはずです。

Column

製品担当からのTippingPoint解説

福井:TippingPointは当社がハードウェアアプライアンスで提供する次世代IDS/IPS製品です。IDS/IPSに特化した独自のアーキテクチャに加え、深い知見に基づく脆弱性情報のリサーチ情報を反映して、常に最新の脆弱性に対応できるのが大きな強みです。

TippingPointのセキュリティリサーチ部門であるDigital Vaccine Labs (DVLabs) の分析・精査を経て最適化されたプロファイル、つまり「推奨ルール」が提供されるため、簡単に導入できる。誤検知も少なく多くのお客さまが推奨ルールで運用されています。

DV Labsは、世界約80か国、約3,000人のセキュリティ研究者が参加する世界的な脆弱性リサーチコミュニティー Zero Day Initiative(ZDI)と緊密に連携しながら最新の脆弱性情報を収集しポリシーに反映しています。DVLabsは、ZDIが脆弱性を公表する平均57日前から仮想パッチを提供し、ゼロデイ攻撃などから企業のネットワークをいち早く保護しています。

  • トレンドマイクロ調べ(2016年度実績)

トレンドマイクロ株式会社
プロダクトマーケティング本部
福井 順一

記事公開日 : 2018.10.5
 この記事は、公開日時点での情報です

TREND MICROはトレンドマイクロ株式会社の登録商標です。本ドキュメントに記載されている各社の社名、製品名およびサービス名は、各社の商標または登録商標です。記載内容は2018年9月現在のものです。内容は予告なく変更になる場合がございます