人ごとではないセキュリティ脅威、対策製品が多数出展：INTEROP TOKYO 2015の歩き方（2）

　日本年金機構における情報流出は、セキュリティ関係者、そしてセキュリティ業界がこれまでリスクを訴えてきた標的型攻撃の典型例だ。INTEROP TOKYO 2015にも、標的型攻撃への対処を含めた製品が、多数出展されている。「INTEROP TOKYO 2015の歩き方（1）」ではネットワーク／SDN製品を中心に紹介したが、今回はセキュリティ関連の多様な出展製品について紹介する。

モバイルなユーザーにどう対処するか

　最近の企業ITでは、ユーザーのモバイル端末やクラウドサービスの利用が活発化し、これがセキュリティ上の課題ともなっている。これに対応する製品から紹介する。

　マクニカネットワークスは、モバイル端末によるアプリケーション利用で、データを端末側に残さないようにするソリューション、「remotium」をデモする。これは、Androidアプリケーションをサーバー側で実行し、ユーザーはこれを画面転送で利用するというもの。デスクトップ仮想化に似ているが、モバイルアプリケーション仮想化といった感じだ。画面転送なので、データは端末上に残らない。現在remotiumのサーバーで実行できるのはAndroidアプリケーションのみだが、iOS端末からも利用できるという。また、今後WindowsやMac OSの端末への対応も進めるという。

　また同社は、社員による各種クラウドサービスの利用を検知し、制御する手段として使える「Skyhigh for Shadow IT」を出展する。既存ファイアウォール／プロキシサーバーのログから、米Skyhighの運用しているクラウドサービス評価データベースと照らし合わせて利用を検知し、併せてそのサービスのセキュリティリスクを示す。企業として許可しないサービスの、ファイアウォール／プロキシにおける遮断を、継続的にチェックし、維持する機能も備えている。また、ユーザーのデータダウンロードなど、異常な振る舞いを検知し、これを通知できるという。

　デルは同社のSSL-VPNアプライアンス「Dell Secure Mobile Access」で、単体でワンタイムパスワードを使った二要素認証が行える新機能を搭載した新モデルを発表した。パフォーマンスも向上。端末情報に応じた、きめ細かな認証が行えるという。

特権ID／パスワードを保護する製品

　ディアイティは、データベースやIT機器の特権アカウント情報の漏えいを、特権IDユーザー本人に知らせないという方法で防ぐ、「CyberArk Priviledged Account Security」を出展する。この製品は、特権アカウント利用の申請ワークフロー管理、特権IDのパスワード管理、特権IDユーザーの行動記録、という3つの機能を持つ。まず、特権ID利用につき、運用担当者はこの製品で申請を行い、承認されると、申請者はパスワードを入力することなく、特権IDによるログインができる。言い換えれば、本人はパスワードを知ることがない。このため、例えば標的型攻撃の結果として、特権IDユーザーのキーストロークやパスワードハッシュなどが、攻撃者に取得されることはない。また、オプション製品を使うと、特権IDユーザーの操作履歴を動画あるいはテキストで記録でき、これによって監査が行える。

　ゾーホージャパンは上記と同様な、特権ID／パスワード利用の課題に対応する製品、「ManageEngine - Password Manager Pro」を出展する。こちらも特権ID／パスワードの貸し出し申請ワークフローを管理する。貸し出されたパスワードは運用担当者に開示されず、Password Manager Proが代行入力することで、認証情報の漏えいを防ぐ。こちらも、運用担当者による作業は動画で記録される。

　パロアルトネットワークスのTrapsは、端末レベルで悪意のある攻撃を検知し、防御する製品。従来のようにシグネチャに頼ることはないという。セキュリティ脅威は必ず、数段階にわたるプロセスで構成されており、各段階で共通の技術・手法がある。これを検知し、ブロックすることで、未知の脅威に備えることができ、拡張性も確保できるのだという。端末のセキュリティ制御と分析のために、防御した攻撃のデータを「エンドポイントセキュリティマネージャ（ESM）」で記録するが、1台のESMで、5万台の端末を管理できるという。

　NECは、同社のOpenFlowベースのスイッチと、他社のセキュリティ製品との連携ソリューションを紹介する。セキュリティ製品でセキュリティ上の問題を検知すると、被疑端末に近いスイッチで対処が可能。こうしたソリューションでよくあるのは、即座に被疑端末のトラフィックを遮断することだが、これでは業務への影響が大きすぎて非現実なケースもある。そこで代わりに、他に悪影響を与えないような通信経路に変更するといった対処ができるという。

ネットワークセキュリティの高度化

　ファイアウォールも広帯域化するネットワークへの対応が求められる。フォーティネットジャパンの「FortiGate-3810D」は、100Gbpsイーサネットのインターフェースを備え、300Gbpsのファイアウォールスループットを提供するという。このパフォーマンスを3Uサイズで実現している点を、同社はアピールする。会場で実際にテスト機器を使い、パフォーマンスを実証するという。

　アラクサラネットワークスは、同社のルーター・スイッチ「AX8600S/Rシリーズ」とトーテックアメニティのフォレンジックサーバー製品「NetRAPTOR」の組み合わせによる、クラウド事業者が採用可能なネットワークフォレンジックソリューションを検証したとし、INTEROP TOKYOで紹介する。これは、AX8600S/Rシリーズの選択的ミラーリング機能を実装し、100Gbps回線から指定のデータフローのみを抽出し、NetRAPTORに送って、記録・分析を行うもの。例えばクラウドサービス事業者が、テナントに対し、テナントセグメントを対象としたネットワークフォレンジックスサービスを提供できるという。

　コムワースは脆弱性検知テストを定期的に実施し、脆弱性管理サイクルを回していくための、ハードウエアをベースとしたソリューションを展示する。この製品の特長は、セキュリティ関連の各種団体が出している脆弱性リストとの連携にある。同製品のハードウエア装置を起点に実施する脆弱性検知テストの結果は、関連団体の脆弱性リストと照合され、脅威の深刻度と対策情報が示されるという。

　アラクサラネットワークスは、制御システムネットワークなどに向け、ホワイトリスト自動生成機能を同社のネットワークスイッチ「AX2530S」に搭載するという。新機能では、送信元／送信先アドレスに加え、レイヤ4のポートを含めたきめ細かな通信許可を、自動学習機能によって自動的に作り出すことができるという。