Security&Trust トレンド解説

脅威に対して自動的に防衛するネットワーク

鈴木淳也(Junya Suzuki)
2005/5/31


 最近、セキュリティ関連のトピックとして「NAC(Network Admission Control)」や「SDN(Self Defending Network)」というキーワードを聞いたことはないだろうか。これらは、ネットワーク機器ベンダであるシスコシステムズが提唱するセキュリティ対策のためのシステム構築モデルだ。今回は、このSDNとNACの仕組みを解剖し、その役割を考察していこう。

 なぜSDNが必要になるか?

 ネットワークのセキュリティ対策といえば、古くはファイアウォールから始まり、IDS(Intrusion Detective System)や各クライアントにインストールするウイルス対策ソフトなど、ソリューションは非常に多岐にわたる。

 シスコのSDNでは段階こそあるものの、それらを個々のソリューションとしてではなく、ネットワーク全体で1つのソリューションとして利用することを目指している。個々の技術を別個の存在として考えることを「ポイントソリューション」と呼ぶが、シスコでは「個々の技術がばらばらに動作するポイントソリューションでは、未知の事例に対処できない」と主張する。

 この例が顕著なのは、ウイルス/ワームの高度化による拡散スピードの増加と、バリアントと呼ばれる変異体の出現だ。かつては、ファイアウォールにおいて水際チェックさえ行っていれば、インターネットから社内LANへとやってくる脅威を防ぐことが可能だった。

 ところが、現在のウイルス/ワームにおいては、このような単純な攻撃手段だけしか持っていないものは少ない。たいていの場合、複合型と呼ばれる、複数の感染経路を持つウイルス/ワームが主流であり、チェックをすり抜けて社内ネットワークへと到達する。

 例えば、メールやWeb閲覧などを介して感染するタイプのウイルスであれば、ファイアウォールのチェックだけでは心もとないのが現状だ。そこで、各クライアントにはウイルスチェッカやパーソナルファイアウォールを導入し、2重の壁で守るのである。

 ウイルス拡散のスピードは日増しに早くなってきている。「ゼロデイアタック」という言葉に代表されるように、被害が一瞬で広がるケースも存在する。企業において週末の休みの間にウイルスがメールボックスに侵入し、月曜日の始業と同時にパニック、という事例も見受けられる。

 OSやアプリケーションのバグや脆弱性などを利用した攻撃も大きな問題だ。数年前であれば、こうした脆弱性を利用したウイルスのコードが出回るのには、数カ月の時間が必要だった。だが現在では、数日〜1週間という短期間で攻撃コードが登場し、数日内に全世界を駆け巡るケースも珍しくない。「数秒〜数分で被害が拡大するウイルスが登場するんじゃないか?」という、冗談とも本気ともとれるジョークもささやかれるほどだ。

 ウイルスの変異体であるバリアントはさらにやっかいだ。単純にウイルスのパターン検知(定義ファイルによる検知)だけでは、バリアントの存在が発見できない可能性もある。未知のバリアントが登場した場合、既存のウイルスパターン(定義ファイル)では対処できない。そこで、ウイルスそのものではなく、ウイルスの振る舞いを監視して、それがウイルスであるかどうかを確認する技術が必要とされている。

 もう1つの脅威が、ウイルスに感染したノートPCやCD-ROMといったメディアの社内LANへの持ち込みや、無線LAN・VPN経由でのウイルスの搬送である。ファイアウォール型の布陣を敷いていても、それとはほかのルートから直接侵入されたらたまらない。

 こうした攻撃に対処するには、

  1. ウイルスが持ち込まれたネットワークを分離してトラフィックの影響を減らす
  2. 各クライアントや機器にパーソナルファイアウォールを導入して保護を行う

という2つのアプローチを取るのが一般的だ。

 基本的には、(1)ウイルス/ワームの接続前チェックの厳格化、(2)リアルタイム監視で必要に応じたネットワークのコントロール、という機構をネットワークに組み込むことになる。これを個別の技術ではなく、1つのコンセプトとしてまとめたのがシスコのSDNである。

 
1/3


Index
脅威に対して自動的に防衛するネットワーク
Page1
なぜSDNが必要になるか?
  Page2
SDNの3つのフェイズ
  Page3
ウイルス/ワームを防御する「Cisco NAC」



Security&Trust記事一覧


Security&Trust フォーラム 新着記事
@ITメールマガジン 新着情報やスタッフのコラムがメールで届きます(無料)
- PR -

注目のテーマ

Security & Trust 記事ランキング

本日 月間
ソリューションFLASH