内部脅威に不正な振る舞い検知+NW認証/制御で対抗「Aruba 360 Secure Fabric」
IoT大量接続時代の新ネットワークセキュリティ、HPE Arubaが披露
2017年09月21日 07時00分更新
米ヒューレット・パッカード エンタープライズ(HPE)傘下のアルバ(HPE Aruba)は9月19日から22日まで、プライベートカンファレンス「APAC ATMOSPHERE 2017」をマカオで開催している。日本を含むアジア太平洋地域から顧客とパートナー約1500名が参加したこのイベントで、同社は「モビリティ」と「クラウド」「Internet of Things(IoT)」という従来からのメッセージに加え、「セキュリティ」の重要性をたびたび強調した。
「内なる脅威にも対処が必要だ」と述べた、HPE Aruba シニアバイスプレジデント兼ゼネラルマネージャのキルティ・メルコート(Keerti Melkote)氏
内部脅威を可視化/検知/対処する「Aruba 360 Secure Fabric」を発表
APAC ATMOSPHERE 2017の基調講演において、HPE Aruba シニアバイスプレジデント兼ゼネラルマネージャのキルティ・メルコート氏は、「われわれはセキュリティ上の課題に直面している。単に安定したネットワークコネクティビティを提供するだけでなく、信頼性の向上が不可欠だ」と述べたうえで、「Aruba 360 Secure Fabric」という新たなセキュリティフレームワークを発表した。
「これまでのセキュリティアーキテクチャは、ファイアウォールやIDS/IPSといったテクノロジを境界に導入して“高い壁”を築き、外部から不正なもの(脅威、攻撃)が入ってこないよう守りを固めるものだった。しかし今や攻撃は、巧妙なフィッシングメールなどを介して、内側から、正規のユーザーによって引き起こされている」(メルコート氏)
こうした脅威は、いったん境界の内側に入り込むと検出を逃れるため時間をかけてシステム内部で拡散し、機密情報を盗み出したり(外部に不正送信したり)、外部へのDoS攻撃を行う踏み台にされたりする。だが従来のセキュリティーアーキテクチャは、外部からやってくる脅威の検出には長けていても、内側での対策には弱かった。そこを補うのが今回発表された360 Secure Fabricであり、「脅威を可視化し、検知するだけでなく速やかに対処できる」(メルコート氏)という。
機械学習で「あるべからざる動き」を警告、ClearPass連携で速やかな対処も
サイバー攻撃のニュースが連日のように報道される昨今、セキュリティに言及しないITベンダーはいないといっていい。その中で360 Secure Fabricは、PCやモバイルデバイスだけでなく、センサー類やネットワークカメラといったあらゆるIoT機器も保護することが特徴だ。また、マルウェアに感染してしまった端末を検出するだけでなく、検疫や切断といった対処をコントローラ経由で速やかに実施できることもメリットという。
APAC ATMOSPHERE 2017の会場でも展示されたAruba 360 Secure Fabric
Aruba 360 Secure Fabricは、複数のコンポーネントで構成される。中核となるのは「Aruba IntroSpect」だ。2017年2月、ニアラ(Niara)の買収によって手に入れた「UEBA(User Entity Behavior Analytics、ユーザーおよびエンティティ行動アナリティクス)」機能を追加し、ネットワークに接続されるあらゆるデバイスのプロファイリングを行い、パケットやネットフロー、エンドポイントやActive Directoryのログ情報などを解析して振る舞いをモニタリングする。そして、デバイス本来の用途から外れる不自然な動き、異常な動きを検出すると、セキュリティ担当者にアラートを発する仕組みだ。
振る舞いの解析には機械学習/AI技術を活用し、100種類以上の学習モデルを用いて個々の事象から「コンテキスト(文脈)」を導き出し、0から100までの範囲でリスクスコアを算出する。例えば、いつも9時にメールにアクセスしてくる人がなぜか11時に接続してきたら、リスクスコアを35程度に上げる。次に、なぜか経理データベースへのアクセスを試みたならば、これも通常とは異なる振る舞いと判断しリスクスコアをさらに上げる。データのダウンロードを行い、国外のクラウドサービスにアップロードしたともなれば、明らかに不審な動きとみなし、管理者に警告するといった具合だ。
振る舞いを解析して内部の脅威を見つけ出すアプローチは、今後劇的な増加が見込まれるIoT機器のセキュリティ対策には特に有効だという。膨大な数のIoT機器を人間の目だけで監視するのは困難だ。そこで、大量のデータを解析し、機器の目的/用途に反して本来ならばアクセスするはずのない不正なホストと通信を行っている機器や、システムに異常をもたらしそうな振る舞いを自動的に特定し、リスクの高いものだけを人間が注視することで、効率的に対処できる。
Aruba 360 Secure Fabricでもう一つ大きな役割を果たすのが、ネットワーク認証/アクセス制御製品の「Aruba ClearPass」だ。この製品では「誰が/いつ/どこで/どんなデバイスを/どんな方法で」ネットワークに接続したかというコンテキストを把握し、それに沿って適切なポリシーを適用することで、アクセスを制限できる。IoTデバイスであっても、プロファイリングによって「未知のデバイス」ではなくきちんと特定することができる。
上述した2つの製品が連携することで、高度に自動化された効率的な対策が実現できる。不審な振る舞いや攻撃の兆候を検出したIntroSpectは、その情報をClearPassと共有する。ClearPassでは、即座に「当該端末をネットワークから隔離する」というポリシーを作成し、Arubaのネットワークコントローラーを通じてWi-Fiアクセスポイントやスイッチに適用する。これにより、不審な端末は即座に検疫ネットワークに隔離され、内部での脅威拡散が防止される仕組みだ。このように、単に内部脅威を検出するだけでなく、速やかに(かつ自動的に)封じ込めることもポイントで、「人手を介さず、対処のループを閉じることができる」(メルコート氏)。仮に、なかなか足を運べない遠隔地に設置されたIoT機器がMiraiのようなマルウェアに感染した場合でも、対処可能だ。
ClearPassとIntroSpectを組み合わせることで、単に脅威を検知するだけでなく、その先の対処までネットワークを介して実現する
メルコート氏はさらに、360 Secure FabricがAPIを介してさまざまなサードパーティ製品と連携し、エコシステムを形成できることにも言及した。すでにパロアルトネットワークスやマカフィーといったセキュリティベンダと連携しており、不正なホストと通信している端末をClearPassの認証ログを参照しながら特定して対処したり、SIEMと連携して高度な解析を行ったりと、さまざまな活用法が考えられるという。必要であればフォレンジック用に詳細なデータを提供することも可能だ。
外側からの脅威を防ぐだけでなく、内側に潜む脅威の検出/対処を支援する 360 Secure Fabricは、昨今叫ばれるセキュリティ人材不足への対応にも役立つだろう。ただし日本国内での提供はやや先、2018年以降になる見込みだ。
