標的型攻撃対策 製品 Lastline

導入事例(総合研究大学院大学様)

「この通信のここが問題です」と、自分の隣にセキュリティ専門家がいる。
Lastlineが答えを出してくれるから、安心して運用できます。

ビル外観
総合研究大学院大学(総研大)は、18の大学共同利用機関法人等の研究機関をキャンパスとして、次世代の研究者を育成する大学院大学である。6研究科・21専攻という幅広い研究・教育分野を担い、その教育・研究活動は多岐に渡る。葉山キャンパスには、大学本部とともに先導科学研究科、情報基盤センター、学融合推進センター、付属図書館が配置されている。
【文化科学研究科、物理科学研究科、高エネルギー加速器科学研究科、複合科学研究科、生命科学研究科、先導科学研究科】
国立大学法人 総合研究大学院大学 本部 葉山キャンパス
〒240-0193 神奈川県三浦郡葉山町湘南国際村
http://www.soken.ac.jp/

時代の先を見据え、専門的かつ視野の広い研究者を育成する大学院大学

総合研究大学院大学(以下、総研大)は、大学共同利用機関等の研究機関と連携して高等教育を実施する大学院大学である。各機関は、日本における研究分野の拠点でもあり、特色に応じた施設やネットワークなどのインフラが整備され、その基盤の上に、専門性が高く視野の広い研究者の育成を実施している。キャンパスが遠隔地に散在することから、ネットワークインフラの活用に期待する声は大きい。その背景の中、ネットワークインフラの全学的な活用の中心としての役割を担う情報基盤センターが、2013年4月よりスタートした。情報基盤センターが担うネットワークインフラは、全学的な設備と、葉山キャンパス設備の両方がターゲットとなる。全学的な施設は、2012年より構築が開始され、具体的なネットワークインフラとして総研大クラウドが整備されつつある。

葉山キャンパスは、本部機能と先導科学研究科などが設置される大学の中心的拠点である。学生、教職員など200名が、教育・研究から業務事務と大学の運営まで幅広く、その多くの活動にてネットワークインフラを利用する。同大学のネットワークインフラの基本的性格は、2006年の情報セキュリティーポリシー策定とその実施にあるという。既存のレガシーなネットワークインフラを抜本的に見直し、セキュリティを担保した新しいネットワークインフラへの再構築がなされた。日進月歩で変わるネットワークやセキュリティの課題を常に意識し、常に改善を行っている。「Lastline標的型攻撃マルウェア対策クラウドサービス」導入もその一つだ。

Lastlineは、ネットワークの出入り口にて、ユーザーが認識する前の段階で攻撃状況を認識・防御する機能を備え、ファイアウォール、アンチウイルスなど従来型のセキュリティ防御システムをすり抜けてしまう攻撃や標的型攻撃に機能を発揮するセキュリティ製品である。同製品を導入した背景について、情報基盤センターの洞田氏、寺田氏からお話を伺った。

サーバールームにて

ページのトップへ

ネットワークインフラを日々進化する脅威に対応させていくこと

ネットワークインフラのライフサイクルに対して、ネットワークの先にある脅威が進化する速度は比較できないほど早い。近年のマルウェアは、ファイアウォール・アンチウィルスソフト・IDS/IPSなどの従来の防御システムを回避し、誰にも気が付かれないまま、24時間以内にネットワークに達する。総研大においても、その危機感を現実に感じていた。「ウイルス対策のソフトウェアでは検知されず、他のネットワークセキュリティ機器にて検知される振る舞いが最近は増加傾向にあった。今持っているセキュリティ対策で果たして十分なのだろうか」との意識が生まれていた。もちろん発報されるものが、常に危険であるわけではない。しかし「誤検知」なのかどうかを精査し、必要な対処を怠れば、ネットワークインフラの安全性は崩壊する。2006年のネットワークインフラの再構築にあたり、総研大としてセキュリティを担保したネットワーク構築とはどのようなものだったのか、洞田氏は振り返る。

洞田氏と寺田氏「当時のネットワークインフラは、先行する各キャンパスの取組と直接比較できないほどの状態でした。総研大としてネットワークを構築するにあたり、セキュリティをどのように考えるのか、その管理をどのように行うか、それを担保するインフラはどうあるかの三つの観点を議論し、その姿を検討しました。レガシーだった基盤を再構築し、常に様々な脅威に対し危機感を覚え新たなテクノロジーに目を向けることによって、陳腐化と脅威に対する危機感を常に感じ、今日まで総研大のネットワークインフラを常に進化できています。」

葉山キャンパスでは、認証ネットワーク、電子証明書基盤、UTM製品、アプリケーションコントロール製品の導入、ログ管理とセキュリティを考慮したネットワークインフラを構築し、それを支える管理データベースの構築と、常に一歩先を見据えたシステムを配置している。2012年には、総研大クラウドとして、学外に設けたデータセンターを介してSINET(学術情報ネットワーク)に20Gbpsでの接続を果たすに至った。しかし、ネットワークインフラの強化は、ネットワークからの脅威の増大を伴う。葉山キャンパス、データセンターとも、ファイアウォールなどのセキュリティ装置から、クライアント通信に対するセキュリティに関するアラートを検知する機会が増えてきているという。しかも、そのアラートは、アンチウイルスソフトウェアに必ずしも検知されてはいないとのことだ。

「総研大クラウドに新しい機器を設置したことで、今まで見えていなかった振る舞いが見えるようになりました。もちろん、それまでも実験的に設置したIDS等においても、マルウェアやアドウェアの存在を確認し、ユーザーからの報告などで認識はありましたが、改めて危険性を再認識するに至りました。」
何かしら対策を取らないと、検知漏れが現実の障害の引き金となるという危険性を認識し、具体的な対策を模索する。その時どのような対策が取れるのか、洞田氏は語る。

「既にアプリケーションコントロール、ウイルス対策、スパム対策、それぞれ対策がないわけではないし、ウイルス対策に至っては多段に施されている。それをすり抜ける危険性をどう防ぐか、がスタートでした。」

ページのトップへ

具体的な対策へ

情報基盤センター 講師 洞田慎一 氏
情報基盤センター 講師
洞田慎一 氏

新たな脅威に対応するための次の一歩を踏み出すために、同センターが重視した条件は「速やかに、具体的な対策として、安価に導入できる」ことであった。専用のハードウェア、あるいはファイアウォールのブラッシュアップとしてサンドボックス機能を備えるとしても、導入するコストは決して安くはない。迅速かつ安価に行うことができる製品として選定されたのがLastlineであった。

「どのくらいの効果があるのか、まずは製品の評価から始めましたが、どこにどういう対策を施すのか、設置イメージをすぐに思い浮かべることができました。また、Previct™センサーを設置するサーバも専用のものを改めて用意したわけではなく、学内にあるものを使うことで十分に対応できました。特別何かをしなければいけないのではなく、インストールを含め、特別な知識は必要ありませんでした。

1ヶ月の評価を終え、同センターが目にしたものは、これまで見えていなかった脅威が具体的に提示された結果であった。うっすらと感じていた脅威が、具体的にレポートして現れる。UTM製品やアンチウイルスソフトには表れてこない脅威に対処することがLastlineの機能であり、同センターの感じていた不安を解消するには、最適なソリューションであった。加えてLastlineはPrevict™センサーを含めてソフトウェアとして実現されており、対象に合わせた規模やパフォーマンスのカスタマイズが可能であったことも、速やかに安価な対策を求めた同センターの要望に適合していた。

ページのトップへ

Lastline導入後の運用管理について

情報基盤センター 助教 洞田慎一 氏
情報基盤センター 助教
寺田直美 氏

Lastline導入によりネットワークインフラの運用がどう変わったか、寺田氏はこう語る。

「Lastlineのウェブインターフェースの操作は直感的で解りやすく、動作も軽快。何度も画面遷移を行うものでもなく、インシデントを分かりやすくドリルダウンできることも問題を探る上で助かります。また、検知された内容も、検知されたという事実だけが一行のログとして残る状況ではなく、いつどこで、どんな脅威を、具体的に示してくれる。この通信のここが問題ですと、自分の隣にセキュリティ専門家がいるような安心感があります。
どのようなセキュリティ対策製品においても誤検知はある。Lastlineと他の製品の違いについて、洞田氏はこう語る。

「多段に対策を取るということは、リスクを分散させるということ。多くはオオカミ少年かもしれない。セキュリティ対策製品が提示する検知情報に対して対策が必要なのか、誤検知なのか、それを含めて、次に我々は何をしなければならないかの判断に対して、Lastlineは多くの情報を与えてくれます。」

Lastlineは、イベントの検知に対して時刻やイベントのログ以外に、イベントの重要度、検知した状況やパケットといった証跡を併せて表示させることができる。ウィルスデータベースに誘導するだけのセキュリティ対策製品とは異なり、管理者が脅威を判断する材料を提供する。具体的にどのような脅威が発生した、あるいは発生しようとしているのかが分からなければ対策に乗り出せないケースは多い。ローカルレポジトリに対する単純な照合ではなく、クラウドサービスとして常に最新の脅威リポジトリを用いて解析を行うことで、新鮮かつ具体的な情報提供が行われる。クラウドサービスという仕組みにより、アドバンスドパーシスタントスレット攻撃(APT)にも迅速かつ安価に対応できる。

「Lastlineは、ネットワークインフラを安全に保つ上でのコストメリットは極めて高い製品だ」と洞田氏は語る。

次なるセキュリティ対策に向けて

Lastline導入により、ファイアウォール・アンチウィルスソフト・IDS/IPSなどの従来の防御システムをすり抜ける脅威に対策が向けられた。万全なようにも見えるが、同センターの次の一手はどこに向かうのか尋ねた。

「セキュリティ製品は、オオカミ少年だと考えたほうがよいでしょう。また、この製品をそろえたからと言って100点にはならない。多種多様なセンサーを持ち、常に脅威に対応していかなければならないのでしょう。次に、その膨大な情報をどう評価するかを管理者が切り分けなければならない。問題は、その切り分けに対して、我々は十分な情報や知識を持ち合わせていないことです。具体的に何がどこで発生しているのか、現状を認識するための情報をどうやって収集・評価するか。これを新たな課題と考えています。」

精度の高い対策へ向けて、総研大の次の一手は止まることはない。

  • 記載されている会社名、製品名は、各社の商標もしくは登録商標です。

ページのトップへ

お問い合わせ
  • お問い合わせフォーム
  • 資料請求フォーム
Lastline 標的型攻撃対策ソリューションに関するお問い合わせ
TEL:03-3237-3291