- 会員限定
- 2015/08/03 掲載
未知の脅威にサンドボックスで対抗、精密金型メーカーの三井ハイテックの取り組み
サンドボックス製品一覧も紹介
三井ハイテックが抱えていた4つのセキュリティ上の課題
「ガートナー セキュリティ&リスク・マネジメントサミット2015」に登壇した三井ハイテックの中村氏は、今回のサンドボックス導入以前に抱えていたセキュリティ上の課題として、4つのポイントを挙げた。
1つめが、旧来設置していたファイアウォールの保守切れが近付いており、何らかの代替策を施すことが必須だったこと、2つめが増え続けるサイバー攻撃へ対応する必要があったことだ。
「サンドボックスの導入を検討しはじめたのは2013年からだが、そのころから少しずつサイバー攻撃が増加してきており、今後も増えるだろうと思った。また従来のステートフルインスペクション型のファイアウォール、つまりIPやポートでの制御だけでは、新たな脅威に対する防御が難しいと考えた」
またせっかく取得していた大量のファイアウォールログを、社内リソースの関係で十分に監視/分析できていなかったこと、さらにアプリケーションレベルの通信制御ができていなかったことも背景にあった。
「ファイアウォール更新の目的としてまず掲げたのは、未知の脅威やゼロディ攻撃に対する防御を強化すること。また脅威を検知/駆除するために、24時間365日の監視体制を構築すること、アプリケーションレベルの通信を可視化し、制御することも目指した」
課題解決のために次世代ファイアウォールとクラウド型サンドボックスを導入
そこで同社が採用したのが、パロアルトネットワークスの次世代ファイアウォール「PA-3020」とクラウド型のサンドボックス「WildFire」だ。次世代ファイアウォールとは、ポート開閉の制御だけでなく、ネットワーク上を流れる各種アプリケーションのトラフィックを識別し、制御することまでを可能にしたソリューションのこと。一方のサンドボックスは、社外から受け取ったプログラムを、社内の本番環境には影響を及ぼさない仮想環境上の保護領域で動作させ、そのプログラムの振る舞いを確認することで未知のマルウェアを検知する、という仕組みのものだ。
このサンドボックスをオンプレミス環境で実現する場合、たとえば1台のサーバ上にWindows XPやWindows 7など複数の仮想環境を構築し、その各々で社外から送られてきた怪しい添付ファイルをクリックして、どんな振る舞いをするのかをチェックする。オンプレミス型でサンドボックスを構築するメリットとしては、パフォーマンスの評価や実機での試行評価が検証しやすい点が挙げられる。
またサンドボックスはクラウドサービスとしても提供されており、オンプレミス環境に設置したIPS(侵入防御システム)や次世代ファイアウォールで怪しい添付ファイルが見つかった時に、クラウドサービス側に送って調べてもらうことができる。クラウドサービス型を利用するメリットとしては、SOC(セキュリティオペレーションセンター)の利用なども視野に入れた総コストの計算が可能だという点だ。
三井ハイテックでは以前、メイン回線と代替回線の2系統のネットワークを、それぞれ別のファイアウォール製品で制御していたが、今回はパロアルトの次世代ファイアウォール(PA-3020)2台を導入してHA(ハイアベイラビリティ)構成を採り、2系統のネットワークをともにこの2台で制御する構成にした。
実際の制御の仕組みとしては、インターネットから既知のマルウェアが来た場合には、次世代ファイアウォールのアンチウイルス機能でブロックする。また怪しい通信、即ち未知のマルウェアが来た場合には、次世代ファイアウォールで一旦ブロックして、それをクラウド型サンドボックス(WildFire)に転送し、解析してもらう。
「サンドボックス側で何らかの対策が必要ということになれば、1時間以内に対策シグニチャ、つまりパターンファイルのようなものが作成されて、自動的に次世代ファイアウォールにフィードバックされて、更新されるようになっている」(中村氏)
【次ページ】多様化するサンドボックス製品一覧
関連コンテンツ
PR
PR
PR