ネットワークの安全は発生源に近いL2スイッチで確保するのが効果的!
背景
情報漏えい事件の大半は、社内におけるPCの不正利用に起因している。私物PC持ち込みをはじめ、iTunes、インスタントメッセンジャー、禁止ソフトウェアのインストールやSNSなどの利用による、ワーム/ウィルスに感染したPCからの二次拡散/ネットワーク攻撃、さらに悪意を持った社員(内部)からの機密情報持ち出しなど・・・。こうした事例に端を発する被害は年々増加しており、2009年度の情報漏えい事件は1,539件と過去最悪を記録し、想定される損害賠償額も3,980億円に上っている(日本ネットワークセキュリティ協会調査)。
今、企業の情報保護は、セキュリティパッチやウィルス対策ソフトのパターンファイル更新といった「外部」からの脅威に対する対策とともに、二次拡散を含めた「内部」からの脅威への対策が急務である。
課題・問題
「外部」脅威から社内PCを保護しても、 ネットワークが疎かでは「内部」脅威に対抗できない・・・
V社は特定のとある保険を専門とする保険代理店。同社では此の程、業務プロセスおよび内部統制の補正とともに、自社内のセキュリティ対策の見直しを緊急課題として掲げ、その実施を決定しました。
というのも、同社におけるセキュリティ対策はアンチウィルスやアンチスパムなどのセキュリティソフトウェアを中心に、外部の脅威から「クライアントPCを保護」することに終始しており、「ネットワークの保護」までは手が回っていなかったからです。例えば、社内LANを構築するスイッチなどは機能を深く検討せずに低価格製品を使用するなど、ネットワークの専門知識を有さないシステム管理者のセキュリティリスクへの意識は十分とはいえず、重要な機密情報を保護するためには非常に心許ない状況でした。いくら、外部からの脅威へ対策を施しているとはいえ、セキュリティパッチ適用は社員任せだったため、故意・過失に関わらず不適切なソフトウェアを起動してPCがウィルスに感染するリスクは否めず、特に外部に持ち出されるモバイルPCは多くの危険性をもっていました。また、V社IT統括室のA室長は、同社の問題について次のようにも述べています。
「いくら全社のPCを保護したところで、そもそも私物PCや取引先会社のPCなど、未登録のPCを持ち込まれてしまっては、何の意味もありません。『内部』からの脅威に対応するために、『ネットワーク』も含めた社内インフラ全体のセキュリティ強化が必要だったのです」
まさかのワーム拡散─原因は、「ルール違反」を未然に防げないマンパワー不足
そんな矢先、社外への持ち出しPCがワームに感染していることが分かりました。社員が帰社後、気づかずに社内ネットワークに接続した途端にワームが拡散。幸いにもすぐ拡散に気づき、早期に手を打つことができたものの、一歩間違えれば情報流出事件に発展し、顧客の重要機密情報を扱う業種だけに、信用失墜や損害賠償、ひいては事業継続リスクにも繋がりかねない事態でした。
すでに同社ではPC保護に加え、「未登録PCの社内ネットワーク接続禁止」や「会社が認めたソフトウェア以外のインストール禁止」、さらに「セキュリティパッチやウィルス対策ソフトのパターンファイルは更新のたびに即時適用する」など、細かいセキュリティルールを敷いていましたが、肝心の「確認」は満足にできていませんでした。今回の事件は、規則が実効性を持っていないことを図らずも証明する結果となったのです。
「IT予算は削減される一方で、管理部門のマンパワーでは、社内全てのPCを点検することは物理的に不可能です。とはいえ、セキュリティインシデントがいつ起きてもおかしくない中、何とかして対策を行う必要がありました」(前出A氏)
- 課題・問題のポイント
-
- 万全なセキュリティ対策のために、クライアントPCの保護だけではなく、ネットワーク保護によるウィルスの二次拡散防止が必須
- パッチの適用漏れやモバイル・未登録PCの抱えるリスクに対抗できない
- 細かいセキュリティルールも実効性を持たず、マンパワー不足で確認作業すらできない
解決策
- 解決後の効果・結果
-
- ネットワークの保護による「内部脅威」への万全な対策で、社内インフラ全体のセキュリティ強化を実現し、情報漏えいリスクを低減
- 不適切なソフトウェアやポリシ違反のPCを強制的にネットワークから排除
- 有害トラフィックなどネットワーク上の脅威をリアルタイムで検出・遮断
- イベントリ自動収集により全社PCの状況を管理工数をかけず把握
対策案を模索していた前出A氏は、「ネットワーク全体の保護」というキーワードにつられ、とある啓発セミナーに参加。そこで、“ルール化”だけでは限界があることをあらためて認識するとともに、「検疫」や「強制遮断」を含めたセキュリティ統制を「自動化」できるソリューションがあることを知りました。
本当に社内インフラ全体のセキュリティ強化を実現できるのか?─詳細な説明を受けたA氏は早速トライアル導入を申し込み、自社の状況に照らし合わせた検証を行うことに。
「接続・起動させない」!強制的な“制御”と“自動化”で、工数を要せずセキュリティポリシの全社適用を可能に
A氏はまず、クオリティ社のIT資産管理ツール「QAW」による、全社約550台のPC管理を試行。その流れと結果は次のようなものでした。
インベントリ情報収集で、全PCの現状をチェック
「当社のPCは、本社、各営業所、および絶えず持ち出されるノートPCなど、様々な場所に分散していますが、「QAW」はモジュールの導入など初期展開からインベントリ収集まで多くの作業を自動的に実施してくれるため、現状のマンパワーでは不可能だった社内の全PCの現状把握を、工数をかけずに実現できました」 (前出A氏)
不適切なソフトウェアの利用を「未然に防止」
「各クライアントPCのアプリケーションの起動/インストールについても、管理者側での一括自動制御が行えました。無作為に選定したPCから、試験的に禁止ソフトウェアの使用を試みましたが、100%その起動を制御した上、該当PCを特定して管理者側へ通告することを確認できました」(前出A氏)
新たな情報漏えいリスクにも対応する「禁止ソフトウェア辞書ファイル」の提供
「セキュリティリスクと対策はいたちごっこのようなもので、常に最新の脅威を把握・対策しておく必要があります。QAWの、次々と生み出される危険ソフトウェアの情報を定期的に更新し、まとめた「辞書ファイル」には驚きました。これまで危険性を持ったソフトウェアを逐一把握することは困難でしたが、これなら労せずに常に最新のセキュリティ対策を実現できます」(前出A氏)
未登録PCをネットワークに接続させない「強制ネットワーク遮断」
「これまで悩みの種だった、外から持ち込まれる私物PCや、管理者の許可を得ずに購入したPCなどの管理対象外PC、およびポリシ違反PC(OSバージョン、ウィルス対策ソフトのパターンファイル更新、必須ソフトウェアのインストールが正しく設定されていない等)などについて、いくら接続しようとしても、自動的に社内ネットワークから遮断することができるようになりました」(前出A氏)
ネットワーク遮断と検疫プロセスを組み合わせた「セキュリティ統制サイクルの自動化」
「定期的なセキュリティポリシチェックにより、不合格PCが発見された場合は、強制的にネットワークから遮断、およびOSからログオフさせ、PC自体の利用を制御することができました。ポリシーチェックが自動化されることで、セキュリティ統制を継続化するサイクルの構築が期待できました」(前出A氏)
いくら厳密なセキュリティルールを定めても、社員がそれを厳密に実行しなければ何の意味もありません。A氏はトライアル段階での感想をこう述べています。
「(QAWは)そもそも禁止事項を“行わせない”強制力を持ったソリューションでした。また、多くの作業が自動化されるため、当社のように人的リソースを割けない場合でも十分にIT統制が実現できると確信できました」
多種多様な攻撃をリアルタイムで検知/遮断─「安心・安全」のネットワーク運用へ
加えて、社内LANスイッチの見直しも慎重行われました。「内部ネットワークの保護については、ワームの侵入が大きな教訓となった」という前出A氏は、ネットワールド社の提供する「SubGate」の、 低価格ながら有害なトラフィックの検知・遮断を実施できる点に着目しました。
様々な有害トラフィックを把握・検知
「SubGate」は、DoS、DDoS、Flooding、Spoofing、ScAnning等の様々な有害トラフィックに対応しており、さらに攻撃をリアルタイムで探知します。「当社で使用していたL2スイッチでは検知・遮断できなかった有害トラフィックに対応しており、同時にネットワークトラブルにも対処可能なので、安定したネットワーク運用が期待できました」(前出A氏)
ハッキング元の封じ込めや、ウィルス発生源を隔離
「有事の際には即時ネットワーク遮断を行い、その際も正常なトラフィックには影響を及ぼさないため、業務への障害を最小限に抑えながら、ネットワークセキュリティを強化することが期待できました」(前出A氏)
「これまで、IDS(侵入検知システム)やIPS(侵入防止システム)はコストや運用面から導入できませんでしたが、これならIT予算の縮小が進む当社でも、有効な対策が行えると確信できました」とトライアル後の感触についてA氏は述べます。こうした優れたセキュリティ機能とともに、保守管理がほとんど必要なく、価格も従来のL2スイッチと同レベルという点が、V社上層部の決断を後押ししました。
やはり見つかった「有害トラフィック」と「フリーソフト」─万全のセキュリティ体制を確立
トライアル終了後、V社は「QAW」の本格導入、および「SubGate」への一斉入れ換えを実施。導入後間もなく、「SubGate」は有害トラフィックを検出し、アンチウィルスソフトで駆除しきれていない脅威があることを示しました。また、「QAW」によって外部からの持ち込みPCや多数のフリーソフトの存在が明確になりました。前出A氏は今回の導入についてこう総括します。
「外部からのセキュリティ対策とともに、ようやく内部での二次拡散やセキュリティ脅威を、ネットワークエッジで確実に防ぐことができる社内環境を構築できました。また社内ポリシにそぐわない端末の特定が可能となったことで、社内に蔓延していた不正使用もなくなりました。(この導入によって)いままでいかに脅威に対し無防備だったかを実感しています」
※本事例は、特定の企業の運用を事例化したものではなく、想定運用になります。