図1●既設のファイアウォール機器と併設して利用する。ファイアウォールにトラフィックを渡す前に、大量のIPアドレスのブラックリストで不要な通信を除外する
図1●既設のファイアウォール機器と併設して利用する。ファイアウォールにトラフィックを渡す前に、大量のIPアドレスのブラックリストで不要な通信を除外する
[画像のクリックで拡大表示]

 米イクシア(Ixia)の日本法人であるイクシアコミュニケーションズは2015年10月29日、IPアドレスによるアクセス制御という既存のやり方を応用した、サイバー攻撃対策アプライアンス「ThreatARMOR」を発表した。IPアドレスのブラックリストでインターネットとの通信をフィルタリングすれば、監視対象の通信量を減らせる、というアイデアを基にした。

 IPアドレスでアクセスを制御する機能に特化したセキュリティゲートウエイ機器である。4個のネットワークポートを備えており、インターネットとファイアウォール機器の間に入ってインバウンドの通信をブロックすると同時に、ファイアウォール機器と社内LANの間に入ってアウトバウンドの通信をブロックする(図1)。

 ブラックリストは5分間隔で更新する。ブラックリストに含まれる情報は、危険なサーバーのIPアドレス、ドメイン名、地域情報(国家)など。ドメイン名は、外部のDNSを参照することなく自前で対応表を持つ。地域情報の対応表も米イクシアが構築したものという。

 危険なサーバーの例として、マルウエアのダウンロードサイトや、マルウエアが通信する司令塔サーバーのC&Cサーバーなどがある。地域については、サイバー攻撃の主要地域である一方で業務上通信する必要のない地域を一律でブロックするといった使い方ができる。

 通信をブロックした場合、その旨を記録として残す。例えば、社内のパソコンから外部のC&Cサーバーに通信しようとした際に、これをブロックした場合、ブロックした理由や、社内のパソコンのIPアドレスなどが記録として残る。これを管理画面から参照できるほか、外部のログ管理サーバーにSyslogで通知するといった使い方ができる。管理画面では、個々のブロック状況だけでなく、統計情報をダッシュボードとして表示できる(図2)。

図2●個々のブロック状況や統計情報をダッシュボード画面で閲覧できる
図2●個々のブロック状況や統計情報をダッシュボード画面で閲覧できる
[画像のクリックで拡大表示]