世の中にセキュリティデバイス、セキュリティ製品があふれかえっている。脅威か増せば増すほど、製品が進化するのも当然だ。だがあまりに多すぎる。CSIRTが自ら使うセキュリティデバイスの用途や価値をきちんと理解できていないケースが多く見受けられる。これはやばい。
次世代セキュリティオペレーションを実現する上で、守るべき資産を守る製品を選択することは欠かせない。だがセキュリティ会社に聞いてもセールストークばかりで“ものさし”はない。そこで第3回の今回は、筆者が統括する「Symantec SOC」における実践データを基に、はやりのサンドボックス製品や次世代ファイアウォール製品、エンドポイントセキュリティ製品などが実際にどう脅威を防御・検出するかを明らかにする。
連載の第1回と第2回では、次世代セキュリティオペレーションに求められる五つの軸について解説した。今回は5軸の一つである「防御」フェーズに着目する。外部からの攻撃にさらされる「公開サーバー」と、マルウエア感染の早期検出が欠かせない「社内ネットワーク」について、どのような脅威に対してどのような防御が適しているのかも掘り下げていく。なお、特定の製品名はあまり出さず、どちらかというと製品の種類で解説を進める。
公開サーバーを守るセキュリティデバイスをどう選ぶ
公開サーバーを狙った攻撃のうち、より重要度を上げて対処すべきものは脆弱性を狙った攻撃だ。攻撃者は特定の公開サーバーに対して、0Sやミドルウエア、アプリケーションの脆弱性を狙って不正侵入を試みてくる。
公開サーバーへの攻撃を防御する代表的なセキュリティデバイスは、NIPS(ネットワーク型の不正侵入防止システム:Network Intrusion Protection System)やWAF(Webアプリケーションファイアウォール:Web Application Firewall)、NGFW(次世代ファイアウォール:Next Generation Firewall )、HIPS(ホスト型の不正侵入防止システム:Host Intrusion Protection System)の四つである。
NIPSやNGFWは、OSやミドルウエアのレイヤーも防御対象としている点が特徴である。最も狙われやすいアプリケーションへの攻撃についても防御できるものの、攻撃を検出する手法がシグネチャーによるパターンマッチングであるため、「いかに早く製品ベンダーがシグネチャーを作成し、製品に適用するか」が防御能力の鍵になる。この点に注目して製品を選択するとよい。