サイバー攻撃や被害を食い止めるセキュリティ技術たち：Interop Tokyo 2015 Report（2/3 ページ）

[國谷武史，ITmedia]

　ShowNetの防御するパロアルトネットワークスは、基幹ネットワークと出展者向けネットワークのセグメントを担当し、次世代ファイアウォールアプライアンスのPA-7050と仮想アプライアンスのVM-300を提供した。いずれもShowNetのトラフィックを監視して既知の手法を使った攻撃は先に遮断し、不審な通信に関してはサンドボックス環境で詳しく解析、攻撃と判断した通信は自動的にシグネチャを作成してアプライアンスに配信し、次からの攻撃を未然にブロックするという仕組みだ。開場直後に同社のアプライアンスが検知したものではSSHでのログイン試行を繰り返す不審な通信が検知されていた。

ShowNetへの攻撃を監視し、可視化した情報を提供するパロアルトネットワークス（写真はデモの解析結果）

　同社はInteropに合わせてアプライアンス用OSの最新版（PAN-OS 7.0）もリリース。アプリケーションやファイルの種類に応じてローカルやクラウドのサンドボックス環境を使い分けながら、ネットワークに負荷をかけることなく効率的にサイバー攻撃の検出と防御をできるようにしたという。

マルウェアの感染源を迅速に隔離

　新型マルウェアが使われる攻撃に対しては、サンドボックス環境の解析で検出する技術が徐々に普及しつつあるものの、残念ながら未然に発見できないケースもある。マルウェア感染が判明した場合、被害拡大を食い止めるために感染端末を迅速にネットワークから隔離する必要があるものの、現状では手作業で多数の端末から感染源を探さないといけないケースが多い。Interopではこの対応を支援する仕組みも出品されている。

　NECは、「SDN連携アダプタ」というSDN技術を利用して、感染端末をネットワークから自動的に隔離する仕組みを公開した。SDN連携アダプタは、トレンドマイクロやパロアルトネットワークスなどの連携製品で不正な通信が検知されると、その情報を取得して自動的にネットワークを制御し、感染端末からの接続を遮断して隔離する。

SDN技術の活用で感染端末の隔離までを自動化するNEC。対応時間を短くすることで被害抑止を図るチャンスを得られる

　SDNの制御下にある全ての物理スイッチに対して制御を行うことから、単体のセキュリティ製品で防御する従来方式に比べて、ネットワークを物理的に変更することなく広い範囲をカバーできるのが特徴だという。

　ヴイエムウェアは、ネットワーク仮想化技術のNSXを活用したソリューションを出展した。NSXは仮想マシンなどに対して仮想スイッチや仮想ファイアウォールなどのネットワーク機能を容易に実装できる。

　仮想サーバや最近では仮想デスクトップの利用が進む企業システムでは、仮想化環境におけるセキュリティリスクの高まりが懸念されている。しかし、物理的なITリソースの多くを使う仮想化環境ではセキュリティ製品による負荷の高まりが敬遠されてきた。NSXは、仮想マシンに負荷をかけることなくセキュリティレベルを高める目的でも開発されたという。

仮想環境でのネットワークセキュリティを強化するVMware NSX技術

　トレンドマイクロは、NSXを利用して同社のセキュリティシステムで仮想マシンのマルウェア感染を検知した際に、自動的に検疫スペースへ隔離させて検査と駆除を行う仕組みを紹介した。ネットワーク仮想化技術の登場で、仮想マシン単位でセキュリティなどを管理するマイクロセクメンテーションという方法が可能になったとしている。

トレンドマイクロはNSXを利用した仮想マシン防御システムを訴求