コンテンツ提供:株式会社ネットワールド
株式会社ネットワールド
マーケティング本部
ソリューションマーケティング部
SDソリューション課
飯沼 愛永 氏
高度化する脅威で従来のセキュリティ対策では限界に
従来のセキュリティ対策では、ネットワーク境界で防御を行い、脅威か否かを判断して侵入を阻止することが主流でした。しかし昨今の攻撃では、境界型防御では対処できない事態が増えてきました。いくつか例を挙げましょう。まずマルウェア感染の横展開、つまり一度従業員の端末にマルウェアが感染すると、社内全体に感染が広がり多大なダメージを受けてしまうことが挙げられます。例えば、誰かが知人を装ったメールの添付ファイルを開いてしまい、遠隔操作型のマルウェアに感染した結果、その他の端末にも感染が広がり、より高い権限を持つ管理者のPCが乗っ取られ、機密情報を抜き取られてしまうと行った事態が想定されます。厄介なのは、ファイルの内容や通信が一見正常に見えても、その中に悪質な挙動が紛れている場合もあることです。既知のシグネチャーでは発見できない、未知の脅威に遭遇する可能性も高まっています。その結果、脆弱性パッチの適用が間に合わず、感染してしまうリスクも高まります。加えて、攻撃者によるログの改ざんや削除の結果、侵入の発見と対処自体が困難になるといったケースもあります。このように、ネットワークの入り口で防御する従来型のセキュリティ対策で、高度な攻撃に対処することは困難になりつつあります。
従来のセキュリティの侵入防止型では止められない
VMware NSXで従来型セキュリティの課題を克服
そこで、境界内部のセキュリティを実現する鍵になるのが、VMware NSXです。VMwareは、NSXを中心に、データセンターからエッジに至るまでのネットワークを、ソフトウェアベースで提供しています。最近ではセキュリティにも注力しており、その中核となるのが、VMware NSX Advanced Threat Preventionです。NSX Advanced Threat Preventionは、機械学習を利用して高度な脅威を特定し、侵入を防止することによって、データセンターのファイアウォールを補完するソリューションです。マイクロセグメンテーション等の手法と、NSX Advanced Threat Preventionのサンドボックス、NDR、IDS/IPSを組み合わせることで、侵入時の被害リスク最小化や、境界内部での侵入防御を実現できます。
VMware NSX で解決!
それでは、NSX Advanced Threat Preventionによるセキュリティの具体的な実現方法について見ていきましょう。
サンドボックスで未知の脅威を隔離して検証
サンドボックスとは、エンドポイントに届いた疑わしいファイルを、隔離された仮想環境に送り、この領域で実行することで危険性を判断する機能です。既知のシグネチャとの比較だけでは検知できないようなマルウェアを、サンドボックスで実行することで、未知の脅威に対処することができます。NSX Advanced Threat Preventionのサンドボックス機能では、疑わしいファイルに対して、まずシグネチャマッピングやレピュテーションチェック、コード解析などで総合的に情報収集します。そしてサンドボックスによる動的解析や、フルシステムエミュレーション等で分析します。その結果を受けて、管理コンソール上から、Cyber Kill Chainで攻撃の構造を把握し、切断することで防御力を高めることが可能です。さらにVMwareのセキュリティ専門家チームであるThreat Analysis Unitが、ファイルハッシュや悪性プログラムなど最新の脅威と攻撃手法を常に把握・分析して製品に反映しているので、より安全性を高めています。
サンドボックスとは?
NSX Advanced Threat Preventionによるサンドボックス
NDRによる悪性トラフィックの可視化
NDR(Network Detection and Response)とは、ネットワーク上のさまざまな情報・ログを収集して分析することで、不審な挙動を検知するソリューションです。NDRにより、社内のネットワーク状況を可視化し、通信の経路やデータ量を把握することができます。そして状況をリアルタイムに把握して、不審な動作をその場で阻止することができます。攻撃者がログの改ざんや削除を試みても、攻撃前の正しいログを取得できるので、迅速に脅威を排除し、感染拡大や情報漏えいといった被害を防ぎます。NSX Advanced Threat PreventionのNDR機能では、一旦トラフィックを、過去のトラフィックからAIが生成したベースラインに通し、シグネチャの検出を行います。ここで疑わしいと判断されたものは、高度な機械学習によるAIで精査されます。具体的には、サンドボックスからのマルウェアの振る舞いや、ネットワークから採取したマルウェア、またドメインに関する深いセキュリティ知見などをAIに学習させているので、過検知や誤検知を排除して、真の悪性トラフィックを抽出することができます。これらの悪性トラフィックを管理画面で確認し、攻撃全体のブループリントを把握することも可能です。SOCを設置している企業であれば、NDRと、VMware Carbon Black CloudなどのEDR、SIEMなどのログを管理分析するソリューションを組み合わせることで、ネットワークとエンドポイントの情報を総合的に検知・分析し、脅威検出やインシデントへのレスポンスを向上することができます。
NDR(Network Detection and Response)とは?
NSX Advanced Threat PreventionによるNDR