LoginSignup
11
11

More than 5 years have passed since last update.

SoftLayerAdvent Calendar 2015Day 17
@t-suzuki

サイバー攻撃には多層防御で対抗!Trend Micro Deep SecurityとSOCの活用

Last updated at Posted at 2015-12-16

このエントリは、SoftLayer Advent Calendar 2015の17日目のエントリーです。
鈴木 智明

【概要】

昨今のセキュリティインシデントを踏まえ、クラウド環境のセキュリティ面も十分な考慮が必要とされています。
ここでは、SoftLayer上のサービスとして組込まれているセキュリティ機能についての課題と今後求められるセキュリティ対策について書きたいと思います。

image

【SoftLayerでのセキュリティサービスの課題】

SoftLayerでサービス提供されているウィルス・マルウェア対策、侵入検知/防御などは下記のような課題があります。

image
【課題】
・Windows Serverのみ提供で、Linux OSにおけるセキュリティ対策がとれない
・VM/ベアメタルともに月額課金モデルのみ提供
・一元管理のソフトウェアが標準バンドルされていない
・FortiGate は機能に制限
・NetScalerのWeb Application Firewallはライセンス次第で提供
・ログ監視やファイルやレジストリの変更監視のニーズに対応できない

【多層防御の必要性】

従来型の対策の限界
従来型の対策とは、アクセス制御やパッチの適用、パスワードポリシーの強化といった予防的な対策になりますが、完璧な予防というのは困難であるという認識が必要です。

今求められる対策
いかに早く「気づき」、被害を最小限に留めるか、といった発見的な対策を強化していくことが強く求められています。
具体的には従来からある予防的な対策に加えて、発見的な対策を組み込み多層的な防御を行うことですが、守るべき情報を定義し、その情報の前に攻撃のプロセスに沿う形で多段に設け予防的な対策、発見的な対策を構築します。
これにより、攻撃者が予防的な対策を突破したとしても、後段の発見的な対策で、検知を行い攻撃を未遂に終わせる、万が一情報が盗まれてしまったとしても、最小限に抑えることが可能になると考えらます。

image

【Trend Micro Deep Securityとは】

サーバ保護に必要なセキュリティ対策のモジュールを1つのエージェントで実現したソフトウェア製品です。

セキュリティ対策のモジュールは下記が利用できます。
※ライセンスにより利用できるセキュリティ対策のモジュールが変わります。

・ウイルス対策(Webレピュテーション機能付)
・侵入検知/防御(ホスト型IDS/IPS)
・ファイアウォール
・ファイルやレジストリなどの変更監視
・セキュリティログ監視

image

SoftLayerではベアメタルサーバ上のVMware ESX上で動作する仮想アプライアンス型保護モジュール Trend Micro Deep Security Virtual Applianceも利用可能。
Deep Security Virtual Applianceを各ESX上にインストールすることで、ハイパーバイザーレベルでのセキュリティ対策を実施することができます。
Virtual Applianceで提供するセキュリティ機能は下記の4つになります。

・ウイルス対策
・侵入検知/防御(IDS/IPS)
・ファイアウォール
・ファイルの変更監視

【Security Operation Centerの必要性】

Deep Securityが持つ複数のセキュリティ対策モジュールを利用して導入できたとしても、その後の運用フェーズが最も重要になります。
そこでの課題として、例えば・・・

・侵入検知/防御
 検出モードで検知されたシグネチャや誤検出で検知されたシグネチャに対して、攻撃の有無や影響度が判断できない。
・ファイル変更監視
 検出されたイベント(ファイルの生成、変更、削除)がシステムの自動処理によるものなのか、攻撃者による意図的なものなのか判断できない。
・セキュリティログ監視
 検出されたイベントが、セキュリティ上問題のあるものなのか判断できない。

image

検出したイベントに対して適切な判断、適切なアクションがなければ、セキュリティインシデントを防ぐことはできません。
また、単一モジュールのイベントを確認するだけでは、実際に発生している攻撃の有無、影響度を判断することはできません。

下記のような専門的なセキュリティ運用が求められています。

・単一イベントを解析するのではなく、各モジュールのログを相関的に分析
・システム環境を把握した上での脆弱性情報、ナレッジベースや
 該当サーバのログとの付合せ、検出イベントからの判断
・セキュリティ専門のアナリストによる高度な対応

【サービスの導入効果】

Security Operation Centerによるマネージドセキュリティサービスを利用することで下記のように従来ユーザ側で行ったいた作業負担の低減と専門スキルが必要な運用負荷を軽減することが可能です。

image

【まとめ】

・多層防御によるセキュリティ対策でリスク低減
 完璧な予防は困難と考え、いかに早く「気づき」て適切な対応を取るかが重要。
・SOC利用による専門家の支援と運用負荷軽減とコスト削減
 セキュリティ運用のアウトソース化により専門家の支援を受けることで、本来注力すべきコアビジネスに専念。

11
11
0

Register as a new user and use Qiita more conveniently

  1. You get articles that match your needs
  2. You can efficiently read back useful information
  3. You can use dark theme
What you can do with signing up
Sign upLogin
11
11