ネットワーク侵入を検出する

学習の目的

この単元を完了すると、次のことができるようになります。

包括的なネットワークセキュリティ監視の重要性を挙げる。
侵入検知および防止方法について説明する。
敵対的テストの重要性を説明する。

包括的なネットワークセキュリティ監視を実装する

王様がお城のベッドで寝ているところを想像してください。王国の周囲には攻め込む機会を窺っている多くの敵がいますが、お城は頑丈な城壁と広い堀で守られているため、王様は安心して眠ることができます。また、お城の正門には見張りを配し、弓使いが正面の壁をパトロールしています。ところがある晩、王様が寝ている間に王子がこっそりとお城の裏口にある小さいドアから抜け出し、橋を渡って隣町の王女に会いに行ったのです。王子は裏口のドアの鍵を開けたままにしたため、その一部始終を見ていた通りすがりの悪人が、こっそりとお城に忍び込んでしまいました。そして、王子が煖炉の上に置いて行った宝飾品を持ち去ったのです。

高い壁と広い堀に囲まれたお城の画像。壁に空いた大きな裂け目から誰かが侵入しようとしている。

このお話は、包括的な監視の重要性を示唆しています。この悪人と同じように、ハッカーも組織のセキュリティチェーンにおいて最も弱いリンクを悪用しようとします。ネットワークを保護するためには、強力な境界防御だけでは不十分です。すべての出入りポイントを監視し、多層防御 (大切なデータや情報を防御するための多層化された一連の防御メカニズム) やネットワーク接続間の監視を採用して、ハッカーが貴重なリソースに侵入して改ざんしたり盗み出したりできないようにすることが重要です。ネットワークセキュリティエンジニアは、監視データを収集して分析し、侵入の形跡があればエスカレーションします。ネットワーク全体を監視しようとしても、大規模な組織では困難です。

エンジニアは、これらの監視を容易にするために、未承認のハードウェアによるネットワークへの接続を検知してアラートを生成する一元化されたテクノロジーツールを使用します。これらのツールはネットワークアクセス制御 (NAC) と呼ばれます。NAC は、接続を ID およびアクセス管理システムと照合することで認証します。そして、一連のパラメーターとポリシーに基づいてアクセスを受け入れるか拒否するかを決定します。たとえば、ゲストが会社のネットワークにログオンしようとすると、NAC は別の登録および認証ポータルにゲストを転送して、会社の最も重要なリソースへの匿名アクセスを防止します。

さらにネットワークセキュリティエンジニアは、ネットワークトラフィックの監視を容易にするために、セキュリティ情報イベント管理 (SIEM) システムも活用します。SIEM は以下の機能を備えています。

複数のソースからの出力を組み合わせてアラートを生成し、ネットワークセキュリティエンジニアの注意を異常なネットワークアクティビティに向けさせます。
侵入検知・防止システム (IDPS と呼ばれます。詳細は後ほど学習します)、ファイアウォール、およびネットワーク上の他のデバイスからのログ (トランザクションやイベントのレコード) を集計します。
インターネットプロトコル (IP) トラフィック (インターネット上のデータフロー) のネットフローの監視や詳細なパケット検査を行いやすいように、データパケットをインターセプトして分析可能にします。
この情報を脅威インテリジェンス (攻撃者と既知の攻撃に関する情報) と組み合わせて、エンジニアがデータを分析して侵入を検知しやすいようにします。
境界だけではなくネットワーク全体に監視を配置して、多層防御を実装できるようにします。

次のセクションでは、これらのツールの 1 つである IDPS について詳しく説明します。

侵入検知および防止を使用する

侵入検知と侵入防止は、別々で実装することも、連携して実装することもできます。どちらも監視機能を提供しますが、ここで違いを確認しておきましょう。

侵入検知システム (IDS) は、ネットワークへのマルウェアの侵入といったインシデントの兆候を監視します。IDS は、ネットワークセキュリティエンジニアに何かがおかしいということをアラートで知らせます。IDS は、ハードウェアとソフトウェアのどちらでも実装できますが、通常は帯域外に配置されます。つまり、IDS はデータパスの外部に存在し、ネットワーク上のすべてのパケットを調査するのではなく、データパケットのコピーを使用して、データをサンプリングすることで侵入を調査します。セキュリティをサッカーなどのスポーツイベントに例えてみましょう。IDS は、脇に立って観客を監視している警備員のようなものです。怪しい人物がイベントに乱入しそうになると、警備員は無線で応援を呼びます。

侵入防止システム (IPS) は、IDS の一歩先を行き、インシデントを検出するだけではなく、インシデントを止めます。データフローに反応して制御するのです。たとえば、IPS が悪意のあるデータパケットを特定した場合は、そのパケットを破棄して、受信者まで届かないようにします。また、ブロックリストに登録されている有害な IP アドレスもブロックします。IPS は通常はファイアウォールの背後に配置され、インライン保護を補完します。

インライン保護とは、デバイスが受け取ったデータパケットが正常であれば目的の宛先に転送し、悪意があれば破棄するという処理です。これは、サッカースタジアムの入口で試合の観戦チケットを確認し、偽造チケットを持っている人は入場させないのと似ています。

ネットワークセキュリティエンジニアは、正当なデータが目的の受信者に届くことを保証しつつ、スループットへの影響も抑えながら、ネットワークを保護するために十分な監視を実行しなければなりません。IPS は疑わしいパケットを予見的に分析してブロックするため、遅延が発生したり、正当なパケットが間違って破棄されたりすることもあります。IDPS を適切に実装するには、セキュリティリスクとビジネスニーズのバランスを取る必要があります。スポーツイベントの警備員がチケットをいちいち確認して入場を許可するのは面倒に見えますが、警備員は、許可された人だけが入場できるようにして、イベントの安全を保障するという重要な役割を担っています。

ネットワークセキュリティエンジニアは、統合脅威管理 (UTM) というテクノロジーも利用します。このテクノロジーは、ファイアウォール (許可されない特定種別のネットワークトラフィックをブロックする機能)、ウイルス対策、IDPS の幅広い機能を統合します。UTM は、データパケットを検査して特定種別のトラフィックをブロックする従来のファイアウォールをもう一歩先に進めています。ファイアウォール、IPS デバイス、ウイルス/マルウェア対策、その他の機能を別々に管理するのではなく、これらを 1 つのセキュリティスタックにまとめた UTM は、特に小規模の組織に適しています。

習得度チェック

では、これまでに学んだ内容を復習しておきましょう。この習得度チェックは簡単な自己診断テストで、採点対象ではありません。左側の機能を右側の対応するカテゴリにドラッグしてください。全項目を結び付けたら、[送信] をクリックして習得度をチェックします。最初からやり直すには [リセット] をクリックします。

次は、敵対的テストが組織のセキュリティ戦略にどのように適合するかについて説明します。

敵対的テストを使用する

通常、ネットワークセキュリティエンジニアはブルーチームに所属します。ブルーチームとは、毎日ネットワークを管理して、アセットとユーザーを保護し、侵入を検知するセキュリティプロフェッショナルの集まりです。これらのプロフェッショナルは毎日ネットワークの安全を守ることに集中していますが、組織では、別のチームを使用して、攻撃者の観点からネットワークのセキュリティをテストする場合があります。これらのチームは、社内で組織されることも、外注されることもあります。提供されるサービスは、侵入テストやレッドチームの編成があります。以下に詳しく説明します。

侵入テストでは、セキュリティプロフェッショナルのチームが、ネットワーク上のシステムが抱えているリスクと脆弱性を特定します。チームは、外部からネットワークを観察し、不正アクセスが可能な脆弱性を見つけて利用して、権限を昇格させて、重要なデータを盗み出します。

通常の侵入テストでは、特定の高価値システムのセキュリティをテストすることに主眼が置かれます。テストの最後では、実行したステップ、利用できた脆弱性、セキュリティ上の弱点、推奨される緩和策やタイムラインを説明したレポートを作成します。ブルーチームは、これらの推奨事項に基づいてシステムのセキュリティを強化し、ネットワーク上の他のシステムにも同様の脆弱性がないかを確認します。

レッドチームが実行するのは侵入テストだけではありません。レッドチームは、全範囲での多層化攻撃を実施し、従来のシステムセキュリティのテストに加えて、組織内のユーザーやプロセスが攻撃に対してどのくらい抵抗できるかを測定します。侵入テストチームは、フィッシングメールを送信したり、一般公開されているシステムをスキャンして重大な脆弱性を探したりするほか、マルウェアに感染させた USB ドライブを受付に渡したり、建物内の保護されていないポートに攻撃用のデバイスを接続したりもします。テストの最後には、技術的な修正に加えて、ポリシーや手順の更新やトレーニングに関する推奨事項などをまとめたテストのサマリーを作成します。

この敵対的テストは、セキュリティを守るための重要なコンポーネントです。脆弱性スキャンなどの機能は、ブルーチームがセキュリティ上の弱点を見つけてパッチを適用するのに役立ちますが、敵対的テストは、外部の観点からシステム、ネットワーク、そして組織のセキュリティを確認します。チームは、テスト前にネットワークやシステムの情報をネットワークセキュリティエンジニアに要求することがあります。また、発見した弱点を修復して、さらなるセキュリティの改善をエンジニアに推奨することもあります。これらのテストは、検証済みのサードパーティによる発見点を裏付けとして、改善の必要性を上層部にアピールし、ソリューション実装への賛同を得るための重要な手段です。

まとめ

侵入を検知するための包括的なセキュリティ監視の重要性と、ネットワークセキュリティエンジニアがこの目標を達成するために使用する一般的なツールについて学習しました。では、検知された侵入に対応する場合に、ネットワークセキュリティエンジニアはどのような責任を負うのでしょうか? それについては、次の単元で説明します。サイバーセキュリティに関する詳しい情報に関心がある方は、Trailhead のサイバーセキュリティの学習ハブを確認してください。