標的型攻撃による被害を最小限に抑制し、速やかに安全な状態へ回復 ~セキュリティー機器とSDNの連携により感染端末を即座に隔離する技術を確立~

ニュースリリース/NTTデータ

2014年10月15日

株式会社NTTデータ

株式会社NTTデータは、標的型攻撃マルウエアに感染した端末を検知後、ネットワークをソフトウエアで制御する「SDN注1」技術を用いることで即座に企業ネットワークからその感染端末を隔離する技術を開発しました。

近年、インターネットを介して特定の企業や組織にターゲットを絞った「標的型攻撃」と呼ばれるサイバー攻撃が増加しています。標的型攻撃マルウエアの検知には長時間の監視が必要であり、検知時には感染端末がすでに不正活動を開始しているケースが多くあります。従来、活動を開始しているマルウエアに対し回復措置を行うには、端末からネットワークケーブルを取り除くといった対応をはじめとする人的・物理的作業とそれにかかる時間が必要であり、その間にもマルウエアは不正活動をさらに進め、被害が拡大してしまうという問題がありました。

NTTデータは、検知後いかに速やかに対応をするかという課題に対し、さまざまなネットワーク環境や要望に応じて対応可能な当社のSDNコントローラー「バーチャルネットワークコントローラ®」を用いてネットワークを動的に制御することで、物理的作業を伴うことなく、感染端末を企業ネットワークから即座に隔離する技術を確立しました。これにより、検知から回復までの時間が大幅に短縮され、マルウエアによる被害を最小限に抑えることが可能となります。

今後、NTTデータでは、本技術を活用したソリューションの概念検証を2014年度に実施のうえ、2015年度にソリューション提供を開始する予定です。本ソリューションの提供により、2018年までに20億円の売り上げを目指します。

背景

近年、インターネットを介して特定の企業や組織にターゲットを絞った「標的型攻撃」と呼ばれるサイバー攻撃が増加しています。攻撃者の動機も、愉快性追求や自己知名度向上の目的から、情報窃取・転売など悪質化する傾向にあります。それに伴い、マルウエアを検知されにくくする亜種生成技術も進化しており、既存のシグネチャベース注2の対策では検知されない標的型攻撃マルウエアが多く存在します。そのため、攻撃を未然に防ぐという「防止」を重視する従来の対策では、標的型攻撃への対策としては不十分となり、企業・組織は防止できなかった場合を想定した「検知」・「回復」を含めたセキュリティー対策をとることが求められています。

現状、標的型攻撃マルウエアを検知するためには、社内の端末がインターネット上にある不正なサーバー(マルウエアに指令を送るサーバー)と通信していないか、または不自然な時間帯に社内のファイルサーバーからファイルをコピーしていないか、などの不審な通信ログを監視することにより、感染の可能性がある端末を検知する方法が採られており、その検知には長時間の監視が必要となっています。そのため、マルウエアが検知された時点では、すでに情報窃取などの不正な活動を断続的に行っているケースが多くあります。

従来、すでに活動を開始しているマルウエアに対して回復措置を行うには、端末からネットワークケーブルを取り除く、ファイアウォールを設定変更するなどの人的・物理的作業を伴う初動対応とそれにかかる時間が必要であり、その間にもマルウエアは不正活動をさらに進め、被害が拡大しやすいという問題がありました。

そこでNTTデータでは、いかに迅速な初動対応をとるかという課題を解決するため、標的型攻撃マルウエアに感染した可能性のある端末を検知した場合、当社のSDNコントローラー「バーチャルネットワークコントローラ」を利用してネットワークを動的に制御することにより、感染端末を企業ネットワークから即座に自動隔離する技術を開発しました。これにより、検知から回復までの時間が短縮され、マルウエアによる被害を最小限に抑えることが可能となります。

概要・特長

本技術は、IDS注3、IPS注4、WAF注5等の各種セキュリティー機器の監視情報を基に標的型マルウエア感染端末が検知された場合、当社のSDNコントローラー「バーチャルネットワークコントローラ」を制御し、感染端末を企業ネットワークから即座に隔離し、被害を最小限に抑えるものです。

「防止」を重視した対策から、「検知」・「回復」も含めたトータルな対策を実現

セキュリティー機器とSDNを連携させることで、物理的な作業を伴うことなく、標的型攻撃マルウエア感染端末の通信を即座に遮断し、検知から回復までの時間を短縮します。(図1参照)

【図】

図1:従来の対策と「セキュリティー機器とSDNを連携させた対策」の比較

ポリシーに柔軟に対応した「遮断」・「監視」の組み合わせが可能

標的型攻撃マルウエアの検知をより厳密に行うと誤検知がより多く発生するとともに、検知のためのコストも上昇します。逆に、検知を浅く行うとコストは抑えることができますが、未検知がより多く発生します。

本技術では、SDNの特長を活用し、企業や組織のさまざまなポリシーに応じて、「遮断」・「監視」を組み合わせることが可能です。また、NTTデータがこれまで培った監視ノウハウを基に、検知条件に応じた自動での遮断や、人による目視・判断後の遮断などのカスタマイズもできます。

例えば、端末の通信ログの解析からは不正か正常かを判断できないような不審な通信を行っている場合や、休日や業務時間外にファイルサーバーと通信を行っている場合など、正確に判断するためにはより多くの情報が必要である場合には、その端末の通信のみ「監視」を強化し、その後に不正の証拠を掴んでから「遮断」する、といった二段階の措置とすることも可能です。(図2参照)

【図】

図2:実現例(「監視」・「遮断」の二段階の措置を適用する場合)

社内外通信だけでなく、社内の端末/サーバー間の通信に対してもセキュリティー機器の活用が可能

従来の企業ネットワークにおける各種セキュリティー機器は、関所のように物理的な「点」として社内外通信しか監視対象としておらず、社内の端末/サーバー間の通信(社内通信)は監視対象としていません。また、従来のセキュリティー機器の配置場所は企業ネットワークが集約される部分であるため、社内全体の膨大な通信トラフィックに対する監視が可能な高性能・高価なセキュリティー機器が必要となります。

本技術では、SDNの特長を活用し、不審端末の通信を選択的に収集し、セキュリティー機器の性能に応じた効率的な運用を選択肢として提供することが可能となります。さらに、社内外通信だけでなく、社内通信も選択的に監視可能とし、不正活動を開始したマルウエアが社内ネットワーク内のみで発生させる不正な通信も見逃さずに検知することが可能となります。(図3参照)

【図】

図3:社内通信での活用イメージ

幅広い環境に適用可能

本技術を適用する際に必須となるSDNの実現部分には、NTTデータのSDNコントローラー「バーチャルネットワークコントローラ」を利用しています。本コントローラーは以下の特長を有しているため、オンプレミスのオフィスネットワーク環境から、クラウド上のデータセンターにおける大規模仮想ネットワーク環境まで、企業・組織のさまざまなネットワークに、本技術を活用したソリューションを導入することが可能です。

「バーチャルネットワークコントローラ」の特長

  • OpenFlow注61.0/1.3へ準拠したOpenFlowコントローラー
  • 主要ベンダーのOpenFlow対応スイッチとの接続をサポート
  • ネットワーク機能を開発するためのフレームワークとしても利用可能

今後について

NTTデータは本技術を活用したソリューションの概念検証を2014年度に実施し、2015年度にソリューション提供を開始する予定です。また、本ソリューションの提供により、2018年までに20億円の売り上げを目指します。

注釈

  • 注1SDNとはSoftware-Defined Networkingの略で、ネットワークをソフトウエアで制御する概念です。
  • 注2シグネチャベースとは、既知のマルウエアの特徴を記録したデータファイルを基に、マルウエアか否かを判定する手法の総称です。
  • 注3IDSとはIntrusion Detection Systemの略で、通信の監視によりネットワークへの侵入を検知して管理者に通報するシステムです。
  • 注4IPSとはIntrusion Prevention Systemの略で、攻撃と思われる通信を自動的に遮断する機能をIDSに持たせたシステムです。
  • 注5WAFとはWeb Application Firewallの略で、IDS/IPSが防御対象とするプラットフォーム上で稼動する固有のWebアプリケーションを防御するシステムです。
  • 注6OpenFlowとはOpen Networking Foundationの登録商標で、データプレーン制御のための標準プロトコルです。
  • 「バーチャルネットワークコントローラ」は日本国内における株式会社NTTデータの登録商標です。
  • その他の商品名、会社名、団体名は、各社の商標または登録商標です。

本件に関するお問い合わせ先

報道関係のお問い合わせ先

株式会社NTTデータ
広報部
三宅
TEL:03-5546-8051

製品・サービスに関するお問い合わせ先

本セキュリティー技術について
株式会社NTTデータ
基盤システム事業本部
セキュリティビジネス推進室
セキュリティ技術担当
鴨田、山田、小黒
TEL:050-5546-9012

バーチャルネットワークコントローラについて
株式会社NTTデータ
基盤システム事業本部
システム方式技術事業部
第三技術担当
磯部、水野、前田
TEL:050-5546-2301