原因はネットワーク? セキュリティ装置が期待通りの効果を上げない理由とはIDS/IPSを「宝の持ち腐れ」にしない

さまざまなセキュリティ装置を導入して多層防御を実現しようとしたのに、思うような効果が出ないこともある。その原因はネットワーク構成かもしれない。

2017年09月08日 10時00分 公開
[ITmedia]

 標的型攻撃や身代金要求型マルウェア(ランサムウェア)といったサイバー攻撃の増加を背景に、さまざまなセキュリティ装置を導入して多層防御を実現し、脅威の検知・防御に取り組む企業が増えている。だが、せっかく費用を投じて導入したのにIDS/IPS(不正侵入検知/防御システム)やWebアプリケーションファイアウォール(WAF)、サンドボックスといった装置が脅威を検知できず、防御をすり抜けて感染が発生してしまった、というケースは少なくない。脅威の巧妙化や高度化も原因の1つだろうが、装置に原因があるのだろうか、それともチューニングが足りないのだろうか……と担当者は頭を悩ませることになる。

 原因は意外なところに隠れている場合がある。監視対象であるネットワークパケットの「取りこぼし」だ。トラフィックの監視を行う場合、ネットワーク機器の1つであるスイッチのSPAN(Switched Port Analyzer)ポートを活用してパケットを分岐させ、モニタリングツールに渡す構成を取るケースが一般的だ。しかし、ネットワークトラフィックは増加の一途(いっと)をたどっており、処理能力が追い付かずSPANポートに渡すパケットを取りこぼすケースが起こり得る。取りこぼしたパケットの中にマルウェアや不正アクセスが含まれていると、セキュリティ装置に監視すべき対象が届かないことになる。

 「セキュリティ対策にはセキュリティ装置が必要」なのは当然だ。だが、このような取りこぼしを防ぎ、セキュリティ装置のポテンシャルを最大限に引き出すには、ネットワークインフラをきちんと構築しなければならない。そのコツとは何だろうか。

Copyright © ITmedia, Inc. All Rights Reserved.


提供:イクシアコミュニケーションズ株式会社
アイティメディア営業企画/制作:TechTargetジャパン編集部