ハイブリッドワークを支えるシスコシステムズのセキュリティソリューションとして、ここまで安全なリモートアクセスや強固なエンドポイントセキュリティ対策製品を紹介してきました。今回はより多層的な防御を実現する上でも役立つネットワークソリューションとして「Cisco Secure Network Analytics」をご紹介したいと思います。

関連記事はこちら

気づくことが難しい“ネットワークに潜入した脅威”

従来までのセキュリティ対策は、外部から来る脅威を「いかに内部へ侵入させないか」が重要視されてきました。しかしサイバー攻撃が巧妙化した今、全ての脅威を水際で防御することは現実的に困難であるため、侵入した脅威を社内ネットワーク内で検知して封じ込める方法に注目が集まっています。

企業の重要な情報を盗み出す高度標的型攻撃（APT）は、場合によっては数年間にわたり標的の企業に潜伏します。マルウェアは企業内に潜伏しながら、重要な情報にたどり着くまでに社内ネットワーク内にて横移動（ラテラルムーブメント：横断的侵害）を繰り返していくのですが、こうした動きは例えばアンチウイルスやファイアウォールなどの製品では検知ができません。

同様に、従業員の内部不正も検知が難しい脅威です。例えば、日頃から重要な情報を扱う業務をしている従業員が、その情報を盗み出そうとした場合、システムから見ると正当なユーザーが正当な権限で業務を行っているため、不正とは判断するのは困難です。また重要な情報にアクセスできるユーザーになりすました場合も検知は簡単ではありません。

2020年の調査では、ネットワーク内部に潜んだ侵害を検知するまでの業界平均期間は207日、侵害の封じ込めまでにかかる業界平均時間は73日、1件のデータ漏えいにかかる平均コストは386万ドル（日本円で5億円以上）という結果もあります。

ネットワークを可視化し脅威をあぶり出す「NDR」

こうした社内ネットワーク内に潜む脅威や従業員による不正な操作は、ネットワークを可視化することであぶり出すことができます。具体的には、すべての通信を記録して行動を把握しておきます。さらに異常を検知するためにも、「何が普通の状態なのか」を知り、その状態から外れたときに変化を検知してアラートを生成することで、脅威に対して素早く対応できるようになります。

こうした対策を実現できるネットワークソリューションが「NDR：Network Detection and Response」です。エンドポイントデバイス上のログを蓄積して分析した上で、脅威をあぶり出し対応するのがEDRですが、NDRはそのネットワーク版といえるでしょう。ネットワーク全体を可視化することで、ネットワークのどこで何が起きているのかを把握します。

ガートナーでは、こうしたソリューションは以前「Network traffic analysis」と呼称していましたが、2020年にNDRと改称しています。NDRには厳密な定義があるわけではありませんが、ガートナーの説明を大まかに整理すると以下の要件を含むものはNDRといえるでしょう。

・シグネチャベースではない技術（機械学習やその他の分析技術）
・実際のトラフィックフロー（NetFlowなど）の記録を分析してモデル構築
・南北方向の通信に加えて、東西方向の通信も監視
・不審なネットワークとトラフィックの検出に対応するため、自動または手動での応答機能を提供

シスコシステムズが提供する、
「Cisco Secure Network Analytics（旧：Stealthwatch）」は、まさにこのNDR製品の1つとして、ネットワーク内部に潜む脅威の発見・対処を支援します。

シスコシステムズの代表的NDR製品「Secure Network Analytics」

Secure Network Analyticsでは、既存ネットワーク機器やクラウドからエージェント不要でネットワークデータを収集し、分析を行います。その最たる特徴は、高度な脅威分析力です。分析は、ネットワーク内の各アクティビティのふるまいを分析して異常を検知する「ふるまいモデリング」、教師ありと教師なし機械学習の手法を組み合わせ、高度な脅威を高い信頼性で検出する「マルチレイヤ機械学習」が活用されています。

さらにSecure Network Analyticsでは、シスコシステムズが誇るセキュリティ専門家によるセキュリティリサーチチーム「Cisco Talos」による脅威インテリジェンスをもとにした脅威の判定・検出も行うことができます。

Secure Network Analyticsでは、疑わしい振る舞いをするホストや、侵入したマルウェアなどによる偵察行為、エクスプロイト攻撃、C＆Cサーバー通信による遠隔操作、ラテラルムーブメント、機密データのダウンロード、外部への機密データの持ち出し、DDoS攻撃などを検知し、対応することができます。

Secure Cloud Analyticsでは、ネットワークの“普通の状態”を学習しますので、例えば普段と異なる時間帯や曜日にアクセスがあったり、普段はしないような重要情報の大量ダウンロードなどが発生したりすると、異常な状態としてアラートを発出します。これにより内部不正も検知することができます。まずネットワークの可視化を行うことは、セキュリティ対策上とても効果的といえます。

オンプレミスからクラウドまで全方位をカバー

シスコシステムズのNDRソリューション全体としては、オンプレミスに設置する大規模向けのSecure Network Analyticsのほかにも、SaaSで提供され、より規模の小さなネットワークに適した「Secure Cloud Analytics PNM」、パブリックネットワーク向け「Secure Cloud Analytics PCM」が用意されています。これらを組み合わせることで、オンプレミスからクラウドまで、すべてのネットワークにおける検知と対応が可能になります。

こうしたNDRソリューションは、エンドポイントセキュリティ対策を行った上でのさらなる対策としての導入はもちろんのこと、このソリューション単体でもマルウェア侵入検知に役立ちます。例えば教育機関など、デバイスの数が多くエンドポイントでのセキュリティ対策ソフトの導入・管理が難しい場合に、NDR導入は効果を発揮するでしょう。

今回は、ネットワークセキュリティ対策として、Secure NetworkAnalyticsを始めとするNDRソリューションを解説してきました。「Cisco AnyConnect」による安全なリモートアクセス、「Cisco Secure Endpoint」によるエンドポイント対策など組み合わせれば、かなり強固な対策を実現することができます。

なお、ネットワンパートナーズはシスコシステムズとは10年以上の付き合いがあり、導入から運用、保守、サポートに至るまで自信を持ってお手伝いします。安全なハイブリッドワークのために、ぜひシスコシステムズ製品を有効活用いただければと思います。

■ハイブリッドワークを支えるシスコシステムズのセキュリティ製品とは？