Comments
Description
Transcript
によるビジターアクセスの保護
ホワイトペーパー ネットワーク アクセスコントロール(NAC)技術 によるビジターアクセスの保護 ©2007-2009 ForeScout Technologies Inc. All Rights Reserved. ホワイトペーパー NAC 技術によるビジター アクセスの保護 はじめに 現代企業におけるネットワーク インフラは、ビジネス プロセスおよび労働力の両 要件が進化するにつれ、途方もない課題に直面しています。米国労働統計局による と、就業人口の 7% を上回る数が、独立契約就業者で構成されています。 1 また、 大規模な公営企業では、米国連邦規制 (特に SOX 法) を背景として、会計監査役の 数を急激に増加させています。企業は多数の外部監査役による査察や内部統制の承 認に、平均して 4,888 労働時間を費やしており、この時間の大半は、企業 LAN を使 用する「オンサイト」で過ごされます。 2 このようなビジター数の増加により、彼 らや彼らが使用する不明なデバイスの生産性維持を可能にしながらも、ネットワー クの安全性を確実に維持しようという意識の高まりが生じてきました。 究極の安全策は、外部デバイスによるアクセスをすべて拒否することですが、これ は企業が安全性とビジネスニーズのバランスを強要される現代のビジネス環境にお いて現実的とは言えません。 この数年間、情報システム担当者 やセキュリティ専 門家たちにとっての最善のソリューションは、会議分野に関するビジター ネットワ ークや、ゲスト専用のワイヤレス VLAN を別途ファイアウォール境界の外に構築す ることでした。 このソリューションは部分的な解決策とはなったものの、既に負担 の多い IT スタッフの業務に、さらにもう 1 つのネットワーク管理が追加されてしま います。必要なリソースが入手できない場合、一部の企業ではアクセス制限が行な えないため、ネットワークが悪質な行為の危険性にさらされてきました。たとえば、 契約就業者は会議室で有線 LAN に接続し、ネットワーク検出ツール (NMAP など) を実行することにより、どんなリソースが存在するかを見破ることもできてしまい ます。この情報を武器にこの人物は、情報の盗み出しやネットワーク攻撃を、企業 に知られることなく行うことが可能となります。従って問題は、ネットワークをセ キュリティ リスクにさらすことなく、外部デバイスが生産性を維持するための適切 なアクセスを確保するには、どんな方法がもっとも効果的かということになります。 多数のオンサイト ビジターから、ネットワークの安全性を確実に守るもっとも効果 的な方法は、ネットワーク アクセス制御 (NAC:Network Access Control) 技術の導入 によるものです。最近の Gartner レポートにおいて副社長兼研究員の John Pescatore 氏は、「NAC の実施なくして、非管理下デバイスを重要なビジネス アプリケーショ ンに接続した場合、ネットワーク ダウンタイムや情報漏えいのため、ビジネスは信 じられないほどの混乱に陥るだろう」と伝えています。 3 高度な NAC 技術によって管理者は、企業が所有するリソース (管理下にあるデバイ スなど) と同様の順守事項をこれらマシンに適用することにより、ビジターや彼らが 使用する不明デバイスに許諾するアクセス範囲を規制できます。一部の NAC ソリュ ーションでは、ビジターのデバイスにクライアント/エージェントをロードしないと アクセスできないため、ビジター アクセス制御がまったく実用的でない場合もあり ます。概してこれは致命的な問題で、これら外部リソースの生産性を激しく損ない 1 「Contingent and Alternative Employment Arrangements」 2005 年 2 月、米国労働統計局 「Survey on Sarbanes-Oxley Section 404 Implementation」 2006 年 4 月、Financial Executives International 3 「Findings for Secure Use of Employee Owned-PCs」 2006 年 1 月 20 日、Gartner 2 2 ホワイトペーパー NAC 技術によるビジター アクセスの保護 ます。 ForeScout Technologies の NAC アプライアンス「CounterACT™」は、クライ アント不要のソリューションを提供することにより、この問題を解決します。この ソリューションによって管理者は、ネットワークに接続している未管理システムの 自動検出や、企業のセキュリティ要件に基づいた適切なアクセス許諾が行えるよう になります。 安全なビジター アクセスを実現する ForeScout ソリューション 企業が、既知/未知の両デバイスの接続を安全に行うネットワーク インフラを実現 するには、企業規模の NAC システムを導入する必要があります。より高度な NAC ソリューションでは、従業員やオンサイト ビジター両方への支障を最小限に抑えつ つ、シームレスに制御をネットワークに統合する方法が提供されます。 ForeScout の CounterACT ネットワーク アクセス制御ソリューションでは、自己増殖 型マルウェア (破壊工作ソフト) に対する最高レベルの安全性が維持される一方で、 完全なネットワーク セキュリティ ポリシー施行に対するニーズを満たす、簡単かつ 柔軟性に富んだ技術が提供されます。CounterACT では、企業が管理するデバイス、 あるいはオンサイト ビジターによってもたらされる不明なデバイス、さらには非ユ ーザー ベースのデバイス (プリンタ、FAX、VoIP など) にかかわらず、企業ネット ワーク内のあらゆるデバイスに対して、類を見ない水準のアクセス制御とポリシー が実施できます。これらのアクセス制御は、デバイスからネットワークへの接続方 法 (有線 LAN、VPN、ワイヤレス アクセス ポイント (WAP) など) にかかわらず、こ の一連のデバイスに適用されます。クライアント不要で透明性のある ForeScout のシ ステムは導入とネットワーク ポリシーの施行が容易に行えるため、接続するすべて の要素を事前定義されたセキュリティ ポリシー (ゼロ・デイ自己増殖脅威からの完 全保護を含む) に確実に適合できます。 生産性と安全性の微妙なバランスを保つには、導入可能な各種タイプのセキュリテ ィ ポリシーに対する柔軟性、および違反が発生した際の正しい対処法が NAC ソリ ューションによって提供されることが不可欠です。CounterACT では、あらかじめ具 体的に定義されたポリシー違反に対し、計画的で適切な対処を適用する機能を含め、 さまざまな施行対処が提供されます。 CounterACT のハイライト 接続点(エンドポイントコントロール) - ネットワーク ベースでクライアント不要のソリューション - デスクトップ クライアントやホスト エージェントは基本的に不要。 全デバイスに対するポリシー制御 - 管理下/非管理下/非ユーザー型。 ユーザー エクスペリエンス、現在の構成、ログイン プロセスへの変更不要。 プラグアンドプレイ「仮想ファイアウォール」機能を備え、ややこしい設定 が不要。 インフラ 3 ホワイトペーパー - NAC 技術によるビジター アクセスの保護 既存ネットワーク インフラとのシームレスな統合 - ネットワーク変更は一 切不要。 インライン型デバイスではない (通常はディストリビューション層スイッチ に導入)。 拡張が可能で導入が容易な上、ネットワーク再設計も不要。 ホスト ノードに加え、すべての周辺機器デバイス (プリンター、VoIP、WAP) も処理。 接続後 - 継続的な保護と施行 - 接続後、スケジュールされた定期的間隔あるいは必要 に応じて、すべてのデバイスを監視。 自己増殖型マルウェアの検疫をリアルタイムで実行 - シグネチャや異常検出 に依存しない。ゼロデイ脅威と悪意のある攻撃からのリアルタイムの保護。 ビジター アクセスに関するセキュリティ ポリシーの導入 CounterACT によって管理者は、ネットワーク、重大データ、およびユーザーへの 追加リスクを生み出すことなく、ネットワークへのアクセスをビジターに許可でき るようになります。ビジター アクセスの自動処理に CounterACT を使用すると、ア クセス許諾に必要とされる手動設定変更や、エンドポイント デバイスへのエージェ ント/クライアントのダウンロードに関する潜在的問題への対処に必要とされる手動 設定変更のために、貴重な IT リソースを費やす必要がなくなります。セキュリティ ポリシーはネットワーク管理者によってあらかじめ定義され、企業に特有のアクセ ス要件を満たすべく、柔軟に対応できます。 NAC ソリューションの導入前に必要な最重要決定事項として、ネットワークに参加 するビジターに対し、企業が施行したい実際のセキュリティ ポリシーが挙げられま す。CounterACT では、精密なセキュリティ ポリシーの作成および施行が可能にな るため、あらゆる範囲のポリシーを設定できます。これには以下の項目が含まれま す。 不明なデバイスすべてを、インターネット アクセスのみが可能な別の VLAN に移行。 接続デバイスがネットワーク ビジターとして検出され、接続前に 生産ネットワークから自動的に除外されます。 このデバイスは、他のネット ワーク リソースから隔離されるため、これ以上の精査が行われません。 インターネットやその他リソースへのアクセスに対し、企業の全セキュリテ ィ ポリシーへの準拠を必要とする。 セキュリティ準拠に関してシステム調 査を実施するためのエンド ユーザー許可承諾 (デバイス ログインによる) に 際し、CounterACT では、インターネットやその他リソースへのアクセスを許 可する前に、当該デバイスが適切なポリシー要件に適合するかを確認する調 査を行います。 4 ホワイトペーパー NAC 技術によるビジター アクセスの保護 ネットワーク全体を通じて統一されたアクセス制御を提供。ポリシーが特定 のネットワーク ロケーション (インターネット アクセスのみが備わった会議 室など) に対して構築された場合、CounterACT システムでは、ビジターがこ れら指定エリア外に接続した場合でさえも、このポリシーを確実に施行しま す。 たとえば、ビジターが重役室に入り込んで接続した場合、CounterACT アプライアンスによって当該デバイスがビジターとして検出され、検疫され たVLANへと戻されます。 すべてのゲスト デバイスを完全にブロックし、インターネットやその他リソ ースへのアクセスを一切禁止する。 CounterACT では、企業ディレクトリ構 造 (Active Directory、RADIUS など) の一部として認識されないデバイスがす べて認識され、ネットワークへの当該デバイスのアクセスを直ちにブロック します。 セキュリティ ポリシーは標準的なポリシー テンプレートを使用、またはアクセス ポリシーの作成プロセスを導くシンプルなウィザード形式のGUI を使用してカスタ マイズすることにより、CounterACT で作成できます。この一連のポリシーにより、 CounterACT ではデバイス アクティビティやエンドポイント違反が検出されるよう になります。 これらの条件には、デバイス タイプ、認証、レジストリ値、サービ ス、アプリケーション、サービス パックなど、さまざまな値が含まれます。 適切なポリシーが決定されると CounterACT では、違反についてのリアルタイム措 置に関し、柔軟性に富んだオプションが各種提供されます。 この計画的な対処尺度 は、ハイジャックされた HTTP セッションを通じて配信されるシンプルな通知 (ユー ザーのアクセスを制限するよう、ポリシーのユーザーに通知するダイアログボック スを提供) から、仮想ファイアウォール (ネットからの即時切断を完了すべく、特定 リソースから当該デバイスを遮断する) の導入まで多岐に渡ります。管理者は、発生 するポリシー違反に対して、取るべき対処法をあらかじめ決定できます。 安全なビジター アクセスを実現する - 概要 CounterACT による NAC への独自アプローチでは、自己増殖型マルウェアからネッ トワークを保護することにより、および重大なネットワーク リソースへのアクセス を引き起こす前に、接続デバイスの認証を行う完全な機能を提供することにより、 最大級の安全を確保できます。 ネットワーク ビジターの取り扱いにおいて、注意 を要するもっとも重大な脅威は、ネットワーク運用の生産性に損害を与える、自己 増殖型マルウェアです。 CounterACT は、「難しい追加設定を必要としない」ポリ シーに基づき、高水準の保護機能を提供します。 このアプライアンスが有効にされ ると直ちに、接続デバイス (管理下/非管理下) のすべてに対し、自己増殖型脅威 (高 速で伝播するネットワーク ワームを含む) に関する調査が行われ、悪質なトラフィ ックのすべてがブロック/検疫されます。 CounterACT では、ネットワーク内でマルウェアが増殖する前に、これを特定して 抑制することによって感染攻撃を阻むため、ActiveResponse™ (特許取得済み) 技術 が活用されます。本アプライアンスは、偵察の兆候がないかを確認するため、保護 5 ホワイトペーパー NAC 技術によるビジター アクセスの保護 対象のネットワークに向けられたトラフィックを監視し、使用されている技術 (ポー トやNetBIOS スキャンなど) を特定します。このアクティビティに応えて CounterACT では、マルウェア プログラムによって求められる仮想リソースが生成 され、その情報をこれらに送り返します。 悪質な攻撃者が保護ネットワークにアク セスしようとすると、CounterACT では直ちにそれが認識され、目標とされるロケー ションとの通信確立が阻止されます。 自己増殖型コードの脅威を調査する場合、CounterACT では、接続を試みているデ バイスが既知/管理下のリソース、あるいは不明な/非管理下のリソースのいずれであ るかの判断を集中的に行います。これは、ディレクトリ構造に保存された情報 (すな わち、Active Directory 内の MAC アドレス) の比較によって実行、または成功したド メインやサービス認証行為を検証することによって実行されます。 デバイスがネッ トワークへのビジターであると判断された場合、CounterACT では、事前定義された 適切なアクションがデバイスに適用されます。 NAC システムを使用したビジター アクセス処理には、基本的なオプションが 2 つ あります。これらのオプションでは、ネットワークにおける完全な保護やデバイス に対する制御を実現しつつ、適切なレベルのネットワーク アクセスが提供されます。 1 つ目のオプションでは、デバイスを検疫することにより、当該デバイスを不明・ 非管理のまま残せます。 当該デバイスは、この検疫された VLAN からインターネ ットにアクセスできますが、生産ネットワークからは完全に分離されたままとなり ます。 2 つ目のオプションではデバイスの認証が試みられ、その結果、適切なアクセス許 諾を含め、当該デバイスが既知で管理下にあるデバイスと同様に扱われることを許 可します。 このオプションではエンド ユーザーに対し、NAC システムによる調査 (当該デバイスがセキュリティに準拠しているかの調査) への許可が求められます。 ユーザーは許可を与える場合、自分のデバイスに再ログインするだけで、調査を開 始するための適切なアクセス資格を CounterACT に与えることとなります。 ビジターが調査への許可を与えない場合、あるいは自分のマシンに対して管理者権 限を持たない場合は、アクセス制限の実施や、事前定義されたポリシーに応じてブ ロックされる可能性もあります。 通常この場合は、オプション 1 と同様に、検疫さ れた VLAN に当該デバイスが移動されます。 6 ホワイトペーパー NAC 技術によるビジター アクセスの保護 オプション 1 修復 データベース ビジ ター アクセス 層 スイッ チ ディス トリ ビュ ーション層 ス イッ チ 検疫 インターネッ ト オプション 2 修復 ビジ ター アクセス 層 スイッ チ データベース ディス トリ ビュ ーション層 ス イッ チ 検疫 インターネッ ト オプション 1:非管理下のデバイスを不明のまま残し、限定的なアクセスを許諾す る 企業ネットワークにわたる NAC の初期展開に際し、ビジター用に最初に導入され る標準的セキュリティ ポリシーは、デバイスを不明/非管理下のまま残すことを許可 してそのアクセスを制限し、その潜在的挙動からネットワークを保護するためにあ ります。このポリシーでは、デバイスがセキュリティ ポリシーに準拠していること 7 ホワイトペーパー NAC 技術によるビジター アクセスの保護 を必要とせず、また、セッション中に CounterACT がその準拠ステータスを管理す る必要もありません。 1. 不明なデバイスを自動的に認識する。CounterACT では、不明なデバイスが ネットワークに接続しようとすると、その接続方法 (WAP や 有線 LAN など) にかかわらず、自動的に認識されます。 2. 不明なデバイスを別の VLAN に移行する。 ForeScout が提供する多数のス イッチ統合を使用し、CounterACT では、特定のデバイスを検疫し、それを指 定された VLAN に割り当てることができます。このVLAN は企業ネットワー クの残り部分から検疫することが可能で、管理者による事前定義に従い、適 切なアクセスが与えられます。多くの場合、これはインターネット アクセス のみとなります。 3. 自己増殖型マルウェアからネットワークを守る。 デバイスが非管理下のま ま残されたとしても、CounterACT では、このデバイスによって生じる可能性 のある「ゼロ・デイ」攻撃を含め、あらゆる自己増殖型マルウェアからネッ トワークが継続して保護されます。これにより管理者は、重大データの保護 だけでなく、ネットワーク稼動時間やビジネス継続性が不明なデバイスに起 因する危険にさらされることもないと確信できます。 オプション 2:非管理下デバイスが認証を得て、適切なアクセス権を取得 管理者は企業のポリシーに応じ、インターネットやその他重大なリソースへのアク セス権を得るために、非管理下のデバイスに認証を得るよう要求するオプションを 選択できます。適切なポリシーと施行が配備されると、CounterACT では事前定義さ れた規則に基づいて、最小限の途絶で全ビジターが自動的に処理され、不明デバイ スが接続している間も継続してネットワークを保護するため、複数のプロセス ステ ップでデバイスが迅速に処理されます。 1. レジストリ スキャンに対する許可を要請する。接続しようとする際、 CounterACT ではエンドポイントの詳細な調査やホスト プロパティ スキャン を実行するための許可付与をビジターに要請する、ダイアログ ウィンドウが 自動的に開かれます。他の NAC ソリューションとは異なり、エージェントや クライアント構造 (Active X を含む) がエンドポイントにダウンロードされる ことはありません。 エンドユーザーは、自己のデバイスへ再ログインするこ とにより、このアクセスを許可します。 2. 不明なエンドポイントに関する詳細な調査を実施する。 承認を受けると CounterACT では、ステータスと企業セキュリティ ポリシーへの準拠を確認 するため、エンドポイントの詳細な調査、あるいはホスト プロパティ スキャ ンを実施できます。この間 CounterACT では、接続されたデバイスからかな りの量のデータが集められます。 この情報は、悪質なアクティビティが起こ った場合に監査の手がかりや犯罪科学レポートを提供する、検索ベースのデ ータベースを備える Network Information Portal™ のビルドに保存されます。 8 ホワイトペーパー NAC 技術によるビジター アクセスの保護 ビジター デバイスの接続後に悪意のある脅威が検出された場合、CounterACT によって感染部が遮断され、影響を受けたデバイス、および CounterACT の 対応によって遂行された修復項目から成る完全なセキュリティ スナップショ ットが提供されます。 3. ポリシー違反の対処と修正。調査が完了すると CounterACT では、準拠し たデバイスへのアクセス許諾、または最高水準のネットワーク セキュリティ を確保するため、適切な対処手順が取られます。 CounterACT は、支障を最 小限に抑えつつ最大限の生産性を実現する、一連の施行オプションを備えた 数少ない NAC ソリューションの 1 つです。ネットワーク アクセス ポリシー がオン/オフ対処に限定される場合、ユーザーの生産性に重大な影響を与えず に施行できるのは、非常に重大な違反のみになります。以下の図表は、 CounterACT によって使用できる一連の施行対処を明らかにしたものです。 これは、包括的なアクセス制御ソリューションを提供する、ネットワーク ビ ジター処理の機能を超えて拡大します。 柔軟性に富んだ自動対処により、すべてのポリ シー違反に適切に対応 警告 不 良 チケットの オー プ ン 電 子メール送信 ト ラ ップ の作成 通知 ポ リ シー違反の ユ ーザーに通知 す る ための HTTPハ イ ジ ャッ ク 監 査 可 能な エ ン ドユーザー 承認 Syslog 修 復 の 指示 アク セス 制限 ネットワーク ACLの更新 移動 無効化 仮 想 ファ イア ウ ォ ール ア クセスリスト の設定: デ バイ スの 移動: 物 理 スイ ッチ ポ ー トの停止 隔離 VLAN スイ ッチ パ ブ リック VLANか ら 802.1x ア クセス ブ ロ ック プ ラ グ&プレイ ル ー ター イ ン フラ統合の 必 要 なし ファ イア ウ ォ ール 安 全 /隔 離され たVLANへ ロ グインを阻止 す る ためユー ザ ー資格を変更 警告: CounterACT は、不明のデバイスの特定のポリシー違反について、 適切なネットワーク管理者に警告します。 これは、SNMP トラップ、 Syslog エクスポート、不良チケットを自動的に開く不良チケット発行 システムとの API レベル統合、電子メール、ポケベル通知によって実 行されます。 連絡/通知: CounterACT は、セキュリティポリシーに違反している訪問 者に連絡します。 アプライアンスはHTTP セッションをハイジャック し、ユーザーに対して、会社のどのポリシーに違反しているかを説明 するダイアログボックスを提示します。ビジターは自己修復の選択が 可能、あるいはネットワークへの許可を受けるためにネットワーク管 理者への連絡を指示される場合もあります。 9 ホワイトペーパー NAC 技術によるビジター アクセスの保護 ネットワーク アクセスの制限:CounterACT の重要な特色は、重大な ネットワーク リソースを不正なアクセスから保護すし、脆弱なシステ ムを脅威 (不明なデバイスを含む) から保護する、プラグ&プレイ仮想 ファイアウォール提供機能にあります。 ネットワーク ACL の更新:ForeScout では、ネットワーク API レベル のデバイス プラグイン カタログを開発することにより、ネットワーク 要素 (スイッチ、ルーター、ファイアウォールなど) との通信を実現し ています。この応答は、次に、ネットワークポリシーに準拠していな い訪問者のデバイスへのアクセスを拒否するために使用され、インフ ラレベルでこのデバイスの接続を実質的にブロックします。 移動: 制限されたネットワークアクセスに説明した機能と同じように、 CounterACT は、ネットワークポリシー強制に柔軟性持たせています。 一連の対処により、ネットワーク管理者はネットワーク内の特定領域 にどのデバイスがアクセスできるかを制御できます。この機能性の一 部には、接続中デバイスや接続済みデバイスを、パブリック、制限付 き、検疫された VLAN の間で移動できる機能が含まれています。 無効にする: もっとも明確な強制は、ネットワークセキュリティポリシ ーに準拠しないデバイスのネットワークへのアクセスを拒否すること です。 CounterACTは、自身のブロックメカニズムを使ってこれを行 うか、ネットワークエレメントと共同して接続を切断できます。 スイ ッチインテグレーションでは、デバイスが接続しようとしているポー トをオフにします。 「仮想ファイアウォール」機能は、すべての CounterACT アプライアンスに組み込まれています。 4. ビジター デバイスの継続的監視。ネットワークへの接続に成功すると、 CounterACT では初期調査フェーズの後、エンドポイントの再チェックが自動 的に行われます。 接続されたデバイスの再チェックに関するデフォルト設定 は 10 分ごとですが、管理者/ネットワーク要件に基づいてカスタマイズでき ます。 すべての調査の間、CounterACT ではデバイスがセキュリティ ポリシ ーに準拠していることが保証されます。また、当該デバイスやネットワーク 上のその他デバイスから増殖する恐れのある任意の自己増殖型マルウェア (「ゼロ・デイ」攻撃を含む) からネットワークを確実に保護するため、 CounterACT ではリアルタイム脅威抑止技術が引き続き使用されます。 結論 オンサイト ビジター数の急速な増加に伴って企業ネットワークが進化し続けるにつ れ、展開の容易さ、費用効率の高さ、柔軟なアクセス制御セキュリティ システムへ の要求は高まるばかりです。 ForeScout では、ポリシー施行と脅威抑止ビルトイン エンジンによって、重大なリソースについて最大限の安全性を提供するネットワー ク アクセス制御ソリューションを実現すると同時に、貴重なオンサイト契約就業者、 監査人、その他ビジターが最高の生産性を得られるよう保証します。CounterACT と 10 ホワイトペーパー NAC 技術によるビジター アクセスの保護 適切な水準のセキュリティポリシーを導入することにより、ビジターや彼らが使用 する不明デバイスのアクセスに対してほとんど心配することなく、企業は自社ネッ トワークを自動的に保護できるのです。 ForeScout Technologies Japan 〒158-0097 東京都世田谷区用賀2-39-11 用賀STビル3F [email protected] www.forescout.jp 11