Comments
Transcript
熊本大学学術リポジトリ Kumamoto University Repository System
熊本大学学術リポジトリ Kumamoto University Repository System Title J-PARCセンター基幹LANにおけるセキュリティ対策につい て Author(s) 石川, 弘之 Citation Issue date 2011-03-17 Type Presentation URL http://hdl.handle.net/2298/23546 Right J-PARC センター基幹 LAN におけるセキュリティ対策について 石川 弘之*1 日本原子力研究開発機構 J-P ARC センター 概要 J-PARC センターでは、イントラネット(JPARC センター基幹 LAN)のセキュリティ対策のため、対策目的毎に各種機器 を導入し運用している。本稿では、これらの機器を用いた同基幹 LAN の情報セキュリティ対策への取組みと、中でも、 F/W における通信記録(ログ)を活用した情報セキュリティ対策の高度化利用(運用)を報告する。 1. はじめに J-PARC は、核破砕反応により生成される多様な2次粒子を用いて、広範な領域の科学・技術の研究を進める施設であ る。 この施設における J-PARC 施設利用者(利用者)の利便性向上を図るため、情報インフラとして J-PARC センター基幹 LAN(以下、JLAN と略す)を運用している。 日々運用の中で実施しているセキュリティ対策の取組みや工夫について報告するとともに、収集されるデータ(F/W ロ グ)を有効活用したセキュリティ対策用支援ツールの整備、さらにこれらのツールを用いながら我々が実践しているセキ ュリティ事象の検知するため事例を報告する。 2. セキュリティ対策における全体的な工夫 表-1. JLAN におけるセキュリティ機器用途 2.1 セキュリティ事象の局所化 JLAN におけるセキュリティ対策は、ネット 分類 用途 ワーク及び利用者機器双方の用途に合わせキ ・Internet~JLAN 間通信のスクリーニング (F/W ) ュリティ対策を講じている。(表-1.) ・アタック、挙動不審通信及び侵入検知 (IDS ) これによ り、セキュリティ維持を保つとともに、万一セ ネットワーク ・ウィルス検知及び駆除 (IPS) キュリティ事象が発生した時に、影響範囲を局 ・JLAN 間通信のスクリーニング (S W の ACL) 所化できるようにしている。 ・不正接続機器の検知及び JLAN からの隔離(動的 VLAN) 2.2 セキュリティ機器の配置 利用者機器 ・ウィルス検知及び駆除 (AntiV irus ソフト) ・主要サーバ向けのセキュリティ・脆弱性検査 JLAN は利用者機器の用途に合わせ、外部公 Internet 器を設置する Intra のセグメントに大別してい る。この2つのセグメントの通信(Internet~ F/W DMZ, Internet~Intra, DMZ~Intra)に、同じセキ IDS ュリティ対策を施すことができるように、タグ VLAN 及びトランスペアレントモードによる IDS, IPS 構成を組んでいる。これにより、複数 ポイントの監視を1台の IDS,IPS 機器で実現 している。(図 1.) 論理構成 物理構成 開サーバを設置する DMZ、外部公開不要な機 Internet F/W IPS IPS Intra DMZ IDS Intra F/W : FireWall IDS : Intrusion Detection System IPS : Intrusion Prevention System 図 1. JLAN におけるセキュリティ機器構成 IDS IPS DMZ 2.3 その他のセキュリティ対策 JLAN 利用者機器へのアンチウィルスソフトウェアの導入、JLAN 上でのアクセス制御の適用や Web サーバを保護する ために WAF(Web Application F/W)を導入するなどのセキュリティ強化も図っている。 また、DMZ に設置した全サーバ及び共用性の高いサーバについては、セキィリティ維持のため毎週強制的にセキュリ ティ脆弱性検査を実施しセキュリティホール有無の確認を行っている。 3. F /W ログ解析システムに対するセキュリティ対策への工夫 3.1 これまで抱えてきた課題 セキュリティ対策は、未然防止及びセキュリティ事象発生時に如何に早く対応するかが鍵となる。 セキュリティ用途向けに設計・開発されているアプライアンスサーバを用いることで、比較的容易に外部/内部からの クラッキングに対し予防、監視が可能である。 しかし、手軽さゆえに考慮しなければならない点もある。 例えば、セキュリティ機器のログ領域は一般に大きくない ため通信ログが短時間で上書きされてしまう。アプライアンスサーバでは、格納データを効率よく処理を行うため DB 化 や加工していることが多く、データも非公開となっていることが多い。このため、アプライアンスサーバ内に格納されて いるデータを活用することができないことが多い。 3.2 最初の取組み 3.1 項に挙げた課題への最初の取組みとして、 F/W Syslog 転送 セキュリティ機器の要である F/W に対して、管 理・監視用アプライアンスサーバとは別に、長 ログ検索 F/W ログ F/W ログ解析プログラム 期間通信ログの格納が行える「F/W ログ解析シ 蓄積 DB ステム」を構築した。(図 2. 水色箇所) 集計 A 集計 B … この結果、1年間程度の通信ログに対して検 再集計ツール 索及び統計情報を収集することができるように なり、短時間で通信ログが上書きされてしまい 統計情報表示 統計データ 欲しい情報が得られない課題を克服することが できた。 データの可視化 図 2. F/W ログ解析システム 初期リリースの「F/W ログ解析システム」提供機能 a. 通信ログを元に方向別及び通信結果(Permit/Deny)毎に分類しデータを蓄積 DB に格納する機能 b. 単位時間毎に通信量や通信用途毎に集計する機能 c. a ,b に対する検索機能 3.3 機能拡張 「F/W ログ解析システム」を単純な通信ログ記録/検索用途ではなく、さらに再集計することで、記録されたデータから 隠れた情報を抽出できるようにした。(図 2.) 以下、2 事例を示す。 1)Internet からの不正アタック状況の動画化 地域インターネットレジストリ(Regional Internet Registry)にて公開されている情報とそのフォーマット[1]を元に、通信 ログの送信元 IP アドレスがどの国に属しているかを分類することで、国別のアクセス統計を取るようになった。 ここれ得られた国別アクセス統計情報から、15 分毎の Internet → JLAN(DMZ) への国別不正アタック元分布を 3 分程 度の動画化することで、時系列の不正アタック推移を可視化することができた。 2)Push 型による JLAN 運用管理者への通知 セキュリティ事象の早期検知には、「F/W ログ解析シス テム」の単位時間(15 分)毎に実行される集計機能を活用し 集計 X ている。 特定の 1 ホストや特定の 1 サービスの通信ログ メール通知 が大量に記録(ex. 9000 件/15 分)された場合、アラートを発 検知プログラム するようにし、アラートメールや警告灯により JLAN 運用 JLAN 運用管理者 管理者に対して通知を行っている。(図 3.) 検知履歴 通信ログ表示 また、通知を受取った JLAN 運用管理者は、検知したア 蓄積 DB ラートの通信が具体的にどうだったのかをメール中に埋 め込んだ URL から通信ログを参照できるようにしている。 図 3. Push 型による通知 3.4 新たな課題と対応 表 3. 「F/W ログ解析システム」マシンスペック J-P ARC 施設の供用開始に伴い JLAN 利用者が増加し たことで、H21 年度には、1日当たり F/W 通信ログ量は 約 350~400 万件(約 2.0GB)に達している。 本システムおけるレスポンス時間は、 DB 検索時間 + ブラウザ表示時間 で表される。 DB 版 順編成ファイル版 CPU Intel Xeon 3460 MEM 16GB OS RHEL 5.5 (64bit) RHEL 4 ES (32bit) 蓄積 DB メモリ上に格納 HDD 上に格納 初期リリース版は、蓄積 DB が順編成ファイルで作成 2.8GHz Intel Xeon51 10 1. 60GHz 8GB 表 4. DB 検索時間測定結果例 されていることにより、全レコードを読込む必要がある。 順編成ファイル版 DB 版 性能比 このため、順編成ファイル版の検索では2分以上かか 195s 1.25s 156 っていた。DB 版では、マシンスペックの向上(表 3.)、 DB(MySQL)によるインデックス検索に加え、蓄積 DB の メモリ格納(RAM ディスク)により DB 検索時間の高速化 表 5. 5万件データのブラウザ表示時間測定結果例 ブラウザ 未使用 を図った。これにより、DB 版では、1.25s と約 150 倍高 FireFox 3.6 速化することができた。 一方、ブラウザ表示時間は、抽出データ(DB 検索結果) を HTML 化してサーバから JLAN 運用管理者 PC へ転送 modpagespeed 性能比 使用 292s 33s 8.85 Internet Explorer 8 27s 30s 0.90 Google Chrome 8 25s 26s 0.96 されブサウザに表示されるまでの時間となるが、ブラウザ種類に依存するところが大きく、IE や FireFox では Google Chrome と比べると 10 倍以上遅い。(表 5.) この遅さを改善するため、Google 社が公開している Web ページの読込みを 高速化する Apache HTTP サーバモジュール modpagespeeed[3]を使用した。これにより、FireFox では約9倍の性能改善を 図ることができた。 3.5 統計データの新たな活用 amChart ツール[3]を用いて、統計情報を効果的に可 視化する試みをしている。 am Chart は adobe 社 flash 形式で作成されるグラフ作成・表示ツールであり、ビ ジュアル的な表現が可能である。 am Chart による新た 「F/W ログ解析システム」 検索結果 図 4. amChart による可視化 amChart なデータ抽出はないが、見る側に対し直感的にアピールできるため、順次 amChart による表示化も進めている。(図 4.) 4. 「F/W ログ解析システム」への考慮 1) 補完ツールを活用した機能分散 通信ログから得られない情報、または他ツール用いることが効率よく情報を収集できることもある。たとえば、ネット ワーク上の通信流量であれば MRTG[4]、さらにサービス毎の通信流量が必要であれば ntop[5]を用いることにより、情報 収集及びビジュアル表示が可能である。DB 版「F/W ログ解析システム」を開発するにあたり、通信流量については MRTG, ntop を用いたシステムに委ね、同システムのリソース負荷がかからないように考慮している。 2) システムの継続利用 F/W の通信ログは記録する項目(日時、送信元/送信先 IP アドレス、同ポート番号等)は、どのメーカの製品であって もほぼ同じである。しかし、通信ログのフォーマットはメーカ毎に異なる。このため、F/W 更新後、現在使用している「F/W ログ解析システム」が利用できなくては困る。通信ログのレコードを読み DB(MySQL)に登録するプログラム部分を部品 化している。F/W を変更しても、部品化したプログラム部分を改修するだけで、引続き「F/W ログ解析システム」を利 用できるようにしている。 5. まとめ 今回の対策は、F/W の通信ログを単なる通過及び遮断の記録として捉えるのでなく、データの集計や加工を行い、ログ 内に隠れている有用な情報を抽出(マイニング)し「見える化」することで、セキュリティ対策に役立てることを主眼に 置いた。さらに抽出した情報を効果的に図形加工することで、情報の価値を高めている。 ただし、今回使用した源泉情報は F/W の通信ログであり、そこから抽出できる情報には限りがあること、かつ万能で ないことを認識しておかなければならない。 JLAN では、F/W 以外のセキュリティ機器においても目的に合わせた通信 ログを取得している。今後は、これら複数のセキュリティ機器のログ情報の相関を見ることにより、有用情報を抽出し可 視化することを計画している。 参考文献 [1] RIR statistics exchange format: http:/ /www.apnic.net/publications/media-library/documents/resource-guidelines/rir-statistics-exchange-format [2] modpagespeed: http://code.google.com/p/modpagespeed/ [3]amChart: http://www .amcharts.com/ [4]MRTG: http://oss.oet iker.ch/mrtg/ [5]ntop: *1 http://www.ntop.org/ 富士通株式会社より日本原子力研究開発機構に出向中