なぜ今、Cisco Stealthwatch なのか？

東京オリンピックの開会式まであと450日あまりとなりました。まだまだ先の話だろうなぁと思っていましたがあと1年ちょっとなのですね。これから益々多くの人が来日すると思いますが心配なのは昨今多発しているテロです。テロの一番怖いところは誰が犯人なのか事件が起こるまで分からないことです。実は企業内のネットワークも同じような問題を抱えています。今回はネットワークが抱えるITセキュリティの問題点とその解決策「Cisco Stealthwatch」（シスコ・ステルスウォッチ）についてご説明いたします。

現行犯でないと逮捕できない

いくら入国審査でチェックしたり人が集まる場所で警戒警備をしたりしていても犯人が捕まるのは多くの場合、事件が発生してから（現行犯）です。犯人が事前に捕まらないのは、よほど不審な行動でもしない限り観光客なのかテロリストなのか見分けがつかず人混みに紛れることができるからです。一般的なITセキュリティ対策の中心も、入口（ファイアウォール）とエンドポイント（マルウェア対策ソフト）です。それらでいくらチェック・警戒をしていても既にマルウェアが社内ネットワークに潜入している場合は基本的に無力ということになります。実際に攻撃を受けて被害が発生してから初めてその存在に気づくことになるのです。

セキュリティを守るための「暗号化トラフィック」の増加が解析を難しくしている

それならば全てのトラフィックをシラミ潰しに解析すれば良いのではないか？とお考えの方もいるかもしれません。確かにそれが最良の方法であることには間違いないのですが現実的に難しくなっています。理由としては、「ネットワークの複雑化」、「トラフィックの増加」があります。そして最も深刻な理由は「暗号化されたトラフィックの増加」です。Gartnerの2019年予測では『全トラフィックにおける暗号化されたデータの割合は80%に達する』と予測されています。暗号化されたトラフィックの解析は容易ではありません。その手順は「暗号化されたトラフィックを一旦複合化する」→「解析する」→「再度暗号化する」というプロセスを踏まなければならないのです。社内ネットワークに存在するトラフィックの8割をこのような手法で解析していてはいくら時間があっても足りません。また、日々流れ込んでくる大量のトラフィックに対して同様の解析を実施していてはネットワークの全体的なパフォーマンスを低下させてしまいます。攻撃側は既にこのことをよく理解していて、同じくGartnerの2019年予測では『ネットワーク攻撃において暗号化が使われる割合は70%に達する』と予測されています。本来、セキュリティ強度を高めるために実施しているトラフィックの暗号化が攻撃側の隠れ蓑として利用されてしまい、それがトラフィックの解析を難しくしているのです。

既に情報システム部門はセキュリティアラートに対処しきれていない

もうひとつ衝撃的なデータがあります。「シスコ2018セキュリティ機能ベンチマーク調査」によりますと、複数のITセキュリティ製品を導入して対策をしていても、日々上がってくるセキュリティアラートの44%が解析すらされていません。また解析されていても修復に至らなかったものが約21%もあります。つまり、全セキュリティアラートの約65%は適切な対応をされることなく野放し状態なのです。これでは様々なセキュリティ対策製品を導入して検出率を向上させたとしても、情報システム部門が対応できないアラートが増えるばかりで意味がありません。情報システム部門は既にセキュリティアラートに対応しきれなくなっているのです。

※「シスコ2018セキュリティ機能ベンチマーク調査」および「シスコ2018年次サイバーセキュリティレポート」につきましては、
「5分で分かる橋川ミチノリの業務改善」コラム第20回特別号～シスコ2018年次サイバーセキュリティレポートが警鐘を鳴らす日本企業の課題～
で解説していますので宜しければ併せてお読みください。

Cisco Stealthwatchで暗号化されたトラフィックの解析ができる

この問題を解決するのがCisco Stealthwatchです。 Cisco Stealthwatchは暗号化されたトラフィックを複合化することなく解析することを可能にする、独自の暗号化トラフィック分析（ETA)で、16項目にも及ぶトラフィックデータの要素の解析し、マルウェアを含んだトラフィック特有の異常値や特徴点、矛盾点から不審なトラフィックを検出します。また、前回のコラムでご紹介しましたCisco ISEと連携することにより、これらの情報をユーザー・デバイス情報と結び付けて脅威の封じ込めを実施することも可能です。 ※もちろん暗号化されていないマルウェアにも対応可能です。データ要素16項目のうちの主要な4項目を簡単に説明しますと、

• パケット長とパケット時のシーケンス(SPLT)
  • データの大きさ
  • 受取間隔　など
• バイト分布
  • データの分散具合
• 初期データ パケット(IDP)
  • 送信元のIPアドレス
  • 宛先IPアドレス
  • プロトコルタイプ
• TLS レコード
  • 送信と受取の取り決め（証明書など）

です。このように、暗号化されたままのトラフィックを解析できるのはCisco Stealthwathだけです（2019年4月現在）。

Cisco Stealthwatchで暗号化ポリシーのコンプライアンス強化も可能

Cisco Stealthwatchはマルウェア対策だけでなく、組織内の暗号化ポリシーが順守されているかどうかのチェックにも活用できます。

• ネットワーク内どのくらい暗号化されている/されていないトラフィックがあるのか？
• そのうちポリシー違反しているものはどのくらいあるのか？

これらを常時把握することにより、ネットワーク全体のコンプライアンス強化をし、攻撃側に隙を与えないようにすることができるのです。 Cisco Stealthwatchで対外的にも対内的にも強固なセキュリティ環境を構築していきましょう。Cisco Stealthwatchに関するお問い合わせは下記よりお気軽にお問い合わせください。

Cisco Stealthwatch製品ページ