【Interop 2015 Vol.52】NEC、SDNの応用としてサイバー攻撃自動防御ソリューションをデモ

　NECは複数のSDN関連ソリューションとして、サイバー攻撃の検知から初動対処までを自動化し、インシデント対応の時間を短くすることでリスクを低減する「サイバー攻撃（標準型攻撃）自動防御ソリューション」のデモを行っていた。

　近年のサイバー攻撃は複雑かつ巧妙化しており、従来のような入口・出口対策だけでなく、内部対策も重要になっている。また各ゾーンに配置するIDSは、検知能力に優れている製品も多いが、遮断機能が装備されていない。そこで次世代セキュリティとSDNを利用し、多層防御と防御の自動化を行うことが、このソリューションの狙いだという。

　具体的な自動防御の流れは、まずトレンドマイクロの「Deep Discovery Inspector」や「Deep Security」によって、ネットワーク上の怪しい振舞いを監視する。Deep Discovery Inspectorは、シグネチャでマルウェアを検知できるホストIDSだ。一方のDeep Securityは、内部端末間の不審な通信を可視化できるネットワークIDSだ。

　もし、これらのIDSがマルウェアの感染や改ざんなどを検知すると、SDN連携アダプタに通知され、そこで適切なセキュリティ対処を判定。その結果をSDNコントローラの「UNIVERGE PF6800」に指示する。それを受けたSDNコントローラは、データプレーン側のスイッチ「UNIVERGE PF5000シリーズ」を制御し、不正なPC端末やサーバなどを隔離したり、遮断するという流れだ。

　また、パロアルトネットワークスの次世代ファイアウォールと連携することも可能だ。感染の疑いのあるグレー状態で、機密情報がある社内サーバなどにアクセスする際には、必ず次世代ファイアウォールに通るように、SDNで通信を捻じ曲げることも可能だ。

　このようにSDN連携アダプタによってsyslog、SNMP（ネットワーク監視プロトコル）などをトリガーにして、さまざまなセキュリティ製品を統合的に管理し、インシデントの検知が行えるようになる。今後の展開としては、複数デバイスで検知した情報を、SIEM製品（Security Information and Event Managemet）のようなセキュリティ統合管理システムと連携させ、相関分析した後に、より適切な制御を行えるようになるという。