セキュア データ セン ター エン タープ ラ イズ：

Threat Management with NextGen IPS設計ガイ ド：最終更新日：2015 年 5 月 1 日

著者について

Tom Hogue

Mike Storm

Bart McGlothin

2

Matt Kaneko

著者について

Tom Hogue シスコ セキュ リ テ ィ ビジネス グループ セキュ リ テ ィ ソ リ ューシ ョ ン マ

ネージャ

Tom は、シスコおよびこの業界の前職で培った 20 年以上に及ぶ統合ソ リ ューシ ョ ン開発

経験を活かし、現在シスコでデータセン ター セキュ リ テ ィ ソ リ ューシ ョ ン マネージャ を

務めています。Tom はこれまでに、FlexPods、Vblock、セキュア マルチテナン ト など、業界

を リード するデータ セン ター ソ リ ューシ ョ ンの開発を先導し てきま した。現在の職務にお

いて、Tom はセキュア データセン ター エン タープラ イズ ソ リ ューシ ョ ン ポー ト フ ォ リオ

におけるソ リ ューシ ョ ン開発を指揮し ています。また、Tom は『Single Site Clustering with

TrustSec Cisco Validated Design Guide』の共同執筆者の 1 人でもあり ます。

Mike Storm Sr. シスコ セキュ リ テ ィ ビジネス グループ テ クニカル エンジニア リ ング

リーダー CCIE Security #13847

Mike は、競争力のあるアーキテ クチャの開発と情報分析のために、シスコでグローバル

セキュ リ テ ィ コ ミ ュニテ ィ を運営し ています。Mike の専門分野の 1 つはデータ セン ター

におけるセキュ リ テ ィ です。Mike は企業組織向けに、次世代のセキュ リ テ ィ サービスに

データ セン ターおよび仮想化テ ク ノ ロジーを緊密に統合させるアーキテ クチャ を開発し

ています。Mike は企業コ ンサルタ ン ト あるいはテ クニカル ラ イ ターと し てネ ッ ト ワーキ

ングおよびサイバー セキュ リ テ ィ 業界で 20 年以上に及ぶ経験を積んでお り、これらの ト

ピ ッ クに関する専門家と し て講演も行っています。また、Mike は、『Secure Data Center

Design Field Guide』など、これらの分野に関する複数の文献を執筆し ています。また、

『Single Site Clustering with TrustSec Cisco Validated Design Guide』の共同執筆者でも

あ り ます。

Bart McGlothin シスコ セキュ リ テ ィ ビジネス グループ セキュ リ テ ィ システム アーキ

テ ク ト

Bart は、シスコのセキュ リ テ ィ ソ リ ューシ ョ ン アーキテ ク ト で、15 年以上にわた り業界

ソ リ ューシ ョ ンに携わってきま し た。Bart は National Retail Federation の Association

for Retail Technology Standards Committee におけるシスコのリーダーです。シスコ入

社前 Bart は、Safeway, Inc でネ ッ ト ワーク アーキテ ク ト と し て勤務し ていま し た。

Matt Kaneko シス コ セキュ リ テ ィ ビジネス グループ セキュ リ テ ィ システム アーキ

テ ク ト

Matt Kaneko は、セキュ ア データ セン タ ー ソ リ ューシ ョ ン チームのソ リ ューシ ョ ン テ

ク ニカル リ ーダーです。この職務において Matt と チームは、お客様からのフ ィ ー ド

バ ッ ク を取り入れつつ、さ まざまなビジネス グループの製品マーケテ ィ ング チームと

緊密に連携し て、ソ リ ューシ ョ ン アーキテ ク チ ャ を開発し ています。この職務に就 く 前

Matt は、シス コの各種セキュ リ テ ィ 製品ラ イ ン（Cisco ASA Next Generation

Firewall、Cisco Intrusion Protection System、Cisco AnyConnect、および関連する管

理製品ラ イ ンなど）のテ ク ニ カル マーケテ ィ ング マネージ ャ を務めていま し た。

セキュ

目 次

概要 5このド キュ メ ン ト の目的 5対象読者 6

セキュア データ セン ター エン タープ ラ イズ ソ リ ューシ ョ ンの概要 6エグゼク テ ィ ブ サマ リー 6

ソ リ ューシ ョ ン設計の概要 7Threat Management with NextGen IPS 7

DC に影響するサイバー脅威 8攻撃チ ェーン 10セキュ リ テ ィ 侵害の指標 12脅威をめぐ る環境の変化 13統合脅威対策を活用し たセキュ リ テ ィ モデル 14

脅威管理システムの機能 16脅威の抑制および修復 18アクセス コ ン ト ロールおよびセグ メ ンテーシ ョ ン 18アイデンテ ィ テ ィ 管理 18アプ リ ケーシ ョ ンの可視性 18ロギングおよび ト レーサビ リ テ ィ の管理 18統合脅威対策導入のための戦略的な必須条件 19

脅威管理の有効化テ ク ノ ロジー 21レ ト ロスペクテ ィ ブ セキュ リ テ ィ ： イベン ト の境界を越えて 21レ ト ロスペクシ ョ ンの主要テ ク ノ ロジー ： ト ラジ ェ ク ト リー 22ネ ッ ト ワーク フ ァ イルおよびデバイスの ト ラジ ェ ク ト リー 23

全行程における脅威管理 33検証済みコ ンポーネン ト 35

Threat Management with NextGen IPS の設計上の考慮事項 35FirePOWER アプ ラ イアンス と管理プ ラ ッ ト フ ォームの統合 35

プ ラ ッ ト フ ォームの管理 ： FireSIGHT Management Center 35冗長化された FireSIGHT Management Center の使用 36ラ イセンスの考慮事項 38NextGen IPS フ ァ ブ リ ッ クの統合 39Threat Management with NextGen IPS の設計上の考慮事項 41

3ア データ セン ター エン タープ ラ イズ：NextGen IPS を使用し た脅威管理

セキュ

脅威管理システムの機能 ： 設計上の考慮事項 60脅威の抑制および修復 60アクセス コ ン ト ロールおよびセグ メ ンテーシ ョ ン 66アイデンテ ィ テ ィ 管理 68アプ リ ケーシ ョ ンの可視性およびコ ン ト ロール 69ロギングおよび ト レーサビ リ テ ィ の管理 73

検証結果 75

サマ リー 75

参照 76

4ア データ セン ター エン タープ ラ イズ：NextGen IPS を使用し た脅威管理

概要

このド キュ メ ン ト の目的

シ ス コ セキ ュ ア データ セン ター エン タープ ラ イ ズは ソ リ ューシ ョ ン ポー ト フ ォ リ オです。今

日の高度化し たセキ ュ リ テ ィ の脅威に対し て利用可能な 大限の保護を実現しつつ、データ セン ターに物理ワーク ロー ド と 仮想ワーク ロー ド を混在させて展開する必要があ る企業に対し て設計および実装のガ イ ダン ス を提供し ます。こ の ド キ ュ メ ン ト は、セキ ュ ア データ セン ター エン タープ ラ イ ズ ソ リ ューシ ョ ン ポー ト フ ォ リ オに Threat Management with NextGen IPS を追加

する ための設計ガ イ ダン ス を提供する こ と に特に重点を置いています。こ の ド キ ュ メ ン ト は、図 1 の ソ リ ューシ ョ ンのマ ッ プに示さ れている よ う に、関連する ソ リ ューシ ョ ンで提供さ れる

設計および導入のガ イ ダン ス を基に し て作成さ れています。

図 1 シスコ セキュア データ セン ター エン タープラ イズ ソ リ ューシ ョ ン ポー ト フ ォ リ オ

こ の ド キ ュ メ ン ト で取 り 扱わない追加のコ ンテンツについては、以下の URL のセキ ュ ア データセ

ン ター ソ リ ューシ ョ ン ポータルでご覧 く ださ い。http://www.cisco.com/web/JP/solution/netsol/designzone/datacenter/networking_solutions_program_home.html

3479

30

Cisco Secure EnclaveArchitecture

Cisco TrustSec を使用した単一サイト クラスタリング

NextGen IPS を使用したシスコの脅威管理

データセンター向け Cisco Cyber Threat Defense

コンバージド インフラストラクチャ• コンピューティング• ストレージ• ハイパーバイザ (Flexpod、Vblock、 VSPEX)仮想化インフラストラクチャ管理アクセス レイヤSecure Enclaves

ファイアウォールのクラスタリング侵入防御リアルタイムの更新管理TrustSec• SXP• セキュリティ グループ タグ

• ポリシーの実施• SGACLs • FWACLs

ASA クラスタ内の NextGen IPS防御センターFireSightアプリケーションの可視性ネットワーク AMPFireAMPレトロスペクションファイル トラジェクトリーネットワーク トラジェクトリー

Lancope StealthWatch• FlowCollector• FlowSensor

NetFlowNSEL

シスコ セキュア データセンター エンタープライズ ソリューション ポートフォリオ

Copyright © 2014 Cisco Systems, Inc. All rights reserved

シスコ システムズ合同会社

〒 107-6227 東京都港区赤坂 9-7-1 ミ ッ ド タウン・タワー

セキュア データ セン ター エン タープ ラ イズ ソ リ ューシ ョ ンの概要

対象読者

こ の ド キ ュ メ ン ト は、データセン ターに仮想ワーク ロードおよび物理ワーク ロード を混在させて柔軟に運用しつつ、堅牢なセキ ュ リ テ ィ アーキテ クチャ を導入し て今日の高度化し た脅威に対処

し た り 従来のモード で機能を使用する、あ るいはク ラ ウ ド運用モデルに移行する方法を理解する必要があ るセキ ュ リ テ ィ 、システム アーキテ ク ト 、ネ ッ ト ワーク設計エンジニア、システム エンジ

ニア、フ ィ ール ド コ ンサルタ ン ト 、高度なサービ スの専門家、およびお客様など を主な対象 と し て

います。この ド キ ュ メ ン ト では、別の設計および導入ガイ ド で説明されている追加の補完的な ソリ ューシ ョ ン も利用し ています。こ の設計ガイ ド では、読者が IP プロ ト コル、サービ ス品質（QoS）、

ハイ アベイ ラ ビ リ テ ィ （HA）、およびセキ ュ リ テ ィ テ ク ノ ロ ジーの基本概念を理解し ている こ と

を前提 と し ています。また、読者が一般的なシステム要件を認識し てお り 、企業ネ ッ ト ワークおよびデータセン ター アーキテ クチャの知識を持っている こ と も前提 と し ています。

セキュア データセン ター エン タープラ イズ ソ リ ューシ ョ ンの概要

エグゼクテ ィ ブ サマ リー

こ のセキ ュ ア データ セン ター エン タープ ラ イ ズ ポー ト フ ォ リ オは、Cisco ASA フ ァ イ ア ウ ォー

ルをデータ セン ター フ ァ ブ リ ッ クへ導入する ためのお客様向け単一の設計ガ イ ド を発展させた

も のです。2013 年 11 月、こ の単一の設計ガ イ ド は、お客様向け設計ガ イ ド の包括的なセ ッ ト を作

成する ためのモジ ュ ラ形式アプ ローチを使用し て更新さ れま し た。TrustSec を使用し た単一サ

イ ト ク ラ ス タ リ ング ソ リ ューシ ョ ンに、拡張性のための ASA 5585-X ク ラ ス タ リ ング、ポ リ シー

の集約のための TrustSec、および脅威の保護のための侵入防御機能が導入さ れま し た。こ の ソ

リ ューシ ョ ン を Secure Enclaves Reference Architecture および Cyber Threat Defense for Data Center と 組み合わせる こ と に よ り 、強力なセキ ュ リ テ ィ ソ リ ューシ ョ ン ポー ト フ ォ リ オが完成

し ま し た。こ の コ レ ク シ ョ ンはセキ ュ ア データ セン ター エン タープ ラ イ ズ ポー ト フ ォ リ オ と 呼

ばれ、将来の機能拡張も視野に入れています。

Threat Management with NextGen IPS は、セキ ュ ア データ セン ター エン タープ ラ イ ズ ソ リ ュー

シ ョ ン ポー ト フ ォ リ オに追加さ れる新し い Cisco Validated Design です。こ の新し い Cisco Validated Design は、TrustSec を使用し た単一サ イ ト ク ラ ス タ リ ング を基に し て構築さ れてお

り 、こ のアーキテ ク チャに FirePOWER NextGen IPS を統合する方法 と 、こ の ソ リ ューシ ョ ンの脅

威管理シ ス テム用の包括的な機能についてお客様に説明する も のです。こ の設計ガ イ ド は、サ イバー攻撃者が攻撃を成功させる ための機能を開発する「攻撃チェーン」について考察し、攻撃者側か ら の視点を提供する と い う 独自のアプ ローチを取っています。こ のアプ ローチを と る こ とに よ って、「サ イバー防御者」が新機能を開発し、その機能を実装し て脅威管理シ ス テム を構築する必要性が明確になっています。こ の Cisco Validated Design は、データ セン ター保護のための

「基本的な」手順（デフ ォル ト のパス ワー ド は使用し ない、など）については取 り 扱いません。そのため、業界の コ ンプ ラ イ アン スに準拠し たセキ ュ リ テ ィ 制御機能を適宜選択し、導入する こ と を強 く お勧め し ます。こ の ド キ ュ メ ン ト では、一連の新機能 と 、新し い FirePOWER NextGen IPS プラ ッ ト フ ォーム を フ ァ ブ リ ッ ク に統合する方法について説明し ます。

6

ソ リ ューシ ョ ン設計の概要

ソ リ ューシ ョ ン設計の概要

Threat Management with NextGen IPS図 2 は、Threat Management with NextGen IPS ソ リ ューシ ョ ンのアーキテ ク チャ フ レーム ワー

ク を示し た も のです。こ の ソ リ ューシ ョ ンは、TrustSec を使用し たセキ ュ ア データ セン ターの

単一サ イ ト ク ラ ス タ リ ン グ を基盤 と し て構築さ れてお り 、こ の設計ガ イ ド の前提条件 と なっ

ています。

図 2 Threat Management with NextGen IPS

VPC ピア

QFPQFP

WAN

FireSIGHTMgmntCenter

NetFlow コレクタ

NetFlowGenerationAppliance

IdentityServicesEngine

階層 1

階層 2

階層N

防御センター

StealthWatch コンソール

Cisco SecurityManager

ISE 管理ポータル

UCS Director

ロール ベースのオペレーション

管理と操作

3479

31

(2) 10 GE リンク

Cisco SIO の高度なリアルタイム

脅威防御

DC コア レイヤ

DC の集約およびサービス レイヤ

North-South 保護 サーバ ファーム用サービス ネットワーク マルウェア防御

注：CCL = Cluster Data Link Nexus 7000s への冗長リンク

仮想ネットワークおよびアクセス

East-West 保護 ゾーン ベースのフィルタリング

物理アクセス

物理アクセス

コンピューティング

ストレージ

統合されたネットワーク スタック

ラック サーバ配置

Physical-Virtual-Mixed ワークロード環境

CCLCCL

Sourcefire NGIPS を使用した ASA 5585-X クラスタ 最大 16 ノードの ASA 5585-X 最大

(16)の Sourcefire 8250 または 8350 スタック

ワークロードおよびセキュリティ サービスの自動化 統合されたインフラストラク

チャ管理

ユーザ オンボーディング デバイス ポスチャリング ポリシー

集約管理

アクセス制御ポリシーの管理

NetFlow ベースの脅威対策 動作分析 ユーザおよびフロー コンテキストの分析 インシデント対応管理 ネットワーク調査

高度なマルウェア防御 ユーザおよびフロー コンテキスト リアルタイムの脅威管理 アプリケーションの可視性 URL 制御

VPC ピア

7

ソ リ ューシ ョ ン設計の概要

Threat Management with NextGen IPS は、TrustSec を使用し た単一サ イ ト ク ラ ス タ リ ングの設計

ガ イ ダン ス を活用し ています。こ のガ イ ダン スでは、データ セン ター全体で詳細なセキ ュ リ テ ィ機能を使用可能にする技術が使用さ れてお り 、以下の設計ガ イ ダン ス を提供し ています。

• 拡張性のための ASA フ ァ イ ア ウ ォールの ク ラ ス タ リ ング

• 仮想ポー ト チャ ネル（vPC）を使用し たフ ァ ブ リ ッ ク統合

• 簡素化さ れた運用のための リ ン ク の集約

• 侵入防止 と アプ リ ケーシ ョ ンの可視化

• リ アルタ イ ムのシグニチャの更新

• ポ リ シーの集約のためのセキ ュ リ テ ィ グループ タ グ（SGT）

Threat Management with NextGen IPS の設計ガ イ ド では、FirePOWER NextGen IPS プ ラ ッ ト

フ ォーム をアーキテ ク チャに統合する方法についてのガ イ ダン ス を、物理的な観点および仮想化の観点の双方か ら提供し、TrustSec を使用し た単一サ イ ト ク ラ ス タ リ ン グ ソ リ ューシ ョ ン を

拡張し ています。FirePOWER アプ ラ イ アン スには、従来の IPS が備えている脅威防御機能をは

る かに上回る機能が用意さ れています。こ れら の機能をセキ ュ ア データ セン ター エン タープ ラ

イ ズ ポー ト フ ォ リ オ全体の機能 と 組み合わせる と 、高度な脅威管理ワーク フ ローで今日のサ イ

バー脅威に効果的に対処する包括的な ソ リ ューシ ョ ン をお客様にご提案する こ と がで き ます。

DC に影響するサイバー脅威

どんな組織において も、データ セン ターは、一般に も重要かつ貴重な資産があ る場所です。この よ う なデータ と し て考え られる のは、独自の情報、お客様の連絡先、お客様の ク レ ジ ッ ト カー

ド 情報、企業の財務情報、銀行口座、従業員情報などです。データ セン ターのデータ が組織に と って重要であ る ほど、こ れら のデータはサ イバー犯罪者に と って も、金銭的な利益やスパイ行為、その他の目的において価値があ る と い う こ と にな り ます。データ セン ターが保護すべき重要な資産であ る こ と は明ら かです。ま た、ほ と んどの組織は、ア ク セス制御ポ リ シーに基づ く セグ メンテーシ ョ ン を導入し、権限のあ る ユーザのみが、「知る必要性」に応じ て、データ セン ター内の情報にア ク セスで き る よ う にする こ と を徹底し ています。し か し残念なが ら、こ の よ う なアプローチの前提はすでに時流に遅れてお り 、データ セン ターの保護については見直し が必要 となっています。多 く の組織は、ア ク セス コ ン ト ロール リ ス ト を適用する こ と だけでデータ セン

ターを保護し よ う と し ています。こ れは、「権限のあ る」ユーザが本人であ る こ と 、ま たは権限のあ る ユーザが、データ セン ターにア ク セスする自分のデバイ ス を し っか り 管理し ている こ と が重要な前提 と なっています。サ イバー攻撃者が組織のネ ッ ト ワーク に足掛か り を作る ためのも簡単な方法の 1 つが、ユーザのエン ド デバイ スにルー ト キ ッ ト を イ ン ス ト ールする こ と です。

こ れは、対策を講じ ていないユーザが、家庭など企業ネ ッ ト ワーク に接続し ていない状況で悪意のあ る Web サ イ ト を参照すれば簡単に達成で き ます （図 3 を参照）。

8

ソ リ ューシ ョ ン設計の概要

図 3 エ クスプロ イ ト キッ ト

マルウ ェ アがエン ド ユーザのデバイ スにイ ン ス ト ールされ、そのユーザが仕事に戻れば、そのマ

ルウ ェ アはそのエン ド ユーザの ID を推測し て、そのユーザが通常ア ク セスでき るすべてのデー

タセン ターの資産へのア ク セス権限を取得でき ます。こ の時点でセキ ュ リ テ ィ ア ク セス コ ン ト

ロール リ ス ト は、マルウ ェ アがネ ッ ト ワーク を通過し てデータセン ターに到達する こ と を許可し

ます（図 4 を参照）。こ のアプローチは、ク レデンシ ャルが盗まれた り する場合や、サイバー攻撃者

が単純な承認でデータセン ター資産にア ク セスでき る場合があ る こ と も想定し ていません。

図 4 侵害されたサーバ

仮想マシンベースのルー ト キッ ト

サ イバー攻撃者がデータ セン ターに直接ア ク セスで き る よ う にな る と 、攻撃者は、データ センター内のサーバやアプ リ ケーシ ョ ンへの侵入開始を試みます。データ セン ターを直接攻撃する比較的新し い一連のエ ク スプ ロ イ ト が、図 5 に示すよ う な仮想マシンベースのルー ト キ ッ ト

（VMBR）です。VMBR に よ る エ ク スプ ロ イ ト の成功例 と し て、Blue Pill、Vitriol、および SubVirt などが、研究者に よ って Black Hat で発表さ れています。こ れら のエ ク スプ ロ イ ト がサ イバー攻撃

者の コ ミ ュ ニテ ィ で使用さ れている かど う かに関わ らず、脅威は現実に存在し ます。

3479

32

マルウェア サーバがクライアントの

マルウェアをドロップ

Web サーバがクライアントをマルウェアのサーバにリダイレクト

侵害された Web サーバ

ユーザ

クライアントが侵害される

3479

33侵害されたクライアント

マルウェアがカーネルへのアクセスを取得

VM

VM

VM

VM

VM

VM

9

ソ リ ューシ ョ ン設計の概要

図 5 VMBR ルー ト キッ ト

「ア ク セス コ ン ト ロールの適用にはデータ セン ターの資産を保護する だけの安全性があ る のか」

と い う こ と を考えてお く 必要があ り ます。サ イバー攻撃は確実にデータ セン ターを ターゲ ッ トと し てお り 、従来のセキ ュ リ テ ィ モデル と 新し いサ イバー脅威の組み合わせは、データ セン ター

に対する現実の脅威の代表例であ る と いえ ます。

こ れまでに挙げた例は比較的単純ですが、データ セン ターに影響を与え る脅威は非常に複雑です。次の項では、攻撃チェーン、新し いセキ ュ リ テ ィ モデル、および新し いモデル と サブ機能の対

応方法を後続の項でそれぞれ説明し ます。

攻撃チ ェーン

前の項では、ルー ト キ ッ ト の仕組みについて簡単に説明し ま し たが、データ セン ターの保護方法について先ほど述べた前提を引き続き詳し く 検証する ために、課題への対応状況を詳細に把握する こ と が必要です。成功の可能性が高いサ イバー攻撃では、標的が詳細に絞 り 込まれている こと を認識する こ と が重要です。攻撃者の視点か ら見た高度なサ イバー攻撃は、攻撃チェーン モデ

ルを使用し た複数のフ ェーズに分割する こ と がで き ます（図 6 を参照）。

図 6 攻撃チ ェーン

3479

34マルウェアがカーネルへのアクセス権を取得

侵害された仮想マシンのモニタ

マルウェアがホームサーバに

接続

サイバー攻撃者の制御下にある VM

VM

VM

VM

VM

VM

VM

3479

35アンケート 開発 テスト 実行 達成

10

ソ リ ューシ ョ ン設計の概要

John A.Tirpak が 2000 年 7 月に『Air Force Magazine』に投稿し た記事、「Find, Track, Target, Engage, Assess」では、「キル チェーン」 と い う 概念が紹介さ れています。こ れは 1996 年 10 月の Gen.Ronald R.Fogleman（米国空軍参謀総長）のス ピーチで述べられた、「地球上を移動する いかな

る物体も発見、固定、ま たは追跡が可能であ る」 と い う 発言が基になっています。こ のス ピーチの概念は 終的には「発見、固定、照準、交戦、評価」 と い う キル チェーンへ と 発展し ま し た。その後、

軍事関連のい く つかの部門では、こ のキル チェーン を独自の使用例に合わせて変更し ています。

こ の文書では、キル チェーンの概念を ソ フ ト ウ ェ ア開発者（ま たはハ ッ カー）の考え方に合わせ

て変更し た別のバージ ョ ン を提案し ます。攻撃チェーンは、特定の タ イ ム ラ イ ンに割 り 当て られる も のではあ り ません。サ イバー攻撃者に よ っては検出を避け る ために、1 年以上をかけて ター

ゲ ッ ト への攻撃を行 う ためです。その一方で、攻撃者はわずか数分間で素早 く 攻撃を行 う 場合もあ り ます。多数の組織が、サ イバー脅威の防御モデルの開発にキル チェーンの概念を使用し てい

ます。

アンケー ト

どの よ う な攻撃への対応で も、以下の よ う な環境の状態を把握する こ と が重要です。

• 開いているのはどのポー ト か。ルー ト キ ッ ト は複数のポー ト に対し て作用する必要があ るか。

• 識別可能なオペレーテ ィ ン グ シ ス テムは何か。

• サ イバー攻撃者が導入する対抗手段や回避策はどの よ う な も のか。

• ターゲ ッ ト の組織が配備し ている主要な防御策は何か。

• デフ ォル ト のパス ワー ド の使用に よ り 、サ イバー攻撃者はどの程度侵入で き る か。

• フ ィ ッ シン グ キ ャ ンペーン を送信する ための一連のユーザの メ ール ア ド レ ス を特定で きる か。

残念なが ら、フ ィ ッ シン グ キ ャ ンペーンの成功率はいまだに高 く 、『Verizon 2014 Data Breech Report』では、エン ド ユーザに メ ールを 10 通送信し ただけで、90 % の確立で成功し ている こ と が

報告さ れています。

開発

サ イバー攻撃の調査フ ェーズが完了する と 、サ イバー攻撃者は攻撃を成功させる ための機能の開発を開始し ます。こ こ で開発 と い う 言葉は、必ずし も新し いマルウ ェ アを 初か ら作成する こと を指し ている わけではない こ と に注意し て く だ さ い。サ イバー攻撃者には多数のマルウ ェ アの選択肢があ り 、コー ド を記述し な く て も よ いのです。信じ がたい こ と ではあ り ますが、マルウ ェ アの ラ イ セン ス を取得し て、サポー ト 契約を購入で き る こ と はよ く 知られています。攻撃者が ターゲ ッ ト 向けにカ ス タ マ イ ズ さ れたマルウ ェ アを作成し よ う と する場合に使用で き る、変更可能なオープン ソース コー ド が多数あ り ます。こ れはサ イバー攻撃者の コ ミ ュ ニテ ィ 向けの

非常に効率的なプ ロ セス と なっています。

テス ト

目的のツールを入手し たサ イバー攻撃者はテ ス ト および検証のス テージに進みます。サ イバー攻撃者に と っては、検出さ れる こ と な く 、ターゲ ッ ト の資産へのア ク セス権を入手する こ と が非常に重要です。攻撃者が攻撃チェーンの初期段階で検出された場合、ターゲ ッ ト が新し い対抗手段を導入する ため、攻撃を 初か らや り 直さ なければな ら な く な り ます。攻撃者は回避技術の効果を検証する必要があ り ます。攻撃者の目標は、検出さ れずにア ク セス権を獲得し、目的を達成する までの時間をかせぐ こ と です。

11

ソ リ ューシ ョ ン設計の概要

実行

検証が終了する と 、攻撃者が ターゲ ッ ト の資産への足掛か り を構築する準備がで き た こ と になり ます。こ れは、エン ド ユーザのデバイ スにマルウ ェ アを イ ン ス ト ールする か、Web アプ リ ケー

シ ョ ン サーバ、メ ール サーバなど、ネ ッ ト ワーク内での水平移動を可能にするデバイ スへのア

ク セス権を獲得する こ と に よ って達成で き ます。足掛か り がで き る と 攻撃者は、 初の ターゲ ット で対抗策が取られた場合に備えて、2 番目のア ク セ ス方法を確立し よ う と し ます。こ の手順は

重要なため、こ の ド キ ュ メ ン ト で追って説明し ます。

達成

サ イバー攻撃者はターゲ ッ ト ネ ッ ト ワーク にア ク セスで き る よ う になったので、貴重なデータ

の抽出、データ の破壊、工作の実施など、サ イバー攻撃の目的を達成する ア ク シ ョ ン を実行し て、任務を完了し ます。サ イバー攻撃者は、将来のサ イバー攻撃のためにマルウ ェ アを隠す場所も見つけ ます。

セキュ リ テ ィ 侵害の指標

多 く の場合、実行フ ェーズか ら達成フ ェーズ までの間隔は 1 年を超え る可能性があ り ます。多 く

のサ イバー攻撃者は、攻撃に よ って 大の利益を得る ために、「隠れて待つ」技術を使用し ます。こ の よ う な「隠れて待つ」技術は、侵害の指標をほ と んど残し ません。従来の脅威シ ス テムに よ って非常に多数のア ラー ト が生成さ れていた こ と と 比べ、こ のアプ ローチがご く わずかな指標しか残さ ない こ と を考慮する と 、こ の よ う な種類の攻撃の検出が非常に困難であ る こ と は確かです。侵害の指標が識別さ れる前、業界では攻撃の指標に依存し ていま し た。従来の侵入防御シ ステムは、ポ イ ン ト イ ン タ イ ムの処理に よ る シグニチャ ベースの照合に基づいてア ラー ト を ト リ

ガーする こ と に よ り 、攻撃を通知し ていま し た。残念なが ら、IPS シ ス テムには、シグニチャ に一

致する が良性 ト ラ フ ィ ッ ク であ る ト ラ フ ィ ッ ク フ ローに基づき多数の誤検出を行 う 傾向があ り

ま し た。オペレータは、特定のホ ス ト か ら の良性 ト ラ フ ィ ッ ク に一致する シグニチャ を識別して、こ れら の ト ラ フ ィ ッ ク フ ローがア ラー ト を生成し ない よ う にする必要があ り ま し た。残 り の

ア ラー ト は IPS シ ス テムで識別さ れた攻撃の指標 と し て扱われま し た。ただ し、こ れら の誤った

ア ラー ト は非常に多数であ る ために、本物のア ラー ト が見つけに く く な り 、見逃される原因 と なる こ と が よ く あ り ま し た。組織が侵害の確実な指標を確認し た場合、以下の疑問点を確認する には、時間がかか る う えに非常に困難な分析を行 う 必要があ り ま し た。

• 攻撃はどの よ う な方法で行われ、ど こ か ら侵入し たのか

• どのシ ス テムが影響を受けたか

• その脅威に よ ってどの よ う な被害があ ったか

• 脅威を阻止し、根本原因を除去する こ と はで き る か

• どの よ う に被害か ら復旧で き る か

• 再発を防止する にはど う すればよ いか

サ イ バー セキ ュ リ テ ィ チームは、侵害の信頼で き る指標を作成する ために、正確なデータ の多

角的なセ ッ ト に基づ く 新し いアプ ローチを必要 と し ていま し た。検出結果に対し て多角的かつよ り 正確な分析を行 う アプ ローチに必要な情報 と し て、以下の よ う な も のが考え られます。

• 攻撃の種類。既知の タ イ プま たはカテゴ リ など。

• 攻撃の詳細な内容。現在/過去の実行方法など。ターゲ ッ ト エン ド ポ イ ン ト などに加え られた可能性があ る変更の内容。

• 攻撃の侵入経路

• 悪意があ る と 判断し た理由。

12

ソ リ ューシ ョ ン設計の概要

• ターゲ ッ ト エン ド ポ イ ン ト は何か。使用さ れる OS。

• ターゲ ッ ト は こ の脅威に対し て脆弱か。

• こ のエン ド ポ イ ン ト は、こ の攻撃ま たは他の攻撃に よ って現在ま たは過去に侵害を受けている か。

• こ のデバイ スが接続し ている他のマシンはどれか。

• ターゲ ッ ト アプ リ ケーシ ョ ンの種類（た と えば、ク ラ イ アン ト ま たは Web）。

• ターゲ ッ ト が こ の イベン ト の影響を受け る機会はあ ったか。

• こ れは新し い問題か。あ る いは個人所有デバイ スの持ち込み（BYOD）など、外部ソース経由で発生し た も のか。

• 攻撃対象のホ ス ト は現在ネ ッ ト ワーク の内外どち ら にあ る か。

• 根本原因は何か。

• シ ス テムは、こ の脅威に対し て脆弱な可能性があ る ホ ス ト ま たはネ ッ ト ワーク デバイ スの数をすぐに特定で き る か。

• こ の攻撃がブ ロ ッ ク さ れた場合、シ ス テムはどの よ う に し て こ の攻撃が誤検知か正し い検知かを判別する か。

侵害の明確な指標の例 と し て、Java アプ リ ケーシ ョ ンが こ れまでにないアプ リ ケーシ ョ ンの イ

ン ス ト ールや実行を開始する こ と が挙げられます。Java は残念なが ら一般的な脅威の経路であ

り 、多 く のサ イバー攻撃者が現在で も好んで使用し ています。こ の タ イ プの攻撃はあ ら ゆ る ア クセス コ ン ト ロール リ ス ト に簡単に適合で き、ま た、フ ァ イル シグネチャがア ラー ト を ト リ ガー

し ないため、従来の IPS では見落 と さ れる場合があ り ます。侵害機能の指標を さ ら に詳細に検出

する には、イベン ト を以下 と 関連付け る必要があ り ます。

• マルウ ェ ア ア ク テ ィ ビテ ィ

• 侵入検知

• ネ ッ ト ワーク接続

• ネ ッ ト ワーク フ ァ イル ト ラ ジ ェ ク ト リ ー

• デバイ ス ト ラ ジ ェ ク ト リ ー

• デバイ スのネ ッ ト ワーク フ ロー。水平移動、親子関係、コ ンテキ ス ト など を含む。

こ の目的は、上記のすべてをネ ッ ト ワーク、エン ド ポ イ ン ト 、アプ リ ケーシ ョ ンおよびユーザ コ ン

テキス ト に関連付ける こ と です。結果 と し て生成されるデータ セ ッ ト は、ネ ッ ト ワーク全体にお

ける侵害の指標を示す独自の機能を提供し ます。これらの指標は非常に正確であ る ため、すぐに実際の対策に活用する こ と ができ ます。

脅威をめぐる環境の変化

現代の拡張さ れたネ ッ ト ワークおよびその コ ンポーネン ト は常に発展を続けてお り 、新し い攻撃ベク ト ルの温床 と なっています。こ う し た攻撃ベク ト ルには、モバイル デバイ ス、Web 対応ア

プ リ ケーシ ョ ンやモバイル アプ リ ケーシ ョ ン、ハイパーバイザ、ソーシ ャル メ デ ィ ア、Web ブ ラ

ウザ、組み込みの コ ン ピ ュータ などがあ り ます。構想が開始されたばか り の さ ま ざ ま なデバイ スも Internet of Everything に よ り 実用化さ れ、やは り 攻撃ベク ト ル と な る可能性があ り ます。

13

ソ リ ューシ ョ ン設計の概要

それら の利用者は、ネ ッ ト ワーク の内側に も外側に も います。あ ら ゆ るデバイ スか ら、あ ら ゆ るアプ リ ケーシ ョ ンにア ク セス し ます。ま た、さ ま ざ ま な ク ラ ウ ド を利用し ます。これは、Any-to-Any の状況な ら ではの課題であ り 、こ う し た動向に よ り コ ミ ュ ニケーシ ョ ンが拡大する

につれ、ハ ッ カーが侵入する ポ イ ン ト や手段も増加し ています。残念なが ら、ほ と んどの組織におけ る セキ ュ リ テ ィ に関する アプ ローチは こ う し た状況に追いついていません。大部分の組織では、連携し ていない、ま た連携させた く て も で き ないばらばら のテ ク ノ ロ ジーで広範なネ ッ トワーク を保護し ています。ま た、こ の よ う な組織は、ク ラ ウ ド におけ る セキ ュ リ テ ィ の保護についてサービ ス プ ロバイ ダーに依存しすぎていた り 、イ ン ターネ ッ ト イ ン フ ラ ス ト ラ ク チャの保

護についてホ ス テ ィ ン グ会社に依存しすぎている場合があ り ます。こ う し た中、セキ ュ リ テ ィ 管理者は一般に、社内ネ ッ ト ワーク にア ク セスするデバイ スやアプ リ ケーシ ョ ン をほ と んど把握も管理も で き ない状況であ り 、新たな脅威に対応する こ と も困難なのが現状です。

高度な攻撃の脅威 と Any-to-Any イ ン フ ラ ス ト ラ ク チャ と い う 現実に直面し なが ら、セキ ュ リ

テ ィ プ ロ フ ェ ッ シ ョ ナルは次の 3 つの問いを自問し ています。

1. 新し いビジネ ス モデル と 新し い攻撃ベ ク ト ルが登場し た今、変化を続け る IT 環境において、セキ ュ リ テ ィ と コ ンプ ラ イ アン ス を どの よ う に維持し てい く か?

生産性、俊敏性、効率性を求めて ク ラ ウ ド 、仮想化、モバイル デバイ スに移行し ている組織は、それぞれのセキ ュ リ テ ィ イ ン フ ラ ス ト ラ ク チャ をそれら のテ ク ノ ロ ジーに合わせて調整する必要があ り ます。

2. 脅威をめぐ る環境が変化する中、新し い攻撃ベク ト ルやますます巧妙化する脅威に対抗し続け る ため、どの よ う に能力を高めればよ いか?

攻撃者はえ り 好みをせず、チェーン内の リ ン ク に弱点があれば攻撃し ます。多 く の場合、狙いを付けた標的のセキ ュ リ テ ィ イ ン フ ラ ス ト ラ ク チャに合わせて開発し たツールを使い、容赦ない攻撃を執拗に行います。指標をほ と んど残さ ないテ ク ノ ロ ジーや手法を使い、検出されないために多大な努力を払います。

3. 初の 2 つの問題に対処する と 同時に、セキ ュ リ テ ィ ソ リ ューシ ョ ンの複雑化 と 細分化を避け る にはど う すればよ いか?

保護対策に穴があ っては、現在の高度な技術を持つ攻撃者にはすぐに付け入られて し まいます。同時に、統合さ れていないばらばら のセキ ュ リ テ ィ ソ リ ューシ ョ ン を使用する こ と で複雑さ が増せば、高度な脅威に対抗で き る高いレベルの保護は不可能です。

統合脅威対策を活用したセキュ リ テ ィ モデル

データ セン ターだけではな く 、企業全体に悪影響を与え る現代の脅威に包括的に対応するには、新しいツール と テ ク ノ ロ ジーが必要です。こ のためには、複雑性を 小限に抑え、ビジネス資産を継続的に保護しつつ、Any-to-Any のよ う なビジネス モデルの変化に対応するモデルを使用する

必要があ り ます。セキ ュ リ テ ィ シ ス テムはネ ッ ト ワーク フ ァ ブ リ ッ ク と 直接統合し て効率 と 性

能を 大化する必要があ り ます。また同時に、ネ ッ ト ワーク認識に対応し ていないセキ ュ リ テ ィ制御をばらばら に追加する こ と よ る リ ス ク を 小化する必要も あ り ます。こ のよ う なシステム を設計するには、こ の統合を適切に実行する ための新しいモデルが必要です。特にエ ラーの許容範囲が狭いデータ セン ターで必要 と されます。こ の新しいモデルは、あ ら ゆる タ イプのネ ッ ト ワーク向けの包括的なセキ ュ リ テ ィ ソ リ ューシ ョ ン を開発する際の参考にな り ます。こ の新しいモデ

ルは、一連の攻撃への対応 と し て知られる主要な コ ンポーネン ト を示し ています。これは、包括的なセキ ュ リ テ ィ システムに不可欠な、重要な各 メ カニズムおよびプロ セス を特定する も のです （図 7 を参照）。

14

ソ リ ューシ ョ ン設計の概要

図 7 一連の攻撃への対応を使用し た脅威対策の統合

こ のモデルは、攻撃前、攻撃中、攻撃後に、エン ド ポ イ ン ト 、モバイル デバイ ス、データ セン ターの

資産、仮想マシン、それに ク ラ ウ ド に さ え存在する、広範囲に及ぶ攻撃ベク ト ルに対し て防御側が取るべき対応を把握する こ と に よ り 、問題に対処する も のです。ほ と んどのセキ ュ リ テ ィ ソリ ューシ ョ ンは、脅威が発生し た時点で対応する傾向があ り ますが、脅威を連続的なサ イ ク ル とし て見なすこ と が重要です。

攻撃前

コ ンテキ ス ト を意識する攻撃者には、コ ンテキ ス ト 認識型のセキ ュ リ テ ィ で対抗する必要があり ます。攻撃者はしばしば、防御側が保護し よ う と し ている イ ン フ ラ ス ト ラ ク チャについて、防御側よ り も多 く の情報を得ている場合があ り ます。攻撃前の防御を行 う ためには、組織が環境全体を把握する必要があ り ます。つま り 、物理ホ ス ト と 仮想ホ ス ト 、オペレーテ ィ ン グ シ ス テム、ア

プ リ ケーシ ョ ン、サービ ス、プ ロ ト コル、ユーザ、コ ンテン ツ、ネ ッ ト ワーク の動作など（ただ し これら に限定さ れません）について理解し、攻撃者よ り も多 く の情報を得る必要があ り ます。防御側は、ターゲ ッ ト の価値、攻撃の正当性、履歴に基づいて、イ ン フ ラ ス ト ラ ク チャに対する リ ス クを理解する必要があ り ます。保護し よ う と し ている も のついてを理解し なければ、防御側は必要なセキ ュ リ テ ィ テ ク ノ ロ ジーを準備する こ と がで き ません。可視性においては、ネ ッ ト ワーク全

体を カバーする必要があ り ます。エン ド ポ イ ン ト 、E メ ールや Web のゲー ト ウ ェ イ、仮想環境 と

モバイル デバイ ス、さ ら にはデータ セン ターも対象にな り ます。さ ら に、こ の可視性を通し てア

ク シ ョ ンにつなが る ア ラー ト を生成し、防御側が十分な情報を得た上で判断で き る よ う にする必要があ り ます。

攻撃中

容赦ない攻撃やさ ま ざ ま な脅威は特定の時点だけで終わる も のではあ り ません。攻撃は次々 と仕掛け られる ため、継続的なセキ ュ リ テ ィ が求め られます。従来のセキ ュ リ テ ィ テ ク ノ ロ ジーが

攻撃を評価で き る のは特定の時点のみであ り 、攻撃自体の単一のデータ ポ イ ン ト に基づき ます。

こ のアプ ローチでは、高度な攻撃に太刀打ちで き ません。

3479

36

新たなセキュリティ モデル一連の攻撃

モバイル バーチャル クラウドエンドポイントネットワーク

ポイントインタイム 連続

攻撃前検出 適用 強化

検出 ブロック 防御

対象範囲 封じ込め 修復

攻撃中 攻撃後

15

ソ リ ューシ ョ ン設計の概要

代わ り に必要 と な る のは、認識（Awareness） と い う 概念に基づいたセキ ュ リ テ ィ イ ン フ ラ ス ト ラ

ク チャ です。こ の方法では、広範なネ ッ ト ワーク でデータ を収集し て関連付けを行い、履歴データやグ ローバルな攻撃に関する情報を基に状況を明ら かに し、ア ク テ ィ ブな攻撃、盗難、偵察など と 、単な るバ ッ ク グ ラ ウ ン ド ア ク テ ィ ビテ ィ と を区別する こ と がで き ます。これは、あ る時点

でのみ実行する セキ ュ リ テ ィ か ら、継続し て分析 と 意思決定を行 う セキ ュ リ テ ィ への進化です。安全 と 見な さ れて通過し たフ ァ イルが後か ら悪意のあ る動作を実行し た場合、組織はア ク シ ョン を実行で き ます。こ の よ う な リ アルタ イ ムの洞察が得られる こ と で、セキ ュ リ テ ィ プ ロ フ ェ ッ

シ ョ ナルはイ ンテ リ ジ ェ ン ト な自動機能を利用し て、手動に よ る介入を必要 と せず、セキ ュ リテ ィ ポ リ シーを適用する こ と がで き ます。

攻撃後

一連の執拗な攻撃に対応する には、レ ト ロ スペク テ ィ ブ セキ ュ リ テ ィ が必要です。レ ト ロ スペク

テ ィ ブ セキ ュ リ テ ィ では、ビ ッ グデータ が鍵 と な り ますが、こ の機能を提供で き る企業はほ と ん

ど あ り ません。継続的にデータ を収集および分析し てセキ ュ リ テ ィ イ ンテ リ ジ ェ ン ス を構築で

き る イ ン フ ラ ス ト ラ ク チャ を用いれば、セキ ュ リ テ ィ チームは自動的に侵害の指標を特定で き、

検出を逃れる ために動作を変え る高度なマルウ ェ ア も検出し、修復を行 う こ と がで き ます。

そのま までは数週間、ま たは数 ヵ 月も検出さ れない侵害を素早 く 特定し、範囲を絞 り 込んで抑制および修復する こ と がで き ます。こ の脅威を中心に据えた新し いセキ ュ リ テ ィ モデルに よ り 、組

織はあ ら ゆ る攻撃ベク ト ルを対象 と し た一連の執拗な攻撃に、常に継続的かつ リ アルタ イ ムに対応で き ます。

脅威管理システムの機能

一連の攻撃への対応モデルは脅威への対処方法を示し、機能のフ レーム ワーク を構築し て、防御側がセキ ュ リ テ ィ 制御の実装を開始で き る よ う に し ます。た と えば、NIST 特別文書 800-53「Security and Privacy Controls for Federal Information Systems and Organizations」では、「組織では、

セキ ュ リ テ ィ 制御の選択プ ロ セスに先立ち、一連のセキ ュ リ テ ィ 機能の定義が検討される場合があ る」 と 記載さ れています。

ま た、こ の NIST 文書では、セキ ュ リ テ ィ 機能の概念を「情報シ ス テムに よ って処理、保管、ま たは

送信さ れる情報を保護する こ と で、単一の安全措置ま たは対応策（つま り セキ ュ リ テ ィ 制御）から派生する こ と はまれであ る、と 認識する構成概念」 と 定義し ています。あ ら ゆ る組織は、該当する業界標準への準拠を徹底する必要があ り ます。こ の ド キ ュ メ ン ト では特定の標準への準拠については説明し ませんが、こ の「機能」の概念は脅威管理シ ス テムおよびこ の ド キ ュ メ ン ト の中核 と な る も のです。表 1 に、脅威管理シ ス テム機能の説明 と 、対応する一連の攻撃フ ェーズ、およ

び関連する製品を示し ます。製品に よ っては複数の機能を持つため、対応は必ずし も 1 対 1 になっている と は限 り ません。

16

ソ リ ューシ ョ ン設計の概要

表 1 脅威管理システムの機能

脅威管理システムの機能 説明 攻撃前 攻撃中 攻撃後 製品

脅威の抑制および修復

脅威に関するフ ァ イル、パケ ット 、フ ロー ベース

の検査 と 分析

エン ド ポ イ ン ト保護エージ ェ ント 、ネ ッ ト ワークベースのフ ロー保護

ク ラ ウ ドベースのエン ド ポ イ ン ト 分析、ネ ッ ト ワークベースのフ ァ イル分析、ネ ッ ト ワークベースのフ ロー分析、シグニチャベースの分析、サン ド ボ ッ ク ス分析

接続およびフ ローの分析 と修復

Sourcefire FireSIGHT、侵入

防御、ネ ッ ト ワークベースの AMP、

メ ールの AMP、

CWS AMP、エン

ド ユーザおよび

モバイル デバイ

ス用の FireAMP

ア ク セス コ ン ト

ロールおよびセグメ ンテーシ ョ ン

ア ク セ ス制御ポリ シー、セグ メ ンテーシ ョ ン、安全な分離

エン ド ポ イ ン ト グループの割 り当て、セキ ュ リテ ィ ゾーン、資産

に対する ユーザのア ク セス ポ リ

シー

フ ァ ブ リ ッ ク の適用、フ ァ イ アウ ォール ポ リ

シーの適用、ト ラフ ィ ッ ク の正規化、およびプ ロ トコルの遵守

ポ リ シーの適用およびロ ギン グ

ASA 5585-X、

SGT、SGACL、SXP および TrustSec 対応のス イ ッ チング フ ァ ブ リ ッ ク または ASAv を備えた ACI フ ァ ブ リ ッ ク

ア イデンテ ィテ ィ 管理

ユーザ ア イデン

テ ィ テ ィ と ア クセ ス ポ スチャ、

ネ ッ ト ワークベースのユーザ コ ンテキ ス ト

グループ、リ ソース、および許容される ア ク セス ロケーシ ョ ンに対する ユーザのマ ッ ピ ング

ユーザ コ ンテキ

ス ト の分析

ユーザ ア ク セス

および脅威の発生元の分析と修復

Active Directory、

Cisco ISE、Sourcefire FireSIGHT

アプ リ ケーシ ョ ンの可視性 と制御

フ ァ イルの制御および ト ラ ジェ ク トリ ー、ネ ッ ト ワーク フ ァ イルの ト

ラ ジェ ク ト リ ー、アプ リ ケーシ ョ ンの検疫、データ損失の防止

内部および外部アプ リ ケーシ ョンへのア ク セスを制限し、制御する ためのポ リシー

アプ リ ケーシ ョンの制御ポ リシーの適用、機密データ の検査

ネ ッ ト ワーク上でア ク セス され、実行されているすべてのアプ リケーシ ョ ンの可視性

Sourcefire Access Control、Sourcefire NGFW

ロ ギングおよびト レーサビ リテ ィ の管理

脅威の調査 と コンプ ラ イ アン ス

脅威管理シ ス テムのレポー ト の適切な設定

ア ク テ ィ ブなアウ ト オブバン ド ロ ギング

適切な脅威機能の管理プ ラ ッ トフ ォームに よ る迅速なア ク セス さ ら に詳細な調査およびコ ンプラ イ アン スのために一元管理 リポジ ト リ へロ グを統合

短期ロ グの場合は、FireSIGHT Management Center、長期の NetFlow 分析ロ グ

の場合は Lancope StealthWatch、ロ グ

管理コ ンプラ イ アン スの場合は SIEM（SIEM はプ

ロ ジェ ク ト に含まれていません）

17

ソ リ ューシ ョ ン設計の概要

脅威の抑制および修復

サ イバー脅威を識別し、こ れら の脅威をで き る だけ短時間で修復する機能が必要です。これはポイ ン ト イ ン タ イ ムの機能ではな く 、レ ト ロ スペク シ ョ ン を使用し た継続的な機能です。これに より 、マルウ ェ アが 初は検出さ れな く て も、シ ス テムが後か ら引き続き こ のマルウ ェ アを探して、侵害を修復する こ と がで き ます。

アクセス コ ン ト ロールおよびセグ メ ンテーシ ョ ン

ア ク セス制御ポ リ シー と その適用は、ネ ッ ト ワーク セキ ュ リ テ ィ の基盤であ り 、今後も引き続き

重要な基本要素です。セグ メ ンテーシ ョ ン も ト ラ フ ィ ッ ク を分離する ための重要な要素ですが、こ の技術は組織に よ って十分に活用さ れている と は言え ません。これ ら の 2 つの機能は通常個

別の機能 と 見な さ れてお り 、すべてではない も の、ほぼすべての規制で別の管理に区分されています。ネ ッ ト ワーク の設計 と 導入において こ の 2 つの機能は相互に関連する ため、こ こ では こ の 2 つの機能を組み合わせて取 り 扱います。適切なセグ メ ンテーシ ョ ン戦略が導入さ れたネ ッ ト

ワーク には、関連する ア ク セス制御ポ リ シーも導入し て、セキ ュ リ テ ィ ド メ イ ン を定義する必要

があ り ます。セキ ュ リ テ ィ ド メ イ ン を大き く する と 、データ の漏洩が発生し た場合、組織が大き

な リ ス ク に さ ら さ れる可能性があ り ます。新し いセグ メ ンテーシ ョ ン技術を使用する と 、セキ ュリ テ ィ ド メ イ ンのサ イ ズを縮小し て、管理を簡単にする こ と がで き ます。

アイデンテ ィ テ ィ 管理

どの よ う な組織であ って も、ユーザ認証用に何ら かのア イデンテ ィ テ ィ 管理や認証機能（Active Directory など）を使用し ています。残念なが ら、認証時にユーザに対する ポスチャ アセス メ ン ト

を取得する機能や、ユーザのエン ド デバイ スやロ ケーシ ョ ンなどの条件に応じ てユーザを適切

なセキ ュ リ テ ィ ポ リ シーに割 り 当て る機能を導入し ている組織は一部にすぎ ません。ま た、堅牢

な脅威管理機能のために、ト ラ フ ィ ッ ク フ ロー、フ ァ イル分析、ネ ッ ト ワーク接続、および他の

ネ ッ ト ワーク ア ク テ ィ ビテ ィ にユーザ コ ンテキ ス ト を付加する機能も必要不可欠です。

アプ リケーシ ョ ンの可視性

ネ ッ ト ワーク全体におけ る アプ リ ケーシ ョ ンの可視性は、サ イバー脅威に対する防御を行 う あら ゆ る組織に と って重要です。アプ リ ケーシ ョ ンは現在で も主要な攻撃ベク ト ルです。そのため、アプ リ ケーシ ョ ンがデータ セン ター資産にア ク セス し た際の異常な動作や、アプ リ ケーシ ョンの通信フ ローを分析する機能は必要不可欠です。

ロギングおよび ト レーサビ リ テ ィ の管理

ネ ッ ト ワークおよびエン ド ポ イ ン ト のあ ら ゆ る状況を詳細に記録する機能は、現在で も非常に

重要です。ト レーサビ リ テ ィ は、単にア ラー ト の タ イ ム ス タ ンプを記録する だけではな く 、マルウ ェ アがネ ッ ト ワーク を通過し た際のフ ァ イル ト ラ ジ ェ ク ト リ ーも識別する こ と がで き ます。

漏洩が検出さ れた場合に備え、組織には詳細な調査を行 う ための機能が必要です。

機能と NIST 制御の対応

コ ンプラ イ アン ス制御のマ ッ ピングはこの ド キ ュ メ ン ト の範囲外ですが、補完 と し て簡単に説明し ます。上記で取 り 上げた機能 と制御の対応については、NIST SP 800-53 文書および「SANs Top 20 Critical Security Controls」を参照し て く だ さい。表 2 に示すとお り 、すべての制御がマ ッ ピング され

ているわけではあ り ませんが、ほ と んどのサイバー セキ ュ リ テ ィ 制御が取 り 上げられています。

18

ソ リ ューシ ョ ン設計の概要

統合脅威対策導入のための戦略的な必須条件

すべての攻撃ベク ト ルの攻撃前、攻撃中、攻撃後の攻撃ロ ジ ッ ク に適用し、随時、常時、および リアル タ イ ムでの適切な対応を可能にする上で重要な要素がい く つかあ り ます。これ ら の必須の

要素を以下で説明し ます。

可視性の重視

SecOPS チームが効率的に業務を遂行する には、「すでに発生し た こ と 」 と 「現在発生中のすべて

の こ と 」を正確に把握で き なければな り ません。こ のためには、攻撃ベク ト ルの広さ と 、各ベク トルの奥行き を組み合わせて把握する必要があ り ます。広さ と は、ネ ッ ト ワーク フ ァ ブ リ ッ ク、エ

ン ド ポ イ ン ト 、E メ ール と Web ゲー ト ウ ェ イ、モバイル デバイ ス、仮想環境、およびク ラ ウ ド で

想定さ れるすべての攻撃ベク ト ルのデータ を調べて収集する機能であ り 、環境 と 脅威に関する知識が得られます。

奥行

奥行を把握する こ と に よ り 、こ れら の情報の相互の関連付けを行い、コ ンテキ ス ト を理解する ためにデータ を適用し、よ り 的確な判断を行い、手動ま たは自動でア ク シ ョ ン を実行する こ と ができ ます。こ の包括的で コ ンテキ ス ト に応じ た監視を可能にする のは FireSIGHT と い う 、

FireSIGHT Management Center の技術基盤を形成する テ ク ノ ロ ジーです。

表 2 脅威対応機能と制御の対応

脅威の抑制

アクセス コ ン トロールおよびセグメ ンテーシ ョ ン

アイデンテ ィテ ィ 管理

アプ リ ケーシ ョン管理

ロギングおよびト レーサビ リテ ィ

機能 脅威に関するフ ァ イル、パケ ット 、フ ロー ベース

の検査 と 分析

ア ク セス コ ン ト

ロールおよびセグメ ンテーシ ョ ン

ユーザ ア イデン

テ ィ テ ィ と ア クセスおよびポスチャ、ネ ッ ト ワークベースのユーザ コ ンテキ ス ト

アプ リ ケーシ ョ ンの可視性 と制御

脅威の調査 と コンプ ラ イ アン ス

NIST 関連の制御 イ ンシデン ト 対応、メ ンテナンス、メ デ ィ アの保護、リ ス ク評価、シ ス テム と 情報の整合性

ア ク セス コ ン ト

ロール、システムおよび通信の保護

ア ク セス コ ン ト

ロール

シ ス テム と 情報の整合性、ア ク セス コ ン ト ロール

監査 と 説明責任

SAN の重要度上位 20 のセキュ リテ ィ 制御

継続的な脆弱性評価 と 修復、マルウ ェ アの防御、データ保護

承認さ れたデバイ ス ま たは未承認のデバイ スのイ ンベン ト リ 、境界防御、知る必要性に応じ て制御される ア ク セス、セキ ュ ア ネ ッ ト

ワーク エンジニ

ア リ ング

知る必要性に応じて制御される ア クセス、セキ ュ ア ネ ッ ト ワーク エンジニア リ ング

承認された ソ フト ウ ェ アおよび未承認の ソ フ トウ ェ アの イ ンベン ト リ 、セキ ュ ア ネ ッ ト ワーク エンジニア リ ング

監査ロ グの メ ンテナン ス、モニ タ リング、および分析

19

ソ リ ューシ ョ ン設計の概要

図 8 に、広さ を必要 と する ソ リ ューシ ョ ン を示し ています。ま た、広範な攻撃ベク ト ルで イベン

ト が発生し た結果、各ベク ト ルで「発生し たすべての事象」を さ ら に掘 り 下げた「分析サマ リ ー」の例も示し ます。こ の分析サマ リ ーを使用する こ と に よ り 、SecOPS チームは攻撃プ ロ セス ツリ ーの要素を軽減する ための、詳細な ド リ ルダ ウ ン を行 う こ と がで き ます。

図 8 広さ と奥行を示す例：発生し たすべての事象

脅威にフ ォーカス

今日のネ ッ ト ワーク は、従業員がいるすべての場所、データ のあ るすべての場所、データ にア クセスで き るすべての場所に広がっています。絶えず変化を続け る攻撃ベク ト ルに対応する こ とは、 善の努力を し た と し て も、関係者全員に と って困難な課題です。ま た、攻撃者に と っては格好のチャ ン スです。攻撃者は、シ ス テムに存在する ギ ャ ッ プを利用する こ と で成果を上げています。ポ リ シー と 制御は攻撃に さ ら さ れる領域を小さ く する ために重要ですが、これだけで脅威を完全に防ぐ こ と はで き ません。こ のため、脅威の検出、理解、停止に も焦点を置いたテ ク ノ ロ ジーを採用する必要があ り ます。脅威に焦点を置 く と い う こ と は、攻撃者の よ う に考え、可視性 と コンテキ ス ト に基づいて環境の変化を理解し て適応し、 終的には保護機能を進化させて対策を講じ、脅威を停止させる こ と を意味し ます。高度なマルウ ェ アやゼ ロデイ攻撃の場合、これは継続的なプ ロ セスであ り 、ローカル イ ンテ リ ジ ェ ン スおよびク ラ ウ ド を通し て継続的な分析 と リ

アルタ イ ムのセキ ュ リ テ ィ イ ンテ リ ジ ェ ン ス を実現する必要があ り ます。ま た、効果を さ ら に高

める ためには、あ ら ゆ る製品で共有する必要があ り ます。

20

ソ リ ューシ ョ ン設計の概要

脅威管理の有効化テク ノ ロジー

レ ト ロスペクテ ィ ブ セキュ リ テ ィ ：イベン ト の境界を越えて

レ ト ロ スペク テ ィ ブ セキ ュ リ テ ィ は、シ ス コ のセキ ュ リ テ ィ ソ リ ューシ ョ ン独自の も のであ

り 、高度な脅威 と 現代のマルウ ェ アに対抗する ための基盤です。レ ト ロ スペク テ ィ ブ セキ ュ リ

テ ィ はビ ッ グデータ分析を活用する継続的な機能であ り 、ト ラ ッ キン グ と 分析を常時行 う ため、拡張さ れたネ ッ ト ワーク全体か らデータおよびイベン ト を集約し、フ ァ イルなどの当初安全 と見な さ れていた項目が後か ら悪意のあ る も のだ と 判明し た場合には、ア ラー ト を発し その項目の修復を行います。あ る フ ァ イルが当初検出シ ス テム を通過し、悪意がないか未知の も の と 見なさ れていたが、後か ら悪意があ る と 判別さ れた場合、そのフ ァ イルはレ ト ロ スペク テ ィ ブに識別さ れ、ア ウ ト ブレ イ ク の範囲の把握 と 抑制が行われます。そ し て 終的には時間を さ かのぼってマルウ ェ アを自動的に修復する こ と がで き る のです。こ の仕組みが導入され、実装が成功する までは、イベン ト の境界を越えて攻撃を追跡する方法はな く 、た と えばフ ァ イルの追跡の「後戻 りは不可能」で し た（フ ァ イルが「問題な し」 と し て処理さ れてネ ッ ト ワーク内に入った後突然姿を隠し、自身を埋め込んで別のア ク シ ョ ン を行 う 場合など）。

図 9 に、イベン ト の境界を越えた レ ト ロ スペク シ ョ ンの例 と 、AV、IPS、サン ド ボ ッ ク ス など、脅威

管理シ ス テムの主要パーツ と 見な さ れている一般的なマルウ ェ ア対策技術をい く つか使用し たレ ト ロ スペク テ ィ ブで継続的な分析 と 、ポ イ ン ト イ ン タ イ ムでの検出 と の比較を示し ます。特に「サン ド ボ ッ ク ス対応」であ る可能性があ る 新の脅威の対応には、こ の機能が非常に重要です。図 9 の上部は、対応が不十分であ る、典型的なポ イ ン ト イ ン タ イ ムでの検出（レ ト ロ スペク シ ョ

ン を備えていない）を示し ています。一方、下部ではポ イ ン ト イ ン タ イ ムの「初期処理」に継続的な分析が追加さ れてお り 、 新のマルウ ェ アの捕捉 と 高度な攻撃か ら の防御にレ ト ロ スペクシ ョ ンが必要な理由を示し ています。こ の図の下部では、脅威管理シ ス テムが、イベン ト の境界を越えてア ウ ト ブレ イ クする可能性があ る正確な「範囲」を示し、さ ら な る ア ウ ト ブレ イ ク を動的に防ぐ手段を正確に適用する方法を理解する には、ターゲ ッ ト の可視性が重要であ る理由を説明し ています。

21

ソ リ ューシ ョ ン設計の概要

図 9 イベン ト の境界：ポイ ン ト イ ン タ イムの検出と継続的な分析の比較

レ ト ロスペクシ ョ ンの主要テク ノ ロジー： ト ラジ ェ ク ト リー

ト ラ ジ ェ ク ト リ ーはシ ス コ独自のテ ク ノ ロ ジーであ り 、セキ ュ リ テ ィ ソ リ ューシ ョ ンが イベン

ト の境界を越えたマルウ ェ アを見失 う こ と がない よ う に し ます。こ のため、こ のテ ク ノ ロ ジーは、 新のデータ セン ターで利用すべき、イベン ト まはた脅威を中心に据えたセキ ュ リ テ ィ モデ

ルに不可欠な コ ンポーネン ト と なっています。ト ラ ジ ェ ク ト リ ーに よ り 可視性が増すこ と に加え、ト ラ ジ ェ ク ト リ ーにはア ウ ト ブレ イ ク の発生時に SecOPS チームがその範囲を判別し、ネ ッ

ト ワーク全体のシ ス テム ま たはエン ド ポ イ ン ト レベルで、マルウ ェ ア ま たは疑わ し いフ ァ イル

を追跡する のに役立つ と い う 特性があ り ます。ト ラ ジ ェ ク ト リ ーは、高度なマルウ ェ ア対策の ソリ ューシ ョ ン ポー ト フ ォ リ オ全体に拡張さ れている機能です。

ト ラ ジ ェ ク ト リ ーはネ ッ ト ワーク にマルウ ェ ア対策用のフ ラ イ ト レ コーダーを導入し ている よ

う な も のであ り 、マルウ ェ アの行動 と 移動先のすべてを記録し ます。今日のマルウ ェ アは動的で、さ ま ざ ま な攻撃ベク ト ルか ら ネ ッ ト ワークやエン ド ポ イ ン ト に侵入で き ます。マルウ ェ アが目的の ターゲ ッ ト で実行さ れる と 通常、さ ら にマルウ ェ アをダ ウ ン ロー ド する と いった、多数の悪意あ る行動や一見問題のない行動が実行さ れます。こ の ソ リ ューシ ョ ンは、ビ ッ グ データ分析

に よ り こ れら のフ ァ イル ア ク テ ィ ビテ ィ をキ ャ プチャ し て視覚的なマ ッ プを作成し、ネ ッ ト

ワーク、エン ド ポ イ ン ト 、シ ス テムのすべてのレベルでア ク テ ィ ビテ ィ の可視性を提供し ます。そのため、セキ ュ リ テ ィ 担当者が、マルウ ェ アの侵入ポ イ ン ト 、感染、動作をすばや く 特定で き るよ う にな り ます。こ れに よ り 、マルウ ェ ア攻撃ア ク テ ィ ビテ ィ に対する今までにない可視性が提供さ れ、 終的にマルウ ェ ア ア ウ ト ブレ イ ク の制御におけ る検出か ら修復までのギ ャ ッ プが埋

め られます。こ れは、シ ス コ だけが実現で き る、レ ト ロ スペク テ ィ ブ セキ ュ リ テ ィ の重要な イ

ネーブ ラ です。

3479

37

ポイントインタイムの検出

ウイルス対策

サンドボックス

初期の要素 = 問題なし 実際の要素 = 悪質 = 手遅れ!!

分析を停止

影響範囲が分からない

時間を遡る

可視性と制御がカギ

スリープ技術 未知のプロトコル 暗号化 ポリモーフィズム

100% ではない

レトロスペクティブ（継続的な）検出

初期の要素 = 問題なし 実際の要素 = 悪質 = ブロック

分析を継続

22

ソ リ ューシ ョ ン設計の概要

ネ ッ ト ワーク フ ァ イルおよびデバイスの ト ラジ ェ ク ト リー

セキ ュ リ テ ィ 担当者は、ネ ッ ト ワークおよびエン ド ポイ ン ト 全体に及ぶマルウ ェ アの広範な影響、コ ンテキ ス ト 、拡大を把握し よ う と努力し ています。マルウ ェ アの検出が独立し た イ ンシデン ト なのか、複数のシステムに影響が及んでいるかど う かは必ず把握すべき情報です。フ ァ イル ト ラ

ジェ ク ト リ ーは、既存の FirePOWER アプラ イ アン ス または FireAMP コネ ク タ を使用し て、ネ ッ ト

ワーク全体でマルウ ェ アを監視し、侵入ポ イ ン ト 、感染、使用されたプロ ト コル、影響を受けたユーザまたはエン ド ポ イ ン ト に関する詳細な情報を提供し ます（図 10 および 図 11 を参照）。

ネ ッ ト ワーク フ ァ イル ト ラ ジ ェ ク ト リ ーは組織全体を監視し、以下を明ら かに し ます。

• 感染し たシ ス テムは?

• 初の感染対象（患者 0）はどれか? 感染はいつか?

• 侵入口は?

• いつ発生し たか?

• ほかに持ち込まれた も のは?

図 10 ネ ッ ト ワーク全体に対する フ ァ イル ト ラジ ェ ク ト リー

23

ソ リ ューシ ョ ン設計の概要

図 11 動的なフ ァ イル分析の要約

フ ァ イル ト ラ ジ ェ ク ト リ ーおよびデバイ ス ト ラ ジ ェ ク ト リ ーに よ り 実現さ れる フ ァ イル ベー

スの機能に よ り 、シ ス テム レベルで詳細なデータ キ ャ プチャ、マルウ ェ アおよびフ ァ イル ア ク

テ ィ ビテ ィ の視覚化を提供する シ ス コ の機能が さ ら に強化されま し た。これに よ り 、セキ ュ リテ ィ およびイ ンシデン ト 対応チームが根本原因の分析を行い、侵害されたシ ス テム上のマルウ ェ ア と さ ら な る感染の可能性 と の関連を正確に追跡する ための重要な機能が提供されます。デバイ ス ト ラ ジ ェ ク ト リ ーに よ り 、シ ス テムが根本原因を迅速に分析し、再感染の ラ イ フサ イ ク

ルを絶ち切れる よ う にな り ます。

デバイ ス ト ラ ジ ェ ク ト リ ーは、シ ス テム全体におけ る疑わ し いア ク テ ィ ビテ ィ を検出する ため

の強力な検索およびフ ィ ルタ リ ン グ機能 と 、FireAMP が イ ン ス ト ール さ れたシ ス テムに関する

さ ら に詳細な分析に よ り 、侵害さ れたシ ス テム上のマルウ ェ ア と 、広範囲に及ぶ感染 と の関係を正確に追跡し ます。デバイ ス ト ラ ジ ェ ク ト リ ーを使用する こ と に よ り 、お客様は不審なア ク テ ィ

ビテ ィ や悪意のあ る ア ク テ ィ ビテ ィ を素早 く 検出し、同じ よ う な指標がないかど う か、すべてのシ ス テム を迅速に検索する こ と がで き ます。デバイ ス ト ラ ジ ェ ク ト リ ーは、親子の系統や関係に

あ るデータ を追跡し ます。つま り フ ァ イルやアプ リ ケーシ ョ ンの作成元であ る フ ァ イルや、他のフ ァ イルをダ ウ ン ロー ド し たフ ァ イルなど を追跡し ます。デバイ ス ト ラ ジ ェ ク ト リ ーは、別のプ

ロ セスの生成や実行を行ったプ ロ セス など、発生元 と な る プ ロ セス も検出し ます。ま た、IP ア ド

レ ス、ポー ト 、プ ロ ト コル、および URL を含め、通信も追跡し ます。（図 12 を参照）。

さ ら に、動的な ト ラ ジ ェ ク ト リ ー情報を使用する こ と に よ り 、侵害の可能性の指標を素早 く 識別する こ と がで き ます。こ の よ う な指標はなん ら かの変化であ った り 、侵害が発生し、漏洩が起こ った可能性が高い こ と を示す他の動作であ った り し ます。デバイ ス ト ラ ジ ェ ク ト リ ーは各デ

バイ ス を詳細に分析し、以下の事項を明ら かに し ます。

• 脅威がシ ス テムに侵入し た方法は?

• 特定デバイ スの感染状況は?

• どんな通信が実行さ れた?

• 現在明ら かになっていない こ と は何か?

• イベン ト の一連の流れは?

24

ソ リ ューシ ョ ン設計の概要

図 12 フ ァ イルおよびデバイスの ト ラジ ェ ク ト リー

前述し た攻撃チェーン と 同様、FireSIGHT Management Center では、画面に し たがって自然に、侵

入や侵害の指標に対応で き る フ ローがあ り ます。オペレータ が潜在的な脅威の分析を行 う 場合のフ ロー図の例を 図 13 に示し ます。次の項では、根本原因の分析を行 う 手順の例についてのス

ク リ ーン キ ャ プチャ をい く つか示し ます。

（注） こ れは単な る サンプル ワーク フ ローであ り 、こ の項で取 り 上げる フ ローの例が FirePOWER Management System の 大限の能力や機能を示し てい るわけではあ り ません。

図 13 サイバー防御者の分析ワーク フ ローの例

[Context Explorer] 画面か ら ド リ ルダ ウ ン し て さ ら に詳細な分析を行 う こ と がで き ます （図 14 を参照）。

3479

38ExplorerContextExplorerContext セキュリティ

侵害の指標 侵入情報 ファイル情報ホスト プロファイル

マルウェア イベント属性

根本原因の分析

25

ソ リ ューシ ョ ン設計の概要

図 14 主要な [Context Explorer] 画面

さ ら に ド リ ルダ ウ ンする と 、図 15 に示すよ う に、[ホ ス ト 別の侵害数（Compromise by Hosts）] および [指標別のホ ス ト 数（Hosts by Indication）] を示す画面が表示さ れます。[セキ ュ リ テ ィ 侵害の

指標（Indicators of Compromise）] は強力な画面です。こ の画面を使用する こ と に よ り オペレー

ターは、侵害さ れた と 判断で き る ホ ス ト をすぐに特定し、そ こ か ら [ホ ス ト プ ロ フ ァ イル（Host Profile）] 画面に ド リ ルダ ウ ン し て、さ ら に詳細な コ ンテキ ス ト を把握する こ と がで き ます。

図 15 侵害されたホス ト の指標

26

ソ リ ューシ ョ ン設計の概要

図 16 に [セキ ュ リ テ ィ 侵害の指標（Indicators of Compromise）] を さ ら に ド リ ルダ ウ ン し た結果

表示さ れる、[ リ ス クおよびアプ リ ケーシ ョ ン ご と の ト ラ フ ィ ッ ク数（Traffic by Risk and Application）]、[ リ ス クおよびアプ リ ケーシ ョ ン ご と の侵入イベン ト 数（Intrusion Events by Risk and Application）]、および [ リ ス クおよびアプ リ ケーシ ョ ン ご と のホ ス ト 数（Hosts by Risk and Application）] を示し ます。

図 16 ク ラ イアン ト アプ リ ケーシ ョ ンご との侵害の指標

図 17 に、詳細な侵入情報の画面を示し ます。こ の画面には、影響別の侵入および優先順位情報が

表示さ れる ので、オペレータはまず、 も重要な問題への対応に集中する こ と がで き ます。ま た、特定さ れた各マルウ ェ アを表示する ための ド リ ルダ ウ ン も使用する こ と がで き ます。

27

ソ リ ューシ ョ ン設計の概要

図 17 詳細な侵入情報

侵入について さ ら に ド リ ルダ ウ ンする と 、[検証済みの脅威のデフ ォル ト ワーク フ ロー（Verified Threats Default Workflow）]（図 18 を参照）および [侵入イベン ト の詳細（Intrusion Event Specifics）]（図 19 を参照）が表示さ れます。

28

ソ リ ューシ ョ ン設計の概要

図 18 検証済みの脅威

さ ら に ド リ ルダ ウ ンする と 、図 19 の イベン ト の詳細画面が表示さ れた、マルウ ェ アの イベン ト

属性手順に進みます。

図 19 イベン ト の詳細

侵入の詳細に対する詳細な分析が完了する と 、ワーク フ ローでの次の手順はターゲ ッ ト と なったフ ァ イルについて さ ら に理解する こ と です。

[フ ァ イル情報（File Information）] 画面（図 20 を参照）で、Network AMP ま たは FireAMP ク ラ イ ア

ン ト に よ って検出さ れた破損フ ァ イルに対する マルウ ェ アのマ ッ ピ ン グが開始されます。こ こで、フ ァ イル名、ホ ス ト 、およびマルウ ェ アのマ ッ ピ ン グ を参照で き ます。マルウ ェ アの検出には複数のホ ス ト が関連し ている可能性があ る ため、こ のビ ューで、ネ ッ ト ワーク の全体的な状況を確認する こ と が重要です。

29

ソ リ ューシ ョ ン設計の概要

図 20 マルウ ェ アおよびフ ァ イルの詳細

前の項で説明し た よ う に、ネ ッ ト ワーク フ ァ イル ト ラ ジ ェ ク ト リ ー機能に よ り 、侵害されたデ

バイ スおよびフ ァ イルについて、ネ ッ ト ワーク の全体的な状況を確認する こ と がで き ます。図 21 に、[ネ ッ ト ワーク フ ァ イル ト ラ ジ ェ ク ト リ ー（Network File Trajectory）] 画面 と 、ホ ス ト と 侵害の

指標をマ ッ ピ ン グする [ホ ス ト プ ロ フ ァ イル（Host Profile）] 画面に さ ら に ド リ ルダ ウ ン し た画

面を示し ます。

30

ソ リ ューシ ョ ン設計の概要

図 21 [ネ ッ ト ワーク ト ラジ ェ ク ト リー（Network Trajectory）]および[ホス ト プロ フ ァ イル（Host Profile）]

[マルウ ェ アが検出さ れた IoC（Malware Detected IoC）] を選択する と 、図 22 に表示さ れてい る よ

う に、こ のホ ス ト のマルウ ェ ア検出に関する詳細な属性を表示し、対応で き ます。こ の画面を使用する こ と に よ り オペレータは、疑わ し いフ ァ イルをサン ド ボ ッ ク ス処理する ために Cisco-Sourcefire ク ラ ウ ド に送信する こ と を選択する前であ って も、マルウ ェ ア イベン ト に関す

る コ ンテキ ス ト 情報を確認し て、疑わ し いフ ァ イルが組織に与え る リ ス ク を評価する こ と ができ ます。セキ ュ リ テ ィ イ ンテ リ ジ ェ ン ス フ ィ ー ド に よ って、Cisco-Sourcefire ク ラ ウ ド 、VRT など

のビ ッ グデータ ソース を活用し て、ト ラ フ ィ ッ ク の送信元および宛先に基づいてポ リ シーを設

定で き る よ う にな り ます。こ の画面では、Cisco-Sourcefire ク ラ ウ ド で提供さ れる URL レ ピ ュ

テーシ ョ ン も利用さ れます。脅威イベン ト の複数の ソース を活用する こ と に よ り 、オペレータは脅威の コ ンテキ ス ト 全体を把握で き ます。

31

ソ リ ューシ ョ ン設計の概要

図 22 コ ンテキス ト ベースの検証済み脅威

図 23 に、 終的な分析結果の詳細 と し て、疑わ し いフ ァ イルの一連の分類/ス コ ア リ ン グ を示し

ます。ワーク フ ローの こ の段階では、オペレータ がフ ァ イルに対し て適切なア ク シ ョ ン を取る こと を選択で き ます。

32

ソ リ ューシ ョ ン設計の概要

図 23 脅威分析の詳細

繰 り 返し ますが、上記のワーク フ ローは、オペレータ が FireSIGHT Management Center を使用し

て段階的に分析プ ロ セス を進め、解決する ために取るべき適切な次の手順を判断する ための簡単な例です。

全行程における脅威管理

FirePOWER システムは、脅威管理機能の広範なセ ッ ト を使用可能にする、一連の重要なテ ク ノ ロ

ジーを提供し ます。ただし、攻撃前、攻撃中、攻撃後に対するセキ ュ リ テ ィ アーキテ クチャ を主要

な設計指針とする場合は、これらの機能がデータセン ター全体で必要な こ と は明らかです。ポ イ ント イ ン タ イ ムで単一の攻撃ベク ト ルに対応するだけの ソ リ ューシ ョ ンであってはな り ません。

図 24 に、侵害さ れたユーザ デバイ スか らデータ セン ター サーバにア ク セス し よ う と する マル

ウ ェ アの例を示し ます。

33

ソ リ ューシ ョ ン設計の概要

図 24 動作中の、攻撃前、攻撃中、攻撃後モデル

1. ク ラ イ アン ト 上の FireAMP が ク ラ イ アン ト でフ ァ イルの分析を実行し、マルウ ェ アを特定し削除し ます。ISE がアプ リ ケーシ ョ ンのホ ワ イ ト リ ス ト を使用し て、ユーザおよびデバイスのポ スチャ リ ン グ を実行し ます。ユーザ ア ク テ ィ ビテ ィ が FireSIGHT Management Center に送信さ れます。FireAMP が検出結果を FireSIGHT Management Center に報告し ます。

2. シ ス コ のス イ ッ チン グ フ ァ ブ リ ッ ク は SGACL を適用し、NetFlow レ コー ド を ト ラ フ ィ ッ ク分析のために FireSIGHT Management Center および Lancope StealthWatch に送信し ます。

3. Nexus 7000 か ら ASA/FirePOWER アプ ラ イ アン ス ク ラ ス タへのフ ァ ブ リ ッ ク接続に よ り 、データ のブ ラ ッ ク ホール化および検査回避が防止さ れます。

4. マルウ ェ ア パケ ッ ト が、拡張ア ク セス コ ン ト ロール リ ス ト の適用、ト ラ フ ィ ッ ク の正規化、およびプ ロ ト コルの検査用の ASA ク ラ ス タ に侵入し ます。

5. マルウ ェ ア パケ ッ ト が、侵入防止、ネ ッ ト ワーク AMP フ ァ イル分析、アプ リ ケーシ ョ ンの検出および制御、フ ァ イル ト ラ ジ ェ ク ト リ ー、ネ ッ ト ワーク ト ラ ジ ェ ク ト リ ー、機密データ に対する DLP のための FirePOWER アプ ラ イ アン スに侵入し ます。

6. Secure Enclave Architecture は、セキ ュ ア アプ リ ケーシ ョ ンの階層化、ハイパーバイザ レ イヤの水平方向のセキ ュ リ テ ィ 、水平方向のエン ク レーブ セキ ュ リ テ ィ 、セキ ュ ア ワーク ロー ド の自動プロ ビジ ョ ニング、およびサービ ス チェーンを提供し ます。Secure Enclave Architecture の ASAv および仮想 FirePOWER アプラ イ アン ス を活用する こ と によ り 、保護機能を さ らに強化し ます。

キャンパスのユーザ

物理アクセス

コンピューティング

ストレージ

コンバージド ネットワーク スタック

データセンターのサーバ/資産

ASA 55853D8250クラスタ

防御センター

管理

SXP

SXP およびSGACL

DC コア/集約キャンパス コア

モバイル ユーザ

デバイスポスチャリング ファイル分析用の FireAMP ユーザのロギング

SGACLの適用 NetFlow分析

ポリシーの統合 トラフィックの正規化 非対称のトラフィック フロー 冗長性 ASA クラスタ

サーバ上の FireAMP セキュア アプリケーションの階層化 ポート プロファイル SGT の割り当て East-West 保護

SGACL の適用 TrustSec SXP データのブラック ホール化の防止 運用効率

ユーザ ID

ユーザ ID

3479

41

1 2

2

3 4 5

5

6

634

1

侵入防止 ネットワーク AMP ファイル分析 アプリケーションの検出および管理 侵害の指標 レトロスペクション 接続インテリジェンス ファイル トラジェクトリー ネットワーク トラジェクトリー

34

Threat Management with NextGen IPS の設計上の考慮事項

検証済みコ ンポーネン ト

TrustSec を使用し た単一サ イ ト ク ラ ス タ リ ン グが、こ の検証の基盤です。こ の ソ リ ューシ ョ ンで

検証さ れた追加コ ンポーネン ト を表 3 に一覧表示し ます。

Threat Management with NextGen IPS の設計上の考慮事項上記で説明し た よ う に、データ セン ターに影響を与え る脅威に対し て有効な対応を行 う シ ス テム を構築する には、脅威への対応機能を 重要視する こ と が非常に大切です。次の項では、FirePOWER NextGen IPS アプ ラ イ アン ス を フ ァ ブ リ ッ ク に統合する ためのガ イ ダン ス を提供し

ます。次に取 り 上げる のは、FirePOWER アプ ラ イ アン スの高度なテ ク ノ ロ ジーおよび特長に

よ って実現する機能 と 、エン ド ポ イ ン ト 用の高度なマルウ ェ ア防御（AMP）です。こ の説明の目的

は、データ セン ターを保護する ための非常に効果的な対応を実現する ために、脅威管理シ ス テム機能の包括的なセ ッ ト を導入する方法を紹介する こ と です。

FirePOWER アプラ イアンス と管理プラ ッ ト フ ォームの統合

プラ ッ ト フ ォームの管理：FireSIGHT Management Center

FireSIGHT Management Center は、FirePOWER アプ ラ イ アン ス導入用の、一元化さ れた管理ポ イ

ン ト と イベン ト データベース を提供し ます。FireSIGHT Management Center は、侵入、フ ァ イル、

マルウ ェ ア、検出、接続、およびパフ ォーマン スに関するデータ を集約し、関連付け ます。これによ り 、FirePOWER アプ ラ イ アン スが報告する情報を相互に関連付けなが ら モニ タ し、ネ ッ ト

ワーク で発生し ている ア ク テ ィ ビテ ィ 全体を評価し、制御で き る よ う にな り ます。

表 3 検証済みコ ンポーネン ト

コ ンポーネン ト ロール ハー ド ウ ェ ア リ リ ース

Cisco Adaptive Security Appliance（ASA）

データ セン ター フ ァ

イ ア ウ ォール ク ラ ス

タ

Cisco ASA 5585-SSP60

Cisco ASA ソ フ ト

ウ ェ ア リ リ ース 9.2

FirePOWER アプ ラ イ ア

ン ス

NextGen IPS プ ラ ッ ト

フ ォーム

3D8250 5.3

FireSIGHT Management Center アプ ラ イ アン ス

NextGen IPS プ ラ ッ ト

フ ォーム管理

DC3500 5.3

FireAMP エン ド ポ イ ン ト マル

ウ ェ ア防御

該当な し バージ ョ ン XX

Cisco Nexus 7000 集約および FlexPod ア ク セス ス イ ッ チ

Cisco 7004 NX-OS バージ ョ ン 6.1(2)

（注） Cisco FireSIGHT Management Center には、FireSIGHT、保護、マルウ ェ ア、アプ リ ケーシ ョンおよび URL 制御機能の ラ イ セン スが含まれてお り 、こ れら の機能を FirePOWER アプ ラ イ アン スで使用で き ます。

35

Threat Management with NextGen IPS の設計上の考慮事項

FireSIGHT Management Center の主な機能は次の と お り です。

• デバイ ス、ラ イ セン ス、およびポ リ シー管理

• 表、グ ラ フ、チャー ト を使用し た イベン ト およびコ ンテキ ス ト 情報の表示

• 状態 と パフ ォーマン スのモニ タ リ ン グ

• 外部通知およびア ラー ト

• 関連付け、侵害の指標、および リ アルタ イ ムで脅威に対応する ための修復機能

• レポー ト

• ハイ アベイ ラ ビ リ テ ィ （冗長性）機能に よ る運用の継続性の確保

FireSIGHT Management Center で FirePOWER の物理および仮想アプ ラ イ アン ス を管理する に

は、適切な通信フ ローのためのネ ッ ト ワーク接続が必要です。図 25 に、FirePOWER の物理およ

び仮想アプ ラ イ アン ス と FireSIGHT Management Center の間の情報のフ ローを示し ます。

図 25 FireSIGHT Management Center と FirePOWER アプ ラ イアンス間のフ ロー

冗長化された FireSIGHT Management Center の使用

2 つの FireSIGHT Management Center をハイ アベイ ラ ビ リ テ ィ のペア と し て運用し、ど ち ら か 1 つの FireSIGHT Management Center で障害が発生し た場合の機能の冗長性を確保で き ます。

こ の 2 つの FireSIGHT Management Center の間でポ リ シー、ユーザ アカ ウ ン ト などが共有さ れ

ます。イベン ト は両方の FireSIGHT Management Center に自動的に送信さ れます。

FireSIGHT Management Center は相互に、設定に対する変更を定期的に更新し ます。どち ら かの FireSIGHT Management Center に対し て変更が行われた場合、その変更は 10 分以内に も う 1 つの FireSIGHT Management Center に適用さ れます。FireSIGHT Management Center のそれぞれに 5 分の同期サ イ ク ルが設定さ れていますが、こ のサ イ ク ル自体が 大 5 分間同期し ない場合が

あ る ため、変更は 5 分のサ イ ク ル 2 回分の間に行われます。10 分間は、それぞれの FireSIGHT Management Center の設定が異なった状態になっている場合があ り ます。

3479

42

デバイスの統計情報CPU

ディスクメモリ

ポリシー侵入ネットワーク ディスカバリアクセス制御システム状態

FireSIGHT Management Center

マネージド デバイス検出データホストアプリケーションユーザ アクティビティ

イベント侵入検出状態接続データ

トラフィック

36

Threat Management with NextGen IPS の設計上の考慮事項

ハイ アベイ ラ ビ リ テ ィ ペアの FireSIGHT Management Center は、以下の情報を共有し ます。

• ユーザ アカ ウ ン ト の属性

• 認証の設定

• カ ス タ ム ユーザ ロール

• ユーザ アカ ウ ン ト およびユーザ認識用の認証オブジ ェ ク ト 、ア ク セス コ ン ト ロール ルールのユーザ条件で使用可能なユーザおよびグループ

• カ ス タ ム ダ ッ シ ュ ボー ド

• カ ス タ ム ワーク フ ローおよびテーブル

• デバイ ス属性（デバイ スに よ って生成さ れた イベン ト が保存されるデバイ スのホ ス ト 名、デバイ スが存在するデバイ ス グループなど）

• 侵入ポ リ シーおよび関連するルール状態

• フ ァ イル ポ リ シー

• ア ク セス制御ポ リ シーおよび関連するルール

• ローカル ルール

• 侵入ルールのカ ス タ ム分類

• 変数値およびユーザ定義変数

• ネ ッ ト ワーク検出ポ リ シー

• ユーザ定義のアプ リ ケーシ ョ ン プ ロ ト コル デ ィ テ ク タおよびそれら に よ って検出されたアプ リ ケーシ ョ ン

• ア ク テ ィ ブ化さ れている カ ス タ ム フ ィ ンガープ リ ン ト

• ホ ス ト 属性

• 注釈やホ ス ト の重要度などのネ ッ ト ワーク検出に関する ユーザ フ ィ ー ド バ ッ ク、ネ ッ トワーク マ ッ プか ら のホ ス ト 、アプ リ ケーシ ョ ン、ネ ッ ト ワーク の削除、および脆弱性の非アク テ ィ ブ化ま たは変更

• 関連付けポ リ シーおよびルール、コ ンプ ラ イ アン スのホ ワ イ ト リ ス ト 、および ト ラ フ ィ ッ ク プ ロ フ ァ イル

• 調整のスナ ッ プシ ョ ッ ト およびレポー ト 設定の変更

• 侵入ルール、位置情報データベース（GeoDB）、および脆弱性データベース（VDB）の更新

FireSIGHT Management Center のアプ ラ イ アン スの 3 種類のモデル と 各モデルの性能評価を表 4 に示し ます。

表 4 FireSIGHT Management Center の性能

DC750 DC1500 DC3500

管理対象デバイスの最大数

10 35 150

IPS イベン ト の最大数 2 千万 3 千万 1 億 5 千万

イベン ト ス ト レージ 100 GB 125 GB 400 GB

最大ネッ ト ワーク マ ップ（ホス ト /ユーザ）

2 千/2 千 5 万/5 万 30 万/30 万

37

Threat Management with NextGen IPS の設計上の考慮事項

（注） 仮想 FireSIGHT Management Center が利用可能であ り 、 大 25 の物理/仮想アプ ラ イ アン スがサポー ト さ れます。こ れは VMware ESX4.5/5.x 以上 と 互換性があ り 、少な く と も 4 つの CPU コ アおよび 低 4 GB の メ モ リ が必要です。

ラ イセンスの考慮事項

通常、製品やアプ リ ケーシ ョ ンの ラ イ セン スについての ト ピ ッ ク は Cisco Validated Design の対

象ではあ り ませんが、FirePOWER アプ ラ イ アン スでは、テ ク ノ ロ ジーおよび機能の包括的な

セ ッ ト がサポー ト さ れる ため、こ の ド キ ュ メ ン ト では、補完情報 と し て ラ イ セン スについて簡単に取 り 上げます。

FireSIGHT

FireSIGHT ラ イ セン スは FireSIGHT Management Center に含まれてお り 、ホ ス ト 、アプ リ ケー

シ ョ ン、およびユーザの検出の実行に必要です。FireSIGHT Management Center の FireSIGHT ライ セン スに よ り 、FireSIGHT Management Center およびその管理対象デバイ ス を使用し てモニ タ

で き る個別のホ ス ト およびユーザの数 と 、ユーザ制御に使用で き る ユーザの数が決ま り ます （表 5 を参照）。ラ イ セン スは FireSIGHT Management Center の初期設定時に追加する こ と をお勧

め し ます。そ こ で追加し ない と 、FireSIGHT Management Center の初期設定時に登録さ れたデバ

イ スが、いずれ も ラ イ セン スがない状態にな り ます。初期設定のプ ロ セスの完了後、ラ イ セン スを各デバイ スでそれぞれ有効にする必要があ り ます。

保護

保護ラ イ セン スは、管理対象デバイ スが、侵入の検出 と 防御、フ ァ イルの制御、およびセキ ュ リテ ィ イ ンテ リ ジ ェ ン ス フ ィ ルタ リ ン グ を実行で き る よ う に し ます。

最大フ ロー レー ト 2000 fps 6000 fps 10000 fps

ハイ アベイ ラ ビ リテ ィ 機能

Lights Out Management（LOM）

RAID 1、LOM、ハイ アベイ ラ ビ リ テ ィ ペア

リ ン グ（HA）

RAID 5、LOM、HA、冗

長 AC 電源

表 4 FireSIGHT Management Center の性能 （続き）

DC750 DC1500 DC3500

表 5 FireSIGHT Management Center モデルにおける FireSIGHT の制限

FireSIGHT Management Center モデル FireSIGHT ホス ト およびユーザの制限

仮想 FireSIGHT Management Center 50,000

DC500 1000（ユーザ制御な し）

DC750 2000

DC1000 20,000

DC1500 50,000

DC3000 100,000

DC3500 300,000

38

Threat Management with NextGen IPS の設計上の考慮事項

制御

制御ラ イ セン スは、管理対象デバイ スがユーザおよびアプ リ ケーシ ョ ンの制御を実行で き る よう に し ます。ま た、こ の ラ イ セン スは、デバイ スが、ス イ ッ チン グおよびルーテ ィ ン グ（DHCP リ

レーを含む）、ネ ッ ト ワーク ア ド レ ス変換（NAT）を行った り 、デバイ スおよびス タ ッ ク を ク ラ ス

タ化し た り で き る よ う に し ます。制御ラ イ セン スには、保護ラ イ セン スが必要です。

URL フ ィ ルタ リ ング

URL フ ィ ルタ リ ン グ ラ イ セン スは、管理対象デバイ スが ク ラ ウ ド ベースのカテゴ リ およびレ

ピ ュ テーシ ョ ン データ を定期的に更新し て、モニ タ対象のホ ス ト か ら要求される URL に応じ て

ネ ッ ト ワーク を通過で き る ト ラ フ ィ ッ ク を決定で き る よ う に し ます。URL フ ィ ルタ リ ングの ラ

イ セン スには、保護ラ イ セン スが必要です。

マルウェ ア

マルウ ェ ア ラ イ セン スは、管理対象デバイ スがネ ッ ト ワークベースの高度なマルウ ェ ア防御

（AMP）を実行で き る よ う に し ます。こ の機能に よ り 、プ ラ ッ ト フ ォームがネ ッ ト ワーク を経由し

て送信さ れる マルウ ェ ア フ ァ イルを検出、キ ャ プチャ、およびブ ロ ッ ク し、それ ら のフ ァ イルを

動的な分析のために送信で き る よ う にな り ます。こ の機能を利用する こ と に よ り 、オペレータは、ネ ッ ト ワーク経由で送信さ れたフ ァ イルを追跡する、フ ァ イル ト ラ ジ ェ ク ト リ ーを確認する

こ と がで き ます。マルウ ェ ア ラ イ セン スには、保護ラ イ セン スが必要です。

NextGen IPS フ ァ ブ リ ッ クの統合

FirePOWER アプ ラ イ アン スが イ ン ラ イ ンで導入さ れてい る場合は、こ のアプ ラ イ アン ス を使用

し て、複数の基準に基づいて ト ラ フ ィ ッ ク フ ローに影響を与え る こ と がで き ます。FirePOWER アプ ラ イ アン スは、従来の IPS デバイ スに よ って提供さ れる脅威管理機能を大幅に上回る機能

を備えています。こ れら の機能については、こ の ド キ ュ メ ン ト で後か ら詳細に説明し ます。

ASA ク ラス タの統合

TrustSec CVD を使用し た単一サ イ ト の ク ラ ス タ リ ングは、ASA 5585-X の運用を ク ラ ス タ モー

ド で統合する際の設計および導入に関する考慮事項についての詳細な情報を提供し ます。こ の CVD の リ リ ースか ら、ASA オペレーテ ィ ング シ ス テムのバージ ョ ン 9.2 は、新し い リ リ ースに

な り ま し た。 新の 9.2 リ リ ースでは、 大 16 の EtherChannel と のア ク テ ィ ブ リ ン ク のサポー

ト に よ り 、拡張性が向上さ れています。こ れに よ り お客様は、 大 640 Gbps の帯域向けに、ク ラ

ス タ内で ASA 5585-X を 大 16 まで拡張で き ます。

ASA ク ラ ス タ を導入する場合、ASA シ ス テムが正常に動作する には、すべての ASA の設定が

ま った く 同じ でなければな り ません。さ ら に、こ れら の ASA は一貫し た方法で導入する必要が

あ り ます。こ れは、フ ァ ブ リ ッ ク に接続する各ユニ ッ ト で同じ タ イ プのポー ト を使用する こ と について も該当し ます。ス イ ッ チン グ フ ァ ブ リ ッ クへの ク ラ ス タ制御 リ ン ク には同じ ポー ト を使

用し ます。データ リ ン ク について も同様です。ASA ク ラ ス タ が適切に導入される と 、ク ラ ス タ の

マス ター ユニ ッ ト に よ り 、こ のユニ ッ ト の設定が ク ラ ス タ内の他のユニ ッ ト に複製される ため、

ク ラ ス タ の導入はすべてのユニ ッ ト で統一さ れるはずです。

39

Threat Management with NextGen IPS の設計上の考慮事項

ASA ク ラス タのパフ ォーマンス

ク ラ ス タへ新し い ASA 5585-X を追加する こ と に よ り 、シ ス テム全体でそのユニ ッ ト の合計処理

能力の約 70 % スループ ッ ト が向上し ます。ASA 5585-X-SSP60 のスループ ッ ト は、 適な ト ラ

フ ィ ッ ク、ジ ャ ンボフ レーム、ま たは UDP ト ラ フ ィ ッ ク の 40 Gbps、および IMIX/EMIX ト ラ

フ ィ ッ ク の約 20 Gbps です。 大接続数および 1 秒あた り の接続数には、それぞれ 60 % および 50 % のス ケー リ ング係数が設定さ れます （表 6を参照）。

ASA ク ラス タのヘルス ステータ ス

マス ター ユニ ッ ト は ク ラ ス タ内のすべてのユニ ッ ト を、ク ラ ス タ リ ン ク経由でキープア ラ イ ブ メ ッ セージを送信する こ と に よ ってモニ タ し ます。ASA イ ン ターフ ェ イ スがスパニング さ れた EtherChannel モー ド で稼働し ている場合、該当のユニ ッ ト は cLACP メ ッ セージをモニ タ し、リ

ン ク ス テータ ス をマス ターに戻し ます。ヘルス モニ タ リ ン グが有効になっている場合、障害が

発生し たユニ ッ ト は ク ラ ス タ か ら自動的に削除さ れます。マス ター ユニ ッ ト で障害が発生し た

場合、ク ラ ス タ内にあ る優先順位が 高の別の メ ンバーがマス ター ロールを引き継ぎ ます。

ASA から従来の Cisco IPS への ト ラ フ ィ ッ ク フ ロー

こ の ド キ ュ メ ン ト 全体を通じ て説明し ている よ う に、こ の ソ リ ューシ ョ ンは、TrustSec アーキテ

ク チャ を使用し た単一サ イ ト 上に構築さ れている ため、FirePOWER アプ ラ イ アン スが、ASA 5585-X の 16 ノ ー ド ク ラ ス タ に、一貫し たアーキテ ク チャ で統合されている こ と が重要です。

ASA 5585-X で IPS モジ ュールの ト ラ フ ィ ッ ク が流れる方法について簡単に確認し てお く こ と

は、こ の設計ガ イ ド で説明さ れている アーキテ ク チャ的なアプ ローチの背景にあ る コ ンテキ スト や理由を理解する のに役立ち ます。

ASA 5585-X は 2 ス ロ ッ ト のシ ャーシであ り 、こ のシ ャーシの 初のス ロ ッ ト は ASA 5585-X-SSP60 モジ ュールに よ って使用さ れています。TrustSec を使用し た単一サ イ ト ク ラ ス タ

リ ン グの設計ガ イ ド は、IPS モジ ュール（5585-SSP-IPS60）を 2 番めのス ロ ッ ト へ統合する方法に

ついてのガ イ ダン ス を提供し ます。2 番目のス ロ ッ ト に IPS モジ ュールがあ る場合、ト ラ フ ィ ッ

ク は「IPS オン ス テ ィ ッ ク」アプ ローチの場合 と ほぼ同様に流れます。ASA で設定さ れている ト

ラ フ ィ ッ ク ポ リ シーは、図 26 に示すよ う に、IPS モジ ュールを通過する必要があ る ト ラ フ ィ ッ

ク を、デ ィ ープ パケ ッ ト イ ン スペク シ ョ ンの対象 と し て識別し ます。ト ラ フ ィ ッ ク が ASA シ ャーシ内に残っている に も かかわ らず、こ の ト ラ フ ィ ッ ク は ASA モジ ュールか ら送信さ れ、

IPS 5585-SSP-IPS60 モジ ュールを通過し、再度戻 り ます。次の項では、データ セン ター フ ァ ブ

リ ッ ク に FirePOWER アプ ラ イ アン ス を統合する ために、こ の基本的なモデルがどの よ う に変更

さ れている かについて説明し ます。

表 6 ASA ク ラス タのパフ ォーマンス

機能 パフ ォーマンス

ASA 5585-X フ ァ イ ア ウ ォール スループ ッ ト ：マルチプ ロ

ト コル

20 Gbps

ASA 5585-X の 16 ノ ー ド の ク ラ ス タ（IMIX/EMIX） 224 Gbps

1 秒あた り の TCP 接続の数（1 シ ャーシ） 350 K cps

ASA 5585-X 16 ノ ー ド ク ラ ス タ TCP cps 2.8 M cps

同時（ 大）TCP 接続（1 シ ャーシ） 10 M（ 大）

ASA 5585-X の ノ ー ド ク ラ ス タ の 大接続数 96 M（ 大）

40

Threat Management with NextGen IPS の設計上の考慮事項

図 26 ASA から IPS 5585-SSP-IPS60 へのフ ロー

Threat Management with NextGen IPS の設計上の考慮事項

こ の項では、既存の Nexus および ASA データセン ターのお客様が、シス コ FirePOWER システムの

高度な脅威管理機能を利用でき る よ う にするいつ く かのアーキテ クチャ オプシ ョ ンについて説

明し ます。各設計の目的は、ネ ッ ト ワークへの影響の観点から セキ ュ リ テ ィ システムを 高の水

準で統合し続け、リ ス ク、パケ ッ ト 損失、ダウ ン タ イ ムは 小化し、既存のハイ アベイ ラ ビ リ テ ィ データセン ターの規模や機能は 大化する こ と です。セキ ュ ア データセン ター エン タープラ イ ズ ポー ト フ ォ リ オに合わせて、ご使用のアーキテ クチャ を更新するお客様の投資を 大限保護するために、3 つの初期設計オプシ ョ ンに対する具体的なデザイ ン ガ イ ダン スが用意されています。こ

れらのオプシ ョ ンは、イ ン ラ イ ン と パッ シブ、物理と仮想、スケール管理 と ト ラ フ ィ ッ ク管理など、導入タ イプで異な り ます。同様に、セキ ュ リ テ ィ ソ リ ューシ ョ ン自体の拡張性や、サポー ト 対象の

機能の点でも異な り ます。いずれのオプシ ョ ンで も、お客様がシス コに期待するデータセン ター ネ ッ ト ワーク の重要な必須条件は維持されます。必須条件 と は以下の とお り です。

• ハイ アベイ ラ ビ リ テ ィ

• ゼ ロ ダ ウ ン タ イ ム

• フ ローの存続可能性

• ハー ド ウ ェ アおよび リ ン ク の冗長性

• リ ン ク の多様性 と 決定論的フ ロー処理

• 非対称パケ ッ ト フ ローの期待どお り かつ適切な処理

• 異常な ト ラ フ ィ ッ ク ま たは ト ラ フ ィ ッ ク のブ ラ ッ ク ホール化の受け入れ拒否

• 柔軟な拡張性

• 低遅延

• サービ スのデフ ォル ト のパケ ッ ト 損失ペナルテ ィ な し

• 管理性/可視性/オーケ ス ト レーシ ョ ン

• セキ ュ リ テ ィ および規制の遵守

Threat Management with NextGen IPS のオプシ ョ ンについては以下で詳し く 説明し ます。こ れら

のオプシ ョ ンには、次の も のがあ り ます。

• オプシ ョ ン 1：イ ン ラ イ ン設計の FirePOWER（ASA ク ラ ス タ コ ンテキ ス ト ペア）

• オプシ ョ ン 2：パ ッ シブ設計の FirePOWER

• オプシ ョ ン 3：仮想 FirePOWER および仮想 ASA の設計

41

Threat Management with NextGen IPS の設計上の考慮事項

各オプシ ョ ンについて後から詳し く 説明し ます。また、脅威を中心にし たアプローチを、攻撃前、攻撃中、攻撃後に活用する方法についての説明では、脅威フ ローのダ イ アグ ラ ムが使用されます。

オプシ ョ ン 1：ASA ク ラス タ と イン ラ インの FirePOWER

ASA ク ラ ス タ の コ ンテキ ス ト ペア リ ン グ技術を使用する と 、ASA を使用し た イ ン ラ イ ンの FirePOWER NextGen IPS の導入で、 高のス ケー リ ング スループ ッ ト が実現し ます。こ の場合ス

ケー リ ン グ上の理由か ら、物理フ ォーム フ ァ ク タ を使用し て導入されていなければな り ません。イ ン ラ イ ンの展開には さ ら に、攻撃 ト ラ フ ィ ッ ク が指定さ れた ターゲ ッ ト を攻撃する前に こ のト ラ フ ィ ッ ク を ド ロ ッ プで き る と い う メ リ ッ ト があ り ます。そのためには、ネ ッ ト ワーク フ ァ ブ

リ ッ ク の 適な位置、つま り ソースのあ る場所に配置さ れている必要があ り ます。ASA ク ラ ス タ

の コ ンテキ ス ト ペア リ ン グに よ り 、ASA ク ラ ス タ のス ケールで設計されたセキ ュ ア データ セン

ターであ ら ゆ る セキ ュ リ テ ィ 機能を利用で き る よ う にな り ます。

• OpenAppID™ を使用し たアプ リ ケーシ ョ ンの可視性 と 制御

• URL の分類および侵害の関連指標

• FireSIGHT™ エン ド ポ イ ン ト の可視性およびコ ンテキ ス ト と 侵害の関連指標

• NextGen IPS と FirePOWER™ の持つ高度な脅威管理機能

• 高度なマルウ ェ ア防御（AMP）

• ユーザ ア イデンテ ィ テ ィ の管理オプシ ョ ン

• ク ラ ウ ド ベースのビ ッ グデータ分析、シ ス コ マネージ ド 脅威対策サービ スの活用

• フ ァ イルおよびネ ッ ト ワーク の ト ラ ジ ェ ク ト リ ー

• ポ イ ン ト イ ン タ イ ム分析 と レ ト ロ スペク テ ィ ブな（継続的な）分析

• 脆弱性管理

• パ ッ チ管理

• フ ォ レ ンジ ッ ク

• NextGen IPS シ ス テムのフ ェール オープン ま たはフ ェール ク ローズ機能

• ASA 導入で標準 と なっている DRP や BGP などの高度なネ ッ ト ワーク機能の完全な補完

• Secure Enclave Architecture の仮想コ ンポーネン ト と の直接統合（こ の ド キ ュ メ ン ト で後述する オプシ ョ ン 3 Secure Enclave におけ る仮想脅威管理を参照）。

ASA ク ラ ス タ の コ ンテキ ス ト ペア リ ン グ設計オプシ ョ ンでは、イ ン ラ イ ン シ ス テムにおけ る既

存の物理データ セン ターのネ ッ ト ワーク展開に対する変更が 小限で済むため、データ センターのダ ウ ン タ イ ムな し で導入を実行で き、ASA ユニ ッ ト ま たは FirePOWER アプ ラ イ アン ス

で障害が発生し た場合であ って も非対称の ト ラ フ ィ ッ ク フ ローをパケ ッ ト 損失な し で管理で き

る と い う ASA ク ラ ス タ の特性を活用する こ と がで き ます。

こ の設計自体は、FirePOWER アプ ラ イ アン ス を各シ ャーシの 2 つの 10 GE イ ン ターフ ェ イ ス経

由で ASA 5585-X と 相互接続し、VLAN タ グの書き換えを活用する こ と に よ って実現し ます。デ

バイ ス間のフ ローは、IPS がモジ ュール と し て ASA 5585-X に組み込まれた場合の一般的なフ

ロー と 同じ ま まにな り ますが、フ ローに追加の コ ンテキ ス ト があ る点が異な り ます。データ センターでの非対称 ト ラ フ ィ ッ ク フ ローのサポー ト を確実に継続する ためには、第 2 の（サウ スバウ

ン ド ）ASA コ ンテキ ス ト が必要です。これは、安全なマルチテナン ト の仮想化のために Secure Enclave Architecture に も関連付け られます。ASA は各 ASA シ ャーシの 2 つの コ ンテキ ス ト で標

準 と なっている ため、マルチコ ンテキ ス ト の導入が実施さ れておらず、コ ンテキ ス ト の ラ イ センスが購入済みであ る場合、こ の導入専用の追加ラ イ セン ス を購入する必要はあ り ません。

42

Threat Management with NextGen IPS の設計上の考慮事項

図 27 および図 28 に、ASA ク ラ ス タ の コ ンテキ ス ト ペア リ ング オプシ ョ ンに必要なデータ セン

ター ネ ッ ト ワーク イ ン フ ラ ス ト ラ ク チャの 小限の変更について説明し ます。

図 27 FirePOWER 実装前のネ ッ ト ワーク構成図

こ の例では、ASA ク ラ ス タは、VLAN 2001 と 3001 と の間で cLACP を使用し た ト ラ ン スペア レ

ン ト モー ド で実装さ れています。VLAN のフ ローが ASA と Nexus 7K（2001 および 3001） と の間

の既存の ト ラ ン ク リ ン ク をマス ク し ている こ と に注意し、図 28 で、「実装後」の図を確認し て く

だ さ い。

VM VM

VM VM

トランク VLAN 2001 3001トランク VLAN 2001 3001

ASA FW クラスタ

3479

43

BGP/OSPFコア

トランク VLAN 3001

SVI VLAN 2001SVI VLAN 200110.1.1.0/2410.1.1.1/24

VLAN2001

VLAN3001

VLAN2001

VLAN3001

PoD

43

Threat Management with NextGen IPS の設計上の考慮事項

図 28 FirePOWER「実装後」のネ ッ ト ワーク構成図

図 28 の「実装後」の図は、ASA ク ラ ス タ マス ターにわずかな変更が適用さ れてい る こ と を示し

ています。ASA は、2 番目の（サウ ス）コ ンテキ ス ト を使用し て、FirePOWER アプ ラ イ アン ス間の

非対称 ト ラ フ ィ ッ ク を双方向で処理で き る よ う に し ます。VLAN 2001 の コ ンテキ ス ト は元のま

ま と な り （マルチ コ ンテキ ス ト がすでに使用中の場合を除 く ）、こ の よ う な場合、VLAN 2001 はノ ース コ ンテキ ス ト の メ ンバー と な り ます（注：「 ノ ース」 と い う 名前は任意です）。VLAN 3001 はサウ ス コ ンテキ ス ト の新し い メ ンバーにな り ます（こ こ で も「サウ ス」 と い う 名前は任意で

す）。新し い VLAN が、こ れら の コ ンテキ ス ト に追加されます（ ノ ースに 2101、サウ スに 3101）。ホ

ス ト でのゲー ト ウ ェ イ ま たは VLAN の変更はな く 、ト ラ ン ク フ ロー マス ク の変更（プルーニン

グ）も あ り ません。ま た、ソ リ ューシ ョ ンは ASA ク ラ ス タ で Nexus 7K ス イ ッ チに接続する よ う

に設定済みの既存の リ ン ク（変更の必要な し）を利用し ます。

こ の 2 つの新し い VLAN は、FirePOWER アプ ラ イ アン ス を フ ローに組み込むために使用さ れ、

ノ ースおよびサウ ス ASA コ ンテキ ス ト 間の FirePOWER アプ ラ イ アン ス を効果的にサン ド イ ッ

チし ます。こ れは、ASA ク ラ ス タ の CCL 非対称 リ アセンブル機能の特性を利用し、非対称 ト ラ

フ ィ ッ ク フ ローの管理を FirePOWER アプ ラ イ アン スの両側で確実に実施する ために行われま

す。FirePOWER アプ ラ イ アン スは、各 ASA の新し い物理 10 G ポー ト に追加さ れ、各 ASA の コ

ンテキ ス ト に割 り 当て られます。こ れに よ り 、ASA ク ラ ス タ の高度に 適化さ れたフ ロー セマ

ンテ ィ ッ ク を利用し た、ネ ッ ト ワーク のバ ッ ク プレーン ス タ イルのフ ローが実現し ます。

VM VM

VM VM

トランク VLAN 2001 3001

サウス コンテキスト 3001, 3101

ノース コンテキスト 2001, 2101

サウス コンテキスト 3001, 3101

ノース コンテキスト 2001, 2101

トランク VLAN 2001 3001

ASA FWクラスタ

3479

44

BGP/OSPFコア

DC エッジ

トランク VLAN 3001

SVI VLAN 2001SVI VLAN 200110.1.1.0/2410.1.1.1/24

VLAN2001

VLAN3001

VLAN2001

VLAN3001

PoD

44

Threat Management with NextGen IPS の設計上の考慮事項

FirePOWER アプラ イアンスの VLAN タグ スイ ッ チング

FirePOWER アプ ラ イ アン ス を レ イ ヤ 2 導入用に設定し て、2 つ以上のネ ッ ト ワーク セグ メ ン ト

間のパケ ッ ト ス イ ッ チン グ を実現する よ う にで き ます。ASA ク ラ ス タ の コ ンテキ ス ト ペア リ ン

グの導入では、管理対象デバイ スのス イ ッ チ ド イ ン ターフ ェ イ ス と 仮想ス イ ッ チを設定し て、ス

タ ン ド ア ロ ンのブ ロー ド キ ャ ス ト ド メ イ ン と し て機能する よ う に し ます。仮想ス イ ッ チは、ホ ス

ト の MAC ア ド レ ス を使用し てパケ ッ ト の送信先を決定し ます。こ の場合、ASA はホ ス ト 参照で

す。こ の FirePOWER アプラ イ アン スのレ イヤ 2 導入は、FirePOWER アプラ イ アン ス上の 2 つ 10 G イーサネ ッ ト イ ン ターフ ェ イ ス間の VLAN タ グ を、ローカルの ASA 上にあ る専用の 10 G イ ン

ターフ ェ イ スに切 り 替え る ために使用さ れます （図 29 を参照）。

図 29 ASA 5585-X から 3D8250 へのフ ロー

図 30 に、統合さ れた FirePOWER アプ ラ イ アン ス と ASA 5585-X ク ラ ス タ と の通信を示し ます。

パケ ッ ト フ ロー

1. パケ ッ ト が SVI VLAN 2001 に到達し ます。サーバ 10.11.1.88 への ARP 要求が行われます。ASA が外部イ ン ターフ ェ イ スの MAC ア ド レ ス を使用し て応答し ます。

2. ASA South Context 2 を宛先 と する物理イ ン ターフ ェ イ ス を使用し て、ASA North Context 1 から FirePOWER VLAN 2101 へのパス スルーが行われます。ASA の VLAN 2001 に到達するパケ ッ ト は ASA のポ リ シーに よ って処理されています。（ク ラ ス タ リ ング オーナー/ダ イ レ クタ）以下同様に処理さ れます。こ のセ ッ シ ョ ンでは、フ ローは対象です。

3. FirePOWER アプ ラ イ アン スで検査さ れたパケ ッ ト を、（外部/内部）ASA コ ンテキ ス ト 2 イ ンターフ ェ イ スに転送し ます。VLAN タ グ を 3101 に切 り 替え ます。

4. ASA コ ンテキ ス ト 2 はポ リ シーを処理し、ト ラ ン ク上のパケ ッ ト を VLAN 3001 に再度タ グ付け し ます。VL3001 を使用し て Nexus7K に再度送信し ます。

5. Nexus7K が VLAN 3001 経由でサーバにパケ ッ ト を送信し ます。

6. パケ ッ ト が、サーバ 10.11.1.88 に到達し ます。

3479

39

ASA 5585-X

外側内側

ファイアウォール ポリシー

ファイアウォール ポリシー

サウス コンテキスト

10 GE 10 GE

3D 8250 センサー

ノース コンテキスト

VLAN 2101VLAN 3101

VLAN 2001VLAN 3001

フロー検査

VPN復号化

Sourcefire

45

Threat Management with NextGen IPS の設計上の考慮事項

図 30 パケ ッ ト フ ロー

安全なフ ローのための非対称の ト ラ フ ィ ッ ク フ ローの処理

適切に設計さ れたハイ アベイ ラ ビ リ テ ィ データ セン ターでは、非対称の ト ラ フ ィ ッ ク フ ローは

予想さ れる だけではな く 、多 く の場合、必要です。データ セン ター ネ ッ ト ワーク のス イ ッ チン グ コ ンポーネン ト に対する大き な投資を 大限に活用し、ス ケーラ ブルな（ア ッ プ） リ ン ク を き め細か く 使用する こ と が期待さ れます。セ ッ シ ョ ンは常に双方向であ る ため、対称的な LACP ハ ッ

シ ュ に基づ く 、同じ送信元や宛先の ト ラ フ ィ ッ ク であ って も、戻 り の経路 と し て異な る物理パスが使用さ れる可能があ り ます。セキ ュ リ テ ィ の観点において決め手 と な る のは常に正確性です。NextGen IPS の よ う な完全な可視性を提供で き ないシ ス テムでは、パケ ッ ト を把握で きず、適切

なア ク シ ョ ン を実行する こ と はで き ません。正確性が こ の よ う な状態だ と 、代替の経路を使用したために不明 と なったパケ ッ ト への許容度が低下し ます。ASA ク ラ ス タ の コ ンテキ ス ト ペア リ

ン グ を利用する と 、2 つの論理 ASA ク ラ ス タ間で FirePOWER アプ ラ イ アン ス を効果的にサン

ド イ ッ チ展開で き ます。そのため、ク ラ ス タ固有の非対称 ト ラ フ ィ ッ ク フ ロー処理に よ って、

セ ッ シ ョ ン内の全パケ ッ ト が適切な FirePOWER アプ ラ イ アン スで常に把握さ れる よ う にな り

ます。特定のアプ リ ケーシ ョ ン セ ッ シ ョ ンの送信元 と 宛先間のフ ローの方向はま った く 関係あ

り ません。FirePOWER アプ ラ イ アン スでセ ッ シ ョ ンのすべてのパケ ッ ト が例外な く 把握さ れる

こ と に よ り 、完全なセキ ュ リ テ ィ の実現に必要な正確性が確保されます。図 31 に、送信元 と 宛先

間の非対称 ト ラ フ ィ ッ ク フ ローの例 と 、ASA ク ラ ス タ の コ ンテキ ス ト ペアが、ASA CCL を使用

し て各セ ッ シ ョ ンのス テ ィ ッ キ性を確保する方法を示し ます。

VLAN 3001 10.1.1.88

6VM VM

VM VM

VLAN 2001-3001 のトランク

3479

46

DC エッジ

BGP/OSPFコア

ASA 1 ASA N

コンテキスト 1：ノース

VLAN 3001 のトランク

コンテキスト 2：サウス

SVI VLAN 2001 10.1.1.1/24SVI VLAN 2001 10.1.1.1/24

VLAN2001

VLAN3101

VLAN2101

VLAN3001

VLAN2001

VLAN3101

VLAN2101

VLAN3001

PoD

1

3

4

5

2

VLAN 2001-3001 のトランク

46

Threat Management with NextGen IPS の設計上の考慮事項

図 31 ASA ク ラス タのコ ンテキス ト ペアでの非対称フ ローの処理

パケ ッ ト フ ロー

1. 送信元ホ ス ト か ら のパケ ッ ト は、ローカル ス イ ッ チに よ って ASA A1 へのパス を経由し てポリ シー処理のために送信さ れます。それか ら、こ のポ リ シーは許可済みであ り 、初期の要素は FirePOWER アプ ラ イ アン スに よ って問題ない と 見な さ れてい る こ と を前提 と し て、転送されます。

2. 問題のないパケ ッ ト が、想定さ れたパスで宛先ホ ス ト に到達し ます。

3. 宛先ホ ス ト が戻 り のパケ ッ ト を送信し ます。

4. ローカル ス イ ッ チが、 終的にパケ ッ ト が ASA A2 へ到達で き るパス を選択し ます。

5. ASA A2 は、非対称 リ アセンブルに CCL セマンテ ィ ク ス を使用し て、CCL 経由でパケ ッ ト を転送し ます。こ れで、パケ ッ ト は処理のために正し い ASA A1 に到達し ます。

6. パケ ッ ト は、正し いパス を使用し て コ ンテキ ス ト ペアを介し て送信さ れる ので、FirePOWER アプ ラ イ アン スはセ ッ シ ョ ン内のすべてのパケ ッ ト を把握し、フ ローの正確なセキ ュ リ テ ィ評価を実現で き ます。

7. 問題のないパケ ッ ト が想定どお り に送信元に到達し ます。

設計オプシ ョ ン：追加の VLAN がない ASA ク ラス タ ペア

複数テナン ト の仮想化のための Secure Enclave Architecture が未使用であ った り 、計画さ れてい

ない場合は、前の 2 つの VLAN（こ の場合は 2001 および 3001）を使用すれば、ASA ク ラ ス タ ペア

を導入で き ます。こ の設計オプシ ョ ンでは、図 32 に示すよ う に、ASA か ら FirePOWER アプ ラ イ

アン スに接続する イ ン ターフ ェ イ スは、VLAN タ グが割 り 当て られていない ノ ースおよびサウ

スの コ ンテキ ス ト に割 り 当て られた専用の物理イ ン ターフ ェ イ スです。こ の設計オプシ ョ ンでも、FirePOWER アプ ラ イ アン スで VLAN タ グ ス イ ッ チング を実行する必要はあ り ません。EEM の設定は、こ の設計オプシ ョ ンに も適用さ れます。

A1A1

2

A2

61

73 4

5A2

3479

47

ASA 5585-X

内側 外側

ソース接続先

サウス コンテキスト

10 GE 10 GE

3D 8250 センサー

ノース コンテキスト

VLAN 2001VLAN 3001

VLAN 2101VLAN 3101フロー検査

ASA 5585-X

内側 外側

CCL

ファイアウォール ポリシー

ファイアウォール ポリシー

サウス コンテキスト

10 GE 10 GE

3D 8250 センサーSourcefire

ノース コンテキスト

VLAN 2001VLAN 3001

VLAN 2101VLAN 3101

フロー検査

VPN復号化

ファイアウォール ポリシー

ファイアウォール ポリシー

VPN復号化

Sourcefire

47

Threat Management with NextGen IPS の設計上の考慮事項

図 32 追加の VLAN を使用し ない ASA ク ラス タのコ ンテキス ト ペア

図 33 に、追加 VLAN タ グが割 り 当て られる こ と な く 導入さ れた、ASA 5585-X ク ラ ス タ と FirePOWER アプ ラ イ アン スの通信フ ローを示し ます。

（注） こ のオプシ ョ ンは、こ の導入ガ イ ド では検証さ れていません。

パケ ッ ト フ ロー

1. パケ ッ ト が SVI VLAN 2001 に到達し ます。サーバ 10.1.1.88 への ARP 要求が行われます。ASA が外部イ ン ターフ ェ イ スの MAC ア ド レ ス を使用し て応答し ます。

2. ASA South Context 2 を宛先 と する物理イ ン ターフ ェ イ ス を使用し て、ASA North Context 1 から SF へのパス スルーが行われます。ASA の VLAN 2001 に到達するパケ ッ ト は ASA のポ リシーに よ って処理さ れています。（ク ラ ス タ リ ン グ オーナー/ダ イ レ ク タ）以下同様に処理されます。こ のセ ッ シ ョ ンでは、フ ローは対象です。

3. FirePOWER アプ ラ イ アン スで検査さ れたパケ ッ ト が、（外部/内部）ASA コ ンテキ ス ト 2 イ ンターフ ェ イ スに転送さ れます。

4. ASA コ ンテキ ス ト 2 はポ リ シーを処理し、ト ラ ン ク上のパケ ッ ト を VLAN 3001 に再度タ グ付け し ます。VL3001 を使用し て Nexus7K に再度送信し ます。

5. Nexus7K が VLAN 3001 経由でサーバにパケ ッ ト を送信し ます。

6. パケ ッ ト が、サーバ 10.1.1.88 に到達し ます。

3479

48

ASA 5585-X

外側内側ファイアウォール

ポリシーファイアウォール

ポリシー

サウス コンテキスト

ノース コンテキスト

10 GE 10 GE

3D 8250 センサー

VLAN 2001VLAN 3001

フロー検査

VPN復号化

Sourcefire

48

Threat Management with NextGen IPS の設計上の考慮事項

図 33 追加の VLAN を使用し ない ASA ク ラス タ コ ンテキス ト ペアのパケ ッ ト フ ロー

IPS のフ ェール オープン

デバイ スで障害が発生し た場合に ト ラ フ ィ ッ ク がブ ロ ッ ク されない よ う にする こ と は非常に重要です。次のモジ ュール タ イ プが選択さ れている のは、イ ン ターフ ェ イ ス モジ ュールの機能に

よ り 、ト ラ フ ィ ッ ク がブ ロ ッ ク さ れない よ う にフ ェール「オープン」する こ と がで き る ためです。こ の イ ン ターフ ェ イ スの帯域幅は、以下の ASA 5585-X のポー ト 設定、および関連付け られた Nexus 7000 のポー ト 設定に応じ て選択さ れています。

• デュ アル ポー ト 10 GBASE MM フ ァ イバ イ ン ターフ ェ イ ス（設定可能なバイパス機能あ り ）

以下の設定可能なバイパス機能があ る追加の イ ン ターフ ェ イ ス を使用で き ますが、こ の設計のスループ ッ ト に適合し ない可能性があ り ます。

• ク ワ ッ ド ポー ト 1000BASE-T 銅線イ ン ターフ ェ イ ス（設定可能なバイパス機能あ り ）

• ク ワ ッ ド ポー ト 1000BASE-SX フ ァ イバ イ ン ターフ ェ イ ス（設定可能なバイパス機能あ り ）

• デュ アル ポー ト 40 GBASE-SR4 フ ァ イバ イ ン ターフ ェ イ ス（設定可能なバイパス機能あ り 、2U デバイ スのみ）

8200 シ リ ーズ プ ラ ッ ト フ ォームでは ク ワ ッ ド 10 G モジ ュールを使用で き ますが、こ れら はバ

イパス機能をサポー ト し ていない こ と に注意し て く だ さ い。

VLAN 3001 10.1.1.88

6VM VM

VM VM

トランク VLAN 2001 3001 トランク VLAN 2001 3001

3479

49

DC エッジ

BGP/OSPFコア

ASA 1 ASA N

コンテキスト 1：ノース

トランク VLAN 3001

コンテキスト 2：サウス

SVI VLAN 2001 10.1.1.1/24SVI VLAN 2001 10.1.1.1/24

VLAN2001

VLAN3001

VLAN2001

VLAN3001

PoD

1

3

4

5

2

49

Threat Management with NextGen IPS の設計上の考慮事項

組み込みイベン ト マネージャのオプシ ョ ンでの導入

ASA と FirePOWER アプ ラ イ アン ス間で FirePOWER アプ ラ イ アン スの障害や リ ン ク障害が発

生し た場合、ASA が自身 と FirePOWER アプ ラ イ アン ス を ク ラ ス タ か ら取得する までに、ASA クラ ス タ のヘルス ス テータ ス チェ ッ ク で 9 秒の遅延が発生する可能性があ り ます。こ の遅延は、

ASA の EtherChannel リ カバ リ メ カニズムに よ る も のです。ASA VLAN 2101（ ノ ース）および ASA VLAN 3101（サウ ス）を FirePOWER アプ ラ イ アン スに接続し ている イ ン ターフ ェ イ スがど

ち ら も単一かつ専用の イ ン ターフ ェ イ スであ って も、ASA ク ラ ス タ データ プレーン イ ン ター

フ ェ イ スの設定では、こ れら の イ ン ターフ ェ イ ス を 1 つの EtherChannel に挿入する必要があ り

ます。こ れは 1 つの EtherChannel ではあ り ますが、それで もやは り EtherChannel です。ASA の EtherChannel リ カバ リ メ カニズムはタ イ マーを使用し て、障害が発生し た リ ン ク が回復次第バ

ン ド ルに再参加で き る よ う に し ますが、こ の タ イ マーは引き続き適用されます。現時点での ASA におけ る EtherChannel リ ン ク の リ カバ リ に対するデフ ォル ト （および 小）の タ イ マー値は 9 秒です。ASA コー ド の将来のバージ ョ ンでは こ の タ イ マーを変更する ための作業が進行中ですが、

こ の遅延は、EEM を使用し て イ ン ターフ ェ イ ス をモニ タする こ と で完全に排除で き ます。独立

し た VLAN を使用し て、Nexus 7000 に ASA と FirePOWER アプ ラ イ アン ス間の 2 番目の リ ン ク

を任意の速度で設定する こ と をお勧め し ます。こ れで EEM ス ク リ プ ト が障害をモニ タ し、こ の

単一 リ ン ク の EtherChannel を即時に回復で き る よ う にな り ます。

EEM では、イベン ト をモニ タ し、イベン ト 発生が検出さ れた と き、およびし き い値を超えた と き

に情報通知や是正ア ク シ ョ ン を実施で き ます。EEM ポ リ シーは、イベン ト と イベン ト 発生時の

ア ク シ ョ ン を定義する エンテ ィ テ ィ です（図 34 を参照）。EEM ポ リ シーにはアプレ ッ ト と ス ク

リ プ ト の 2 つの タ イ プがあ り ます。アプレ ッ ト は、CLI 設定に定義さ れた、ポ リ シーの単純な形

式です。ス ク リ プ ト は、Tool Command Language（Tcl）で記述さ れたポ リ シーの形式です。

図 34 EEM ポリ シー

（注） ASA には EEM の簡易バージ ョ ンが実装さ れていますが、こ の ソ リ ューシ ョ ンでは完全版の EEM が実装さ れてい る Nexus 7000 の EEM を使用し ます。

図 35 に、Enclave 1 の ノ ースおよびサウ スバン ド コ ンテキ ス ト 間の FirePOWER を示し ます

（Nexus 7000 と 専用 EEM VLAN と の追加の接続あ り ）。接続が確立さ れた ら、図に示し た よ う な EEM ス ク リ プ ト を使用し て Nexus 7000 を設定する と 、FirePOWER アプ ラ イ アン スで障害が発

生し た場合の 9 秒間の遅延が排除さ れます。

50

Threat Management with NextGen IPS の設計上の考慮事項

図 35 EEM の導入

統合脅威対策に関連したフ ロー：攻撃前、攻撃中、攻撃後

図 36 は侵害さ れたユーザ デバイ スか ら、ASA ク ラ ス タ の コ ンテキ ス ト ペア リ ング オプシ ョ ン

を使用し て、データ セン ター サーバへのア ク セス を試みる マルウ ェ アの例です。こ の図では、攻

撃前、攻撃中、攻撃後の要素が ASA ク ラ ス タ の コ ンテキ ス ト ペア リ ングの導入オプシ ョ ンに適

用さ れる状況を確認で き ます。こ のプ ロ セスでは、DC エ ッ ジの ノ ース側か ら の接続が、データ セ

ン ター ア ク セス レ イ ヤの ターゲ ッ ト サーバ上のフ ァ イルま たはアプ リ ケーシ ョ ンにア ク セス

し よ う と し ている こ と を想定し ています。

パケ ッ ト フ ロー

1. 10.1.1.88 へのサーバ要求が Nexus 7000 に到達し ます。通常のレ イ ヤ 3 およびレ イ ヤ 2 のプロ セスに従い、ノ ース コ ンテキ ス ト ASA に到達し た要求がポ リ シーの処理のために VLAN 2001 に転送さ れます。

2. ASA はポ リ シーの検査を実施し、許可された送信元/宛先、プ ロ ト コル、ポー ト 、SGT 情報など を確認し て、攻撃に さ ら さ れる領域を小さ く し ます。要求が許可済み と し て確認される と 、パケ ッ ト が VLAN 2101 に再タ グ付け さ れ、NextGen IPS の MAC ア ド レ ス を使用し てサウ ス ク ラ ス タ ペアに転送さ れます。

3. 要求内のパケ ッ ト が NextGen IPS に よ って処理さ れます。こ れに よ り 、イ ン ラ イ ン セキ ュ リテ ィ チェ ッ ク、ス キ ャ ン、および管理機能がすべて実行さ れます。こ の手順には、脅威管理シス テムのすべての要素が含まれています。こ う し た要素には、アプ リ ケーシ ョ ンの可視性、位置情報ポ リ シー、高度なマルウ ェ ア防御、IoC、デバイ ス コ ンテキ ス ト 、ト ラ ジ ェ ク ト リ ーなどがあ り ます（こ れら に限定さ れる も のではあ り ません）。初期の要素が問題ない場合、パケ ッ ト は VLAN 3101 に再度タ グ付け さ れ、サウ ス ASA コ ンテキ ス ト の MAC ア ド レ スに転送さ れます。

4. パケ ッ ト がサウ ス ASA コ ンテキ ス ト に到達し、追加のポ リ シー チェ ッ ク があれば実施さ れます。

3479

51

ASA 5585-X (ASA1)エンクレーブ 1

ノース コンテキスト

ASA 5585-X (ASA1)エンクレーブ 1

サウス コンテキスト

VLAN 2001

VLAN 2101

VLAN 3101

VLAN 3001

同じ物理 ASA クラスタ内の各 ASA に対して繰り返される

（クラスタ内の ASA ごとのアプレット スクリプト）

event manager applet Track_SF1_ASA1_Down

event manager applet Track_SF2_ASA2_Down

ASA および 3D8250 上の 10 GE 物理インターフェイス

EEM VLAN

Nexus 7K

event track 1 state downaction 1 syslog msg EEM applet Track_SF1_ASA1_Down shutting down ASA1 CCLaction 2 cli conf termaction 3 cli interface port-channel 40action 4 cli shut

event track 2 state downaction 1 syslog msg EEM applet Track_SF2_ASA2_Down shutting down po41action 2 cli conf termaction 3 cli interface port-channel 41action 4 cli shut

51

Threat Management with NextGen IPS の設計上の考慮事項

5. ポ リ シーが確認さ れる と 、サウ ス コ ンテキ ス ト ASA はパケ ッ ト を VLAN 3001 に再度タ グ付け し、宛先サーバであ る 10.1.1.88 への送信のために Nexus 7000 に転送し ます。

6. パケ ッ ト がア ク セス レ イ ヤに到達する と 、Secure Enclave Architecture に よ って、安全なアプリ ケーシ ョ ンの階層化、水平ハイパーバイザ レ イ ヤのセキ ュ リ テ ィ 、ASAv および仮想 FirePOWER アプ ラ イ アン スに よ る水平エン ク レーブ セキ ュ リ テ ィ 、セキ ュ ア ワーク ロー ドの自動プ ロ ビジ ョ ニン グおよびサービ ス チェーニン グが実現で き ます。こ こ では、エン ド ポイ ン ト 上の AMP も使用さ れます。Nexus 1000v を使用し ている場合は、ポー ト プ ロ フ ァ イル SGT の割 り 当て も利用さ れます。こ の手順の詳細については、『Secure Enclave Architecture Design Guide』を参照し て く だ さ い。

図 36 ASA ク ラス タのコ ンテキス ト ペア リ ング内での脅威のフ ロー：攻撃前、攻撃中、攻撃後

攻撃前、攻撃中、攻撃後の各コ ンポーネン ト の詳細については、こ の ド キ ュ メ ン ト で後述する「脅威管理シ ス テムの機能」を参照し て く だ さ い。

VM VM

VM VM

トランク VLAN 2001 3001 トランク VLAN 2001 3001

3479

52

DC エッジ

BGP/OSPF コア

ASA 1 ASA N

コンテキスト 1：ノース

トランク VLAN 3001

コンテキスト 2：サウス

SVI VLAN 2001 10.11.1.1/24SVI VLAN 2001 10.11.1.1/24

VLAN2001

VLAN3101

VLAN2101

VLAN3001

VLAN 3001 10.1.1.88

VLAN2001

VLAN3101

VLAN2101

VLAN3001

PoD

1

2

3

4

5

6

- サーバ上の FireAMP- セキュア アプリケーション- 階層化- ポート プロファイル SGT の- 割り当て- East-West 保護- サーバ ポリシーの統合- Next Gen 侵入防御

攻撃前

- Next-Gen 侵入防御- ネットワーク AMP ファイル分析- アプリケーションの検出と制御- セキュリティ侵害の指標- レトロスペクション- 接続インテリジェンス- ネットワーク ファイル - トラジェクトリー- デバイス トラジェクトリー

Fire 制御ポリシー

ホワイト リスト

デバイス ポスチャ アセスメント

デバイス コンプライアンス チェック

アプリケーション制御

攻撃中

アプリケーションの検出

SSL 検出

機密データの検出および制御

ネットワーク ファイル トラジェクトリー

攻撃後

ネットワーク ファイル トラジェクトリー

SSL 検出

機密データの検出および制御

クライアント ファイル トラジェクトリー

- セキュリティ ポリシーの統合- 縮小された攻撃にさらされる領域- トラフィックの正規化- 非対称トラフィックの軽減- セキュリティ フローの冗長性- ASA クラスタの拡張

ホスト プロファイル

ユーザ通知の適用

52

Threat Management with NextGen IPS の設計上の考慮事項

オプシ ョ ン 2：パッ シブ設計の FirePOWER アプラ イアンス

パ ッ シブ設計モデルで FirePOWER シ ス テム を使用する オプシ ョ ン 2 は、ス ケール上の要件に よ

り 物理フ ォーム フ ァ ク タ を使用し て導入し なければな ら ない場合に、遅延の影響を 小限に抑えて 高のス ケー リ ン グ スループ ッ ト を実現し ます。ま た、仮想化レ イ ヤの ト ラ フ ィ ッ ク フローをモニ タする ために、こ の設計オプシ ョ ンが必要な場合があ り ます。

パ ッ シブ展開には、攻撃 ト ラ フ ィ ッ ク が ターゲ ッ ト を攻撃する前にその ト ラ フ ィ ッ ク を ド ロ ップする機能はあ り ません。ただ し、脅威を見つけ る こ と が 重要で、ア ウ ト ブレ イ ク に対し て手動でア ク シ ョ ンが取れる場合、パ ッ シブ展開は非常に役立ち ます。さ ら に、パ ッ シブ設計では、ASA ク ラ ス タ ス ケールのセキ ュ ア データ セン ター設計で豊富なセキ ュ リ テ ィ 機能を利用する

こ と も で き ます。

• OpenAppID™ を使用し たアプ リ ケーシ ョ ンの可視性 と 制御

• URL の分類および侵害の関連指標

• FireSIGHT™ エン ド ポ イ ン ト の可視性およびコ ンテキ ス ト と 侵害の関連指標

• ウ イルス対策およびマルウ ェ ア対策

• NextGen IPS と FirePOWER™ の持つ高度な脅威管理機能

• 高度なマルウ ェ ア防御（AMP）

• ユーザ ア イデンテ ィ テ ィ の管理オプシ ョ ン

• ク ラ ウ ド ベースのビ ッ グデータ分析、シ ス コ マネージ ド 脅威対策サービ スの活用

• フ ァ イルおよびネ ッ ト ワーク の ト ラ ジ ェ ク ト リ ー

• ポ イ ン ト イ ン タ イ ム分析 と レ ト ロ スペク テ ィ ブな（継続的な）分析

• 脆弱性管理

• パ ッ チ管理

• フ ォ レ ンジ ッ ク

図 37 では、FirePOWER アプ ラ イ アン スの冗長ペアがア ク テ ィ ブ/ス タ ンバイ設定で実装さ れて

います。SPAN モニ タ セ ッ シ ョ ンが、コ ア Nexus 7000 ス イ ッ チのそれぞれで作成さ れています。

Nexus 7000 では 大 48 のモニ タ セ ッ シ ョ ン を実行で き、他のほ と んどのシ ス コ ス イ ッ チ と 同

様に、イ ン ターフ ェ イ ス /VLAN で複数の送信元および複数の宛先のいずれ も持つこ と が可能で

す。ま た、TX、RX の ト ラ フ ィ ッ ク フ ロー ま たは「双」方向の ト ラ フ ィ ッ ク をモニ タする こ と も で

き ます。こ のオプシ ョ ンでは、図 37 に示すよ う に、コ ア と 任意のアグ リ ゲーシ ョ ン レ イ ヤま たは

エ ッ ジ と の間のすべての ト ラ フ ィ ッ ク を把握で き ます。オプシ ョ ンで、仮想 FirePOWER アプ ラ

イ アン ス をモニ タ モー ド で設定し、ア ク セス レ イ ヤか ら の East/West ト ラ フ ィ ッ ク を把握する

よ う にで き ます。FireSIGHT Management Center は、こ れら のシ ス テム をすべて監視し、収集さ れ

たすべてのデータ の現状を示す単一の ソース と な り ます。以下の例では、い く つかの障害シナ リオ（Nexus 7000 シ ャーシ、コ ア と アグ リ ゲーシ ョ ン間のア ッ プ リ ン ク、FirePOWER アプ ラ イ アン

スの障害、ま たは同等の コ ンポーネン ト 内の イ ン ターフ ェ イ スの障害など）が考慮されています。基本的な設定は図 37 に示さ れています。Nexus 7000 SPAN の設定の詳細については次の URL を参照し て く だ さ い。http://www.cisco.com/c/en/us/support/docs/switches/nexus-7000-series-switches/113038-span-nexus-config.html [英語]

図 37 に、モニ タ対象の物理レ イ ヤの垂直方向フ ローおよび仮想レ イ ヤの水平方向フ ローを示し

ます。

53

Threat Management with NextGen IPS の設計上の考慮事項

図 37 NextGen IPS パッ シブ ソ リ ューシ ョ ン全般

パ ッ シブ IPS の導入に関する あ ら ゆ る事項の中で、 も重要な考慮事項の 1 つがス ケールです。 リ ン ク が高負荷の場合、Nexus 7000 と FirePOWER アプ ラ イ アン ス間の単一の 10 G リ ン ク を通

るすべての ト ラ フ ィ ッ ク を把握する こ と は不可能だ と 思われます。完全な可視性を得る には、いく つかのオプシ ョ ンがあ り ます。た と えば、FirePOWER アプ ラ イ アン スに追加の リ ン ク を設定

する、展開が小規模かつ管理可能であれば全体的な ス ケールを調整する、ま たは FirePOWER アプ ラ イ アン スで 40 G イ ン ターフ ェ イ ス を利用する、などが考え られます。図 37 では、コ ア リ ン

クすべてが 10 G であ る場合、合計 ト ラ フ ィ ッ ク は 80 G にな る可能性があ り ます。モニ タ リ ング ソ リ ューシ ョ ンの規模をそれに合わせて拡大し ます。

こ の例で使用さ れている FirePOWER HA は基本的なア ク テ ィ ブ/ス タ ンバイ シ ス テムです。こ

の設計では、FirePOWER アプ ラ イ アン スの両方が ト ラ フ ィ ッ ク の コ ピーを受信し ますが、

FireSIGHT Management Center に イベン ト レ コー ド を作成する のはア ク テ ィ ブなシ ス テムのみ

です。

VM VM

VM VM

スタンバイアクティブ

VM

VM

VM

VM

3479

53

DC エッジ

BGP/OSPF コア

DC コア VDC（ルーテッド）

DC 集約 VDC （スイッチド）

L2

L3

L2

L3

Visualization/Computeアクセス レイヤ

PoD

interface e3/9 – 12switchportswitchport monitor!monitor session 16source interface e3/3 – 6 both (アグリゲーション レイヤ リンク)destination interface e3/9 – 12 (FirePOWER アプライアンスへ)

L3 Link

L2 Link

冗長 FirePOWER アプライアンス-8250/8350-8390

防御センター

PoD

必要に応じて vSwitch または Nexus 1000v の SPAN を使用して EAST/WEST トラフィックを把握するように設定された仮想 FirePOWER モニタリング

防御センターはすべてのセンサーによって収集されるすべてのフローを把握可能

SPAN モニタ インターフェイス

54

Threat Management with NextGen IPS の設計上の考慮事項

オプシ ョ ン 3：仮想 FirePOWER および仮想 ASA の設計

オプシ ョ ン 1 は、ス ケール上の理由で導入が物理フ ォーム フ ァ ク タ を使用し て実行さ れる ため、

ASA ク ラ ス タ を使用し た イ ン ラ イ ンの NextGen IPS の導入に焦点を置き、ASA ク ラ ス タ の コ ン

テキ ス ト ペア リ ン グ を使用し ま し た。オプシ ョ ン 3 の Secure Enclave での脅威管理で も引き続

き ASA ク ラ ス タ の コ ンテキ ス ト ペア リ ン グ オプシ ョ ン、EEM の導入など を利用し ます。ただ

し、こ の設計では ASAv の仮想フ ォーム フ ァ ク タおよび仮想 FirePOWER アプ ラ イ アン ス をエン

ク レーブで利用する点が異な り ます。

（注） Secure Enclave Architecture の詳細は、Cisco Validated Design の「Secure Data Center for the Enterprise: Secure Enclaves Architecture 」で説明さ れています。

こ の項では、こ のオプシ ョ ンの概要を説明し ます。こ れは、こ のオプシ ョ ンでは ASA ク ラ ス タ の

コ ンテキ ス ト ペア リ ン グが利用さ れてお り 、ASAv および仮想 FirePOWER アプ ラ イ アン スの両

方にま った く 同じ統合脅威対策の機能があ り 、仮想 FirePOWER アプ ラ イ アン スの場合、すべて

の脅威管理ワーク フ ローが、一元化さ れた FireSIGHT Management Center 管理プ ラ ッ ト フ ォーム

に よ って管理さ れる ためです。ASA ク ラ ス タ の コ ンテキ ス ト ペア リ ング オプシ ョ ン と 同様、仮

想 FirePOWER と 仮想 ASA 設計オプシ ョ ンは、同様の統合脅威対策機能の コ レ ク シ ョ ン を利用

し ます。

• OpenAppID™ を使用し たアプ リ ケーシ ョ ンの可視性 と 制御

• URL の分類および侵害の関連指標

• FireSIGHT™ エン ド ポ イ ン ト の可視性およびコ ンテキ ス ト と 侵害の関連指標

• ウ イルス対策およびマルウ ェ ア対策

• NextGen IPS と FirePOWER™ の持つ高度な脅威管理機能

• 高度なマルウ ェ ア防御（AMP）

• ユーザ ア イデンテ ィ テ ィ の管理オプシ ョ ン

• ク ラ ウ ド ベースのビ ッ グデータ分析、シ ス コ マネージ ド 脅威対策サービ スの活用

• フ ァ イルおよびネ ッ ト ワーク の ト ラ ジ ェ ク ト リ ー

• ポ イ ン ト イ ン タ イ ム分析 と レ ト ロ スペク テ ィ ブな（継続的な）分析

• 脆弱性管理

• パ ッ チ管理

• フ ォ レ ンジ ッ ク

• NextGen IPS シ ス テムのフ ェール オープン ま たはフ ェール ク ローズ機能

• ASA 導入で標準 と なっている DRP や BGP などの高度なネ ッ ト ワーク機能の完全な補完

• Secure Enclave Architecture の仮想コ ンポーネン ト と の直接統合

ま た、こ の設計オプシ ョ ンは、以下の仮想プ ラ ッ ト フ ォーム と の統合を実現し ます。

• VXLAN

• サービ ス チェーニン グ

• VMotion

• ポー ト プ ロ フ ァ イルでのセキ ュ リ テ ィ グループ タ グのマ ッ ピ ン グ

55

Threat Management with NextGen IPS の設計上の考慮事項

図 38 に、Secure Enclave Architecture におけ る仮想脅威管理の例を示し ます。各 Enclave に VLAN のペアがあ り 、一部はルーテ ィ ン グ さ れてお り 、一部は ト ラ ン スペア レ ン ト です。仮想化コ ンポーネン ト は強調表示さ れています。

図 38 Secure Enclave Architecture に関連付けられた ASA ク ラス タのコ ンテキス ト ペア リ ング

FirePOWER アプラ イアンスのパフ ォーマンス設計上の考慮事項

表 7 に、ア ド バタ イ ズ さ れた FirePOWER アプ ラ イ アン ス パフ ォーマン スの基本的な情報を示

し ます。単一の 3D8250 スループ ッ ト は 10 Gbps と ア ド バタ イ ズ さ れていますが、デバイ ス を ASA ク ラ ス タ に統合する こ と に よ り 、 大スループ ッ ト が 10 Gbps か ら 160 Gbps の範囲に及ぶ

ため、ビジネ スの成長 と と も に ク ラ ス タ を拡張する こ と がで き ます。

3479

54

コアおよびクライアントへ

エンクレーブ 1 トランスペアレント

エンクレーブ 2トランスペアレント

VLAN 2001

VLAN 2101

VLAN 3101

VLAN 3001

VLAN 2002

VLAN 2102

VLAN 3102

VLAN 3002

エンクレーブ 3ルーティング

cLACP

ノース コンテキスト

サウス コンテキスト

FirePOWER

VLAN 2003 VLAN 200310.11.3.192

VLAN 300310.11.3.254

VLAN 210310.11.103.194/30

VLAN 310310.11.103.193/30

VLAN 2103

VLAN 3103

VLAN 3003

VLAN 2001 10.11.255.254/24VLAN 2001 10.11.2.254/24VLAN 2001 10.11.3.254/24

OSPF エリア 2000 NSSA

ASA クラスタ データ プレーン EtherChannel

エンクレーブ サーバへVLAN 3001 VLAN 3002 VLAN 3003

表 7 FirePOWER アプ ラ イアンスのパフ ォーマンス

機能 パフ ォーマンス

IPS のスループ ッ ト 10 Gbps

ASA 5585-X の 16 ノ ー ド ク ラ ス タ におけ る IPS スループ ッ ト 160 Gbps

56

Threat Management with NextGen IPS の設計上の考慮事項

低遅延実装

遅延を も低減で き る導入は、前述し たパ ッ シブな導入オプシ ョ ンですが、FirePOWER アプ ラ

イ アン ス を調整し て遅延を低減する こ と も で き ます。セキ ュ リ テ ィ と 遅延を許容可能な水準に維持する必要性のバラ ン スは、遅延の し き い値ルールを有効化する こ と で実現で き ます。遅延しき い値ルールは、各ルールが個別のパケ ッ ト の処理に費やし た時間を測定し、処理時間が遅延しき い値ルールを あ る回数（設定可能）連続し て超えた場合は、そのルールに違反し た処理を、関連するルールのグループ と と も に指定さ れた期間中断し、中断期間終了後にルールを回復し ます。

遅延し き い値ルールは、ルールがパケ ッ ト の処理にかけ る実際の時間を正確に反映する ために、処理時間だけでな く 経過時間も測定し ます。ただ し、遅延し き い値は ソ フ ト ウ ェ アベースの遅延の実装であ り 、厳密な タ イ ミ ン グ を適用する わけではあ り ません。

パケ ッ ト 遅延し き い値を有効に し た場合は、デコーダの処理が開始される と 、各パケ ッ ト の タ イマーが開始さ れます。タ イ ミ ン グはパケ ッ ト のすべての処理が終了する か、処理時間がテ ス ト ポイ ン ト の タ イ ムの し き い値を超え る まで継続さ れます。

図 39 に示すよ う に、パケ ッ ト 遅延の タ イ ミ ングは以下のテ ス ト ポ イ ン ト でテ ス ト さ れます。

• すべてのデコーダ と プ リ プ ロ セ ッ サに よ る処理の後でルールの処理が開始される前。

• ルールご と の処理の後。処理時間が任意のテ ス ト ポ イ ン ト で し き い値を超え る と 、パケ ッ トの検査は停止し ます。

図 39 パケ ッ ト 遅延

パケ ッ ト 遅延の し き い値は、パ ッ シブおよびイ ン ラ イ ン展開の両方でシ ス テムのパフ ォーマンス を向上させ、イ ン ラ イ ン展開では過度の処理時間を必要 と するパケ ッ ト の検査を停止する こと に よ り 遅延を低減で き ます。こ れら のパフ ォーマン ス上の メ リ ッ ト は、以下の よ う な場合に もた ら さ れます。

フ ァ イ ア ウ ォールのみ（IPS な し） 20 Gbps

1 秒あた り の TCP 接続の数 180,000

ASA 5585-X の 16 ノ ー ド ク ラ ス タ におけ る TCP 接続/秒 2,800,000

同時 TCP 接続数 12,000,000

ASA 5585-X の 16 ノ ー ド ク ラ ス タ におけ る同時 TCP 接続数 96,000,000

表 7 FirePOWER アプ ラ イアンスのパフ ォーマンス （続き）

Rule 1 Rule 2 Rule n

3479

55

プリプロセッサ

ルール エンジン

マネージド デバイス

パケット遅延タイマー開始 テスト テスト テスト テスト

パケットデコーダ

イベントデータベース

57

Threat Management with NextGen IPS の設計上の考慮事項

• パ ッ シブおよびイ ン ラ イ ンの導入で、複数のルールでパケ ッ ト を連続し て検査する のに非常に時間がかかる場合。

• イ ン ラ イ ン展開で、誰かが非常に大き なフ ァ イルをダ ウ ン ロー ド し ている場合など、ネ ッ トワーク パフ ォーマン スが低下し ている期間にパケ ッ ト の処理が低速にな る場合。

通信ポー ト の要件

FirePOWER アプ ラ イ アン スの特定の機能はイ ン ターネ ッ ト 接続を必要 と し、デフ ォル ト で直接

イ ン ターネ ッ ト に接続する よ う 設定さ れています。

ま た、FirePOWER アプ ラ イ アン スは、FirePOWER アプ ラ イ アン ス間の双方向通信のために特定

のポー ト が開かれている こ と を必要 と し ます。こ の双方向通信は SSL 暗号化通信チャ ネルであ

り 、8305/TCP ポー ト を使用し ます。一般に、機能に関連する ポー ト は、機能が有効にな る か関連

する機能が設定さ れる までは閉じ られています。

FirePOWER アプ ラ イ アン スが通信ポー ト の変更を許可する場合、注意し て変更する必要があ り

ます。変更する こ と で展開に悪影響を及ぼす可能性があ る ためです。た と えば、管理対象のデバイ スでポー ト 25/TCP（SMTP）ア ウ ト バウ ン ド を閉じ る と 、こ のデバイ スが個々の侵入イベン ト

に関する メ ール通知を送信で き な く な り ます。

別の例 と し ては、ポー ト 443/TCP（HTTPS）を閉じ る こ と で物理的な管理対象デバイ スの Web イン ターフ ェ イ スへア ク セスが無効にな る場合があ り 、こ のため、こ のデバイ スが動的な分析のために疑わ し いマルウ ェ ア フ ァ イルを ク ラ ウ ド に送信で き な く な り ます。

シ ス テム と 認証サーバ間で接続を設定する場合は、LDAP および RADIUS 認証用のカ ス タ ム ポー ト を設定で き ます。管理ポー ト （8305/TCP）は変更で き ます。ただ し、こ のデフ ォル ト 設定は

そのま まにする こ と を強 く お勧め し ます。管理ポー ト を変更する場合は、互いに通信する必要があ る ネ ッ ト ワーク内のすべての FirePOWER アプ ラ イ アン スで も こ の変更を行 う 必要があ り ま

す。ポー ト 32137/TCP は、ア ッ プグ レー ド さ れた FireSIGHT Management Center が Sourcefire クラ ウ ド と 通信する ために使用で き ます。ただ し、こ の通信ポー ト はポー ト 443 に切 り 替え る こ と

を強 く お勧め し ます。

詳細については、『Sourcefire 3D System Users Guide』の「Default Communication Ports for Sourcefire 3D System Features and Operations Table」を参照し て く だ さ い。

管理ネ ッ ト ワーク

FireSIGHT Management Center を保護する ためには、アプ ラ イ アン ス を保護さ れた管理ネ ッ ト

ワーク に イ ン ス ト ールする必要があ り ます。FireSIGHT Management Center は必要なサービ スお

よびポー ト のみ利用で き る よ う に設定さ れていますが、攻撃がフ ァ イ ア ウ ォールの外部か ら このアプ ラ イ アン ス（ま たは管理対象デバイ ス）に到達で き ない よ う 徹底する ための手順を実施する必要があ り ます。FireSIGHT Management Center と その管理対象デバイ スが同じ ネ ッ ト ワーク

上に存在する場合は、デバイ スの管理イ ン ターフ ェ イ ス を FireSIGHT Management Center と 同じ

保護管理ネ ッ ト ワーク に接続で き ます。FirePOWER アプ ラ イ アン ス間の通信が、分散型サービ

ス妨害（DDoS）や中間者攻撃などに よ って中断、ブ ロ ッ ク、改ざん さ れない よ う にする には、その

ための手順を実施する必要があ り ます。

58

Threat Management with NextGen IPS の設計上の考慮事項

SNMP

アプ ラ イ アン スの簡易ネ ッ ト ワーク管理プ ロ ト コル（SNMP）ポー リ ン グは、シ ス テム ポ リ シー

を使用し て有効にで き ます。SNMP 機能は、SNMP プ ロ ト コルのバージ ョ ン 1、2、および 3 をサ

ポー ト し ます。シ ス テム ポ リ シーの SNMP 機能を有効に し て も、アプ ラ イ アン スは SNMP ト

ラ ッ プを送信せず、MIB の情報を、ネ ッ ト ワーク管理シ ス テムに よ る ポー リ ングに使用で き る よ

う にする だけです。こ のアプ ラ イ アン ス をポー リ ン グするすべての コ ン ピ ュータ に SNMP ア ク

セス を追加する必要があ り ます。SNMP MIB には、FirePOWER アプ ラ イ アン ス を攻撃する ため

に使用さ れる可能性のあ る情報が含まれています。MIB に対する ポー リ ングに使用さ れる、特定

のホ ス ト への SNMP ア ク セス用のア ク セス リ ス ト は制限する こ と をお勧め し ます。Sourcefire では、SNMPv3 の使用、およびネ ッ ト ワーク管理ア ク セス用の強力なパス ワー ド の使用が推奨さ

れます。

Cisco-Sourcefire ク ラウ ドの通信

FirePOWER アプ ラ イ アン スは、Cisco-Sourcefire ク ラ ウ ド に接続し て、以下の各種の情報を取得

し ます。

• 組織に FireAMP サブス ク リ プシ ョ ンがあ る場合、シ ス テムはエン ド ポ イ ン ト ベースのマルウ ェ ア イベン ト を受信で き ます。

• ア ク セス コ ン ト ロール ルールに関連付け られたフ ァ イル ポ リ シーに よ り 、管理対象デバイスに よ る ネ ッ ト ワーク ト ラ フ ィ ッ ク内で送信さ れる フ ァ イルの検出が許可されます。

• FireSIGHT Management Center は Cisco-Sourcefire ク ラ ウ ド のデータ を使用し て、フ ァ イルがマルウ ェ アを示すかど う かを判断し ます。

• URL フ ィ ルタ リ ン グが有効の場合、FireSIGHT Management Center は、よ く ア ク セス さ れる多数の URL のカテゴ リ およびレ ピ ュ テーシ ョ ン データ を取得し、未分類の URL をル ッ ク ア ップで き ます。

自動更新

自動更新に よ り 、シ ス テムは定期的に Cisco-Sourcefire ク ラ ウ ド に定期的に接続し て、

FirePOWER アプ ラ イ アン スの ローカル データ セ ッ ト の URL データ に対する更新を取得で き

ます。こ の ク ラ ウ ド は通常データ を 1 日に 1 回更新し ますが、自動更新を有効にする と FireSIGHT Management Center が 30 分ご と にデータ を確認する よ う にな り 、シ ス テムにあ る

データ情報が常に 新にな り ます。毎日の更新は小規模であ る傾向があ り ますが、 終更新日から 5 日以上経過し てい る場合、帯域幅に よ っては新し い URL フ ィ ルタ リ ング データ のダ ウ ン

ロー ド に 長で 20 分かかる場合があ り ます。ダ ウ ン ロー ド 後、更新自体に 長で 30 分かか る可

能性があ り ます。

（注） 自動更新を使用する か、ス ケジ ューラ を使用し て定期的に更新を ス ケジ ュールし て、関連する新の URL データ が取得で き る よ う にする こ と をお勧め し ます。

URL 情報の共有

オプシ ョ ンで、FireSIGHT Management Center は、ネ ッ ト ワーク ト ラ フ ィ ッ ク で検出さ れたフ ァ

イルに関する情報を Cisco-Sourcefire ク ラ ウ ド に送信で き ます。こ の情報には、検出さ れたフ ァ

イルに関連する URL 情報およびフ ァ イルの SHA-256 ハ ッ シ ュ値が含まれます。共有はオプ ト

イ ンですが、シ ス コ に こ の情報を送信する と 、マルウ ェ アを識別し追跡する今後の取 り 組みに役立ち ます。

59

Threat Management with NextGen IPS の設計上の考慮事項

イン ターネ ッ ト アクセス とハイ アベイ ラ ビ リ テ ィ

こ のシステムはポー ト 80/HTTP および 443/HTTPS を使用し て Cisco-Sourcefire ク ラ ウ ド に接続し

ます。また、このシステムはプロ キシの使用もサポー ト し ます。すべての URL フ ィ ルタ リ ング設定

と情報はハイ アベイ ラ ビ リ テ ィ 展開の FireSIGHT Management Center の間で同期されますが、URL フ ィ ルタ リ ング データ をダウ ン ロードするのはプラ イマ リ FireSIGHT Management Center のみで

す。プラ イマ リ FireSIGHT Management Center に障害が発生し た場合は、セカンダ リ FireSIGHT Management Center がイ ン ターネ ッ ト に直接ア ク セス し ている こ と を確認し、セカンダ リ FireSIGHT Management Center の Web イ ン ターフ ェ イ ス を使用し て、ア ク テ ィ ブにし ます。

ハイ アベイ ラ ビ リ テ ィ ペアの FireSIGHT Management Center は、ク ラ ウ ド の接続およびマル

ウ ェ アの処理を共有し ません。運用の継続性を確実に し、両方の FireSIGHT Management Center で、検出さ れたフ ァ イルのマルウ ェ アの処理を統一する には、プ ラ イ マ リ およびセカンダ リ の FireSIGHT Management Center がどち ら も ク ラ ウ ド へのア ク セス権を持っている こ と を確認し

て く だ さ い。

脅威管理システムの機能：設計上の考慮事項

FirePOWER アプ ラ イ ア ン スがフ ァ ブ リ ッ ク に正し く 統合さ れたので、こ れら の機能を有効に

し、こ れら の機能が一連の攻撃において脅威に対処する方法について説明し ます。こ の後の項では、各機能 と 一連の攻撃フ ェーズ と のマ ッ ピ ン グ を使用し て、機能についての設計ガ イ ダン ス を提供し ます。こ のマ ッ ピ ン グに示すよ う に、一部の機能は複数のフ ェーズに関係し ます。

脅威の抑制および修復

セキュ リ テ ィ インテ リ ジ ェ ンスのリ ス ト およびフ ィ ー ド：一連の攻撃のマ ッ ピング：攻撃前、攻撃中

セキ ュ リ テ ィ イ ンテ リ ジ ェ ン ス機能を使用する と 、ア ク セス制御ポ リ シーご と に、送信元ま たは

宛先 IP ア ド レ スに基づいてネ ッ ト ワーク を通過で き る ト ラ フ ィ ッ ク を指定で き ます。こ れは、

ト ラ フ ィ ッ ク がア ク セス コ ン ト ロール リ ス ト に よ る分析の対象 と な る前に特定の IP ア ド レ ス

をブ ラ ッ ク リ ス ト に指定する場合に有効です。同様に、IP ア ド レ ス を ホ ワ イ ト リ ス ト に追加し

て、シ ス テムがア ク セス コ ン ト ロールを使用し てそれら の接続を処理する よ う に強制する こ と

がで き ます。

グ ローバル ホ ワ イ ト リ ス ト およびグ ローバル ブ ラ ッ ク リ ス ト はデフ ォル ト ですべてのア ク セ

ス制御ポ リ シーに含まれてお り 、すべてのゾーンに適用さ れます。ま た、各ア ク セス制御ポ リシー内で、ネ ッ ト ワーク オブジ ェ ク ト およびグループ、あ る いはセキ ュ リ テ ィ イ ンテ リ ジ ェ ン

ス リ ス ト およびフ ィ ー ド （こ れら はすべてセキ ュ リ テ ィ ゾーンで制限可能）の組み合わせを使

用し て、別のホ ワ イ ト リ ス ト およびブ ラ ッ ク リ ス ト を作成で き ます。

セキ ュ リ テ ィ イ ンテ リ ジ ェ ン ス フ ィ ー ド は、FireSIGHT Management Center が、HTTP ま たは HTTPS サーバか ら設定さ れた間隔でダ ウ ン ロー ド する IP ア ド レ スの動的な コ レ ク シ ョ ンです。

フ ィ ー ド は定期的に更新さ れる ため、FirePOWER シ ス テムは 新情報を使用し てネ ッ ト ワー ク ト ラ フ ィ ッ ク を フ ィ ルタ で き ます。ブ ラ ッ ク リ ス ト を作成する ために、シ ス コはセキ ュ リ テ ィ インテ リ ジ ェ ン ス フ ィ ー ド を提供し ています。こ のフ ィ ー ド は Sourcefire VRT に よ って レ ピ ュ

テーシ ョ ンが低い と 判断さ れた IP ア ド レ ス を表し ています。

60

Threat Management with NextGen IPS の設計上の考慮事項

ネ ッ ト ワーク ベースの高度なマルウェ ア防御：一連の攻撃のマ ッ ピング：攻撃前、攻撃中

ネ ッ ト ワーク ベースの高度なマルウ ェ ア防御（AMP）を使用する こ と に よ り 、シ ス テムがい く つ

かの タ イ プのフ ァ イルのマルウ ェ アについて、ネ ッ ト ワーク ト ラ フ ィ ッ ク を検査で き る よ う に

な り ます。アプ ラ イ アン スは検出さ れたフ ァ イルを さ ら に分析する ために、それ ら のフ ァ イルをハー ド ド ラ イ ブま たはマルウ ェ ア ス ト レージ パ ッ ク に保存で き ます。検出さ れたフ ァ イルが保

存さ れる かど う かに関係な く 、こ れら のフ ァ イルは、フ ァ イルの SHA-256 ハ ッ シ ュ値を使用し

た単純な既知デ ィ スポジシ ョ ン ル ッ ク ア ッ プ用に Cisco-Sourcefire ク ラ ウ ド に送信する こ と が

で き ます。フ ァ イルは動的な分析のために送信する こ と も で き ます。こ の分析では脅威ス コ アが作成さ れますが、こ のス コ アの説明は こ の項で後述し ます。こ の コ ンテキ ス ト 情報を使用し て、特定のフ ァ イルをブ ロ ッ ク し た り 許可し た り する よ う にシ ス テム を設定で き ます。マルウ ェ ア防御は、全体的なア ク セス コ ン ト ロール設定の一部 と し て設定さ れます。ア ク セス コ ン ト ロー

ル ルールに関連付け られたフ ァ イル ポ リ シーに よ って、ネ ッ ト ワーク ト ラ フ ィ ッ ク がルールの

条件を満た し ている かど う かが検査さ れます。図 40 に、Cisco-Sourcefire ク ラ ウ ド 、FireSIGHT Management Center、ネ ッ ト ワーク AMP、およびエン ド ポ イ ン ト 間の通信フ ローを示し ます。

図 40 マルウ ェ ア情報のフ ロー

FireAMP：一連の攻撃のマ ッ ピング：攻撃前、攻撃中

エン ド ポ イ ン ト の保護はデータ セン ター アーキテ ク チャ設計の範囲外 と 見な されていますが、こ れら のデバイ スはデータ セン ター資産にア ク セスする ため、これ ら のデバイ ス を全体的な説明で取 り 上げる必要性か ら こ の ト ピ ッ ク が設け られています。

FireAMP は、シ ス コ のエン タープ ラ イ ズ ク ラ スの高度なマルウ ェ ア分析および防御ソ リ ューシ ョ ンです。高度なマルウ ェ ア ア ウ ト ブレ イ ク、ターゲ ッ ト 型攻撃（Advanced Persistent Threat、APT）を検出、分析、ブ ロ ッ ク し ます。組織に FireAMP サブス ク リ プシ ョ ンがあ る場合、各ユーザは、使用し ている コ ン ピ ュータおよびモバイル デバイ ス（エン ド ポ イ ン ト と も呼ばれる）に FireAMP コ ネ ク タ を イ ン ス ト ールし ます。こ れら の軽量なエージ ェ ン ト は Cisco-Sourcefire ク ラウ ド と 通信し、次に Cisco-Sourcefire ク ラ ウ ド が FireSIGHT Management Center と 通信し ます。FireSIGHT Management Center が ク ラ ウ ド に接続する よ う に設定さ れた ら、FireSIGHT Management Center の Web イ ン ターフ ェ イ ス を使用し て、エン ド ポ イ ン ト でのス キ ャ ン、検出、および検疫の結果 と し て生成さ れる エン ド ポ イ ン ト ベースのマルウ ェ ア イベン ト を表示し ます。FireSIGHT Management Center は FireAMP データ も使用し て、ホ ス ト でのセキ ュ リ テ ィ 侵害の指標の生成 と 追跡を行い、ネ ッ ト ワーク フ ァ イルの ト ラ ジ ェ ク ト リ ーも表示し ます。

マルウェア クラウド ルックアップ

監視対象ネットワーク上のユーザ

3479

56

マネージド デバイス

ネットワークトラフィック

防御センター

FireAMPエージェント ユーザ

セキュリティ アナリスト

マルウェアの情報

ファイル情報

Sourcefireクラウド

ファイル情報

ファイルおよびマルウェア イベント

61

Threat Management with NextGen IPS の設計上の考慮事項

FireAMP の導入を設定する には、FireAMP ポータル（http://amp.sourcefire.com/）を使用し ます。こ

のポータルは、マルウ ェ アの迅速な識別 と 検疫に役立ち ます。侵害を発生時に識別し、ト ラ ジ ェク ト リ ーを追跡し ます。ま た、侵害の影響を分析し て、正常に リ カバ リ する方法を知る こ と ができ ます。FireAMP では、カ ス タ ム防御の作成、グループ ポ リ シーに基づ く 特定のアプ リ ケーシ ョ

ンの実行のブ ロ ッ ク、カ ス タ ム ホ ワ イ ト リ ス ト の作成も可能です。

Network AMP と エン ド ポイン ト ベースの FireAMP の比較

管理対象デバイ スはネ ッ ト ワーク ト ラ フ ィ ッ ク のマルウ ェ アを検出し ますが、FireAMP のマル

ウ ェ ア検出はダ ウ ン ロー ド ま たは実行時にエン ド ポ イ ン ト で行われる ため、こ の 2 種類のマル

ウ ェ ア イベン ト の情報は異な る こ と に注意し て く だ さ い。た と えば、エン ド ポ イ ン ト ベースのマ

ルウ ェ ア イベン ト にはフ ァ イル パス、起動する ク ラ イ アン ト アプ リ ケーシ ョ ンなどについての

情報が含まれますが、ネ ッ ト ワーク ト ラ フ ィ ッ ク のマルウ ェ ア検出には、フ ァ イルの送信に使用

さ れた接続に関する ポー ト 、アプ リ ケーシ ョ ン プ ロ ト コル、および送信元 IP ア ド レ スの情報が

含まれます。

別の例 と し ては、ネ ッ ト ワーク ベースのマルウ ェ ア イベン ト の場合、ユーザ情報は、ネ ッ ト ワー

ク検出で判別さ れた、マルウ ェ アの送信先であ る ホ ス ト に 後に ロ グ イ ン し たユーザを示すこと が挙げられます。一方、FireAMP に よ って報告さ れる ユーザ情報は、ローカル コ ネ ク タ に よ っ

て判別さ れた、マルウ ェ アが検出さ れたエン ド ポ イ ン ト にその時点で ロ グ イ ン し ていたユーザを示し ます。

（注） エン ド ポ イ ン ト ベースのマルウ ェ ア イベン ト で報告さ れる IP ア ド レ スはネ ッ ト ワーク マ ッ プ内にない場合があ り 、展開、ネ ッ ト ワーク アーキテ ク チャ、コ ンプ ラ イ アン ス レベルなどの要素に よ ってはネ ッ ト ワーク内でモニ タ さ れて も いない場合があ り ます。コ ネ ク タ が イ ン ス ト ールさ れている エン ド ポ イ ン ト が、管理対象デバイ スに よ ってモニ タ される ホ ス ト と 同じ ではない場合も あ り ます。

侵入の検知および防御：一連の攻撃のマ ッ ピング：攻撃中

侵入の検知および防御はポ リ シーベースの機能です。ア ク セス コ ン ト ロールに統合され、イ ン ラ

イ ンで導入さ れる と 、ネ ッ ト ワーク ト ラ フ ィ ッ ク をセキ ュ リ テ ィ 違反ついてモニ タ し て、悪意の

あ る ト ラ フ ィ ッ ク をブ ロ ッ ク ま たは変更で き る よ う に し ます。侵入ポ リ シーには、以下の よ う なさ ま ざ ま な コ ンポーネン ト が含まれています。

• プ ロ ト コル ヘ ッ ダー値、ペイ ロー ド の内容、特定のパケ ッ ト サ イ ズの特性を検査するルール

• FireSIGHT の推奨に基づ く ルール状態の設定

• プ リ プ ロ セ ッ サや他の検出およびパフ ォーマン ス機能などの詳細設定

• 関連する プ リ プ ロ セ ッ サおよびプ リ プ ロ セ ッ サ オプシ ョ ンの イベン ト を生成可能なプ リ プロ セ ッ サ ルール

シ ス テムは、受章歴のあ る Snort® テ ク ノ ロ ジーを使用し てネ ッ ト ワーク ト ラ フ ィ ッ ク を分析

し、侵入イベン ト を生成し ます。こ れら の イベン ト は、特定のネ ッ ト ワーク セグ メ ン ト をモニ タ

するデバイ スに適用さ れた侵入ポ リ シーに違反し た ト ラ フ ィ ッ ク のデータ です。図 41 に、基本

的な検査フ ロー パス を示し ます。

62

Threat Management with NextGen IPS の設計上の考慮事項

図 41 基本的な検査フ ロー パス

オペレータはイベン ト を確認し、それら の イベン ト がネ ッ ト ワーク の コ ンテキ ス ト において重要であ る かど う かを判断で き ます。侵入イベン ト は以下に よ って生成されます。

• Ethernet II デコーダなどの リ ン ク層のデコーダ

• IP デコーダなどのネ ッ ト ワーク層のデコーダ

• TCP デコーダなどの ト ラ ン ス ポー ト 層のデコーダ

• HTTP 検査プ リ プ ロ セ ッ サなどのアプ リ ケーシ ョ ン層のデコーダ ま たはプ リ プ ロ セ ッ サ

• ルール エンジン

イベン ト には以下の よ う な情報が含まれています。

• イベン ト が生成さ れた日付 と 時刻

• イベン ト プ ラ イ オ リ テ ィ

• イベン ト に関連付け られた影響フ ラ グ（ネ ッ ト ワーク検出を使用し ている場合）

• イ ン ラ イ ン、ス イ ッ チ ド 、ルーテ ッ ド 展開で、イベン ト の原因であ るパケ ッ ト が ド ロ ッ プ されたか、あ る いは ド ロ ッ プ さ れている可能性があ る かど う か

• イベン ト を生成し たデバイ スの名前

• イベン ト の原因 と なったパケ ッ ト のプ ロ ト コル

• イベン ト の送信元の IP ア ド レ スおよびポー ト

• イベン ト の宛先の IP ア ド レ スおよびポー ト

• 送信元ホ ス ト に ロ グ イ ン し たユーザの名前

• ICMP の タ イ プおよびコー ド （ICMP ト ラ フ ィ ッ ク の場合）

• イベン ト を生成し たシ ス コ の FirePOWER シ ス テム コ ンポーネン ト （ルール、デコーダ、プ リプ ロ セ ッ サなど）

• イベン ト の簡単な説明

• イベン ト を生成し たルールの分類

• ホ ス ト が メ ンバーであ る VLAN

3479

57

マネージド デバイス

デコーダ

プリプロセッサ

キャプチャしたパケット

ルールエンジン アラート

インシデント

侵入イベントビュー

イベント データベース

63

Threat Management with NextGen IPS の設計上の考慮事項

FireSIGHT：一連の攻撃のマ ッ ピング：攻撃中、攻撃後

FireSIGHT はシ ス コ の検出および認識テ ク ノ ロ ジーであ り 、ホ ス ト 、オペレーテ ィ ン グ シ ス テ

ム、アプ リ ケーシ ョ ン、ユーザ、フ ァ イル、ネ ッ ト ワーク、位置情報、および脆弱性に関する情報を収集し ます。こ の包括的なデータ のセ ッ ト は、ネ ッ ト ワーク の全体的な状況を完全に把握し、侵害の指標を報告する信頼で き る方法を実現する ために使用されます。FireSIGHT Management Center は、FireSIGHT に よ って収集さ れたデータ を表示し、分析する ために使用さ れます。こ の

データは、ア ク セス コ ン ト ロールの実施および侵入ルールの状態の変更に も使用で き ます。ま

た、ホ ス ト におけ る侵害の指標を、ホ ス ト の関連付け られた イベン ト データ に基づき、ネ ッ ト

ワーク全体で追跡で き ます。表 8 に、FireSIGHT に よ って可視化さ れるすべての情報を一覧表示

し ます。

侵害の指標：一連の攻撃のマ ッ ピング：攻撃中、攻撃後

シ ス テムは、ネ ッ ト ワーク上のホ ス ト で発生する特定の種類の侵入、マルウ ェ アなどの イベン トを関連付けて、ホ ス ト が侵害さ れた可能性があ る時期を判断し、これ ら のホ ス ト にセキ ュ リ テ ィ侵害の指標（IOC）の タ グ を付与し ます。IOC のデータはホ ス ト に関連付け られている ため、モニ

タ対象ネ ッ ト ワーク の脅威の状況を明確かつ直接的に把握する のに役立ち ます。

シ ス テムは こ の情報をすべて使用し て、調査分析、動作のプ ロ フ ァ イ リ ン グ、ア ク セス コ ン ト

ロール、および組織に影響を与え る脆弱性およびエ ク スプ ロ イ ト の軽減や対応を行 う こ と ができ ます。

表 8 FireSIGHT の可視性

カ テゴ リ サンプル

Cisco NGIPS & NGFW 一般的な IPS 一般的な NGFW

脅威 攻撃、異常 Yes Yes Yes

ユーザ AD、LDAP、POP3 Yes No Yes

Web アプ リ ケーシ ョ ン Facebook チャ ッ ト 、eBay

Yes No Yes

アプ リ ケーシ ョ ン プ ロ

ト コル

HTTP、SMTP、SSH Yes No Yes

ク ラ イ アン ト アプ リ

ケーシ ョ ン

Firefox、IE6、BitTorrent

Yes No No

ネ ッ ト ワーク サーバ Apache 2.3.1, IIS4 Yes No No

オペレーテ ィ ング シ ス

テム

Windows、Linux Yes No No

ルータ と ス イ ッ チ Cisco、Nortel、Wireless

Yes No No

ワ イ ヤレ ス ア ク セス ポイ ン ト

Linksys、Netgear Yes No No

モバイルデバイ ス iPhone、Android Yes No No

プ リ ン タ HP、Xerox、Canon Yes No No

VoIP 電話 Avaya、Polycom Yes No No

仮想マシン VMware、Xen Yes No No

64

Threat Management with NextGen IPS の設計上の考慮事項

動的なフ ァ イル分析（サン ド ボッ クス）：一連の攻撃へのマ ッ ピング：攻撃中、攻撃後

フ ァ イルに対する追加のマルウ ェ ア分析および脅威の特定を行 う ため、キ ャ プチャ された該当フ ァ イルを動的分析用に Sourcefire ク ラ ウ ド に送信で き ます。Cisco-Sourcefire ク ラ ウ ド はフ ァ

イルをテ ス ト 環境で実行し、その結果に応じ て脅威ス コ アおよび動的分析の要約レポー ト を FireSIGHT Management Center に返し ます。該当する フ ァ イルを Spero 分析のために Cisco-Sourcefire に送信する こ と も で き ます。こ の分析はフ ァ イルの構造を検査し て、マルウ ェ ア

の識別を補完し ます。動的分析のために ク ラ ウ ド にフ ァ イルを送信する かど う かは、キ ャ プチャさ れたフ ァ イルの種類や、ア ク セス制御ポ リ シーで設定された、許容される 小および 大のフ ァ イル サ イ ズに応じ て決定さ れます。フ ァ イルは以下の よ う に し て送信で き ます。

• フ ァ イル ルールが実行可能フ ァ イルに対し てマルウ ェ ア ク ラ ウ ド ル ッ ク ア ッ プを行い、そのフ ァ イルの性質が不明の場合は、自動的に動的分析のために送信されます。

• PDF、Microsoft Office ド キ ュ メ ン ト などのサポー ト 対象フ ァ イルを保存し ている場合は、1 回に 大 25 フ ァ イルまでを手動で送信で き ます。

送信さ れたフ ァ イルは ク ラ ウ ド での分析のためにキ ューに入れ られます。キ ャ プチャ されたフ ァ イルおよびフ ァ イルの ト ラ ジ ェ ク ト リ ーを表示し て、フ ァ イルが動的な分析のために送信さ れている かど う かを確認で き ます。フ ァ イルが動的な分析のために送信される たびに、ク ラ ウド は 初の分析に よ って結果が生成さ れている場合であ って も こ のフ ァ イルを分析し ます。クラ ウ ド は、サン ド ボ ッ ク ス環境でフ ァ イルを実行する こ と に よ り 、動的な分析を実行し ます。クラ ウ ド の分析に よ り 以下が返さ れます。

• 脅威ス コ ア。フ ァ イルがマルウ ェ アを含んでいる可能性を詳細に示し ています。

• 動的な分析の要約レポー ト 。こ のレポー ト には ク ラ ウ ド が脅威ス コ アをつけた理由が示されています。

フ ァ イル ポ リ シーの設定に基づいて、定義さ れた し き い値よ り 脅威ス コ アが高いフ ァ イルは自

動的にブ ロ ッ ク さ れます。動的な分析の要約レポー ト を詳細に確認する こ と は、マルウ ェ アの識別精度の向上 と 検出機能の微調整に役立ち ます。

データ接続：一連の攻撃のマ ッ ピング：攻撃中、攻撃後

FirePOWER アプ ラ イ アン スは、ネ ッ ト ワーク上のホ ス ト で生成された ト ラ フ ィ ッ ク を継続的に

モニ タ し ます。ア ク セス コ ン ト ロール機能を使用し て、ネ ッ ト ワーク ト ラ フ ィ ッ ク が特定の条

件に一致し た場合は接続イベン ト を生成で き ます。接続イベン ト には、タ イ ム ス タ ンプ、IP ア ド

レ ス、位置情報、アプ リ ケーシ ョ ンなど、検出さ れたセ ッ シ ョ ンに関するデータ が含まれています。ア ク セス制御ポ リ シーは、次の よ う な場合に接続イベン ト を記録し ます。

• ネ ッ ト ワーク ト ラ フ ィ ッ ク がブ ラ ッ ク リ ス ト に記載さ れたか、セキ ュ リ テ ィ イ ンテ リ ジ ェン スに よ ってモニ タ さ れている場合。こ の場合はセキ ュ リ テ ィ イ ンテ リ ジ ェ ン ス イベン トも作成さ れます。

• ネ ッ ト ワーク ト ラ フ ィ ッ ク が、ア ク セス コ ン ト ロール モニ タ ルール以外の条件に一致し た場合。

• ネ ッ ト ワーク ト ラ フ ィ ッ ク がア ク セス制御ポ リ シーのデフ ォル ト ア ク シ ョ ンに よ って処理さ れた場合。

• ネ ッ ト ワーク ト ラ フ ィ ッ ク が、少な く と も 1 つのモニ タ ルールの条件を満た し た場合（自動的に有効に設定）。

• ア ク セス コ ン ト ロール ルールに関連付け られている侵入ポ リ シーが イベン ト を生成し た場合（自動的に有効に設定）。

• ア ク セス コ ン ト ロール ルールに関連付け られたフ ァ イルのポ リ シーがフ ァ イルを検出ま たはブ ロ ッ ク し た場合、も し く はマルウ ェ アを検出ま たはブ ロ ッ ク し た場合（自動的に有効に設定）。

65

Threat Management with NextGen IPS の設計上の考慮事項

個々のア ク セス コ ン ト ロール ルール、ポ リ シー、および設定へ接続ロ ギン グ を関連付け る と 、記

録さ れる接続を き め細か く 制御で き ます。

接続の概要：一連の攻撃のマ ッ ピング：攻撃後

シ ス コ の FirePOWER シ ス テムは 5 分間隔で収集さ れた接続データ を集約し、接続の概要を作成

し ます。こ の概要を使用し て、接続グ ラ フ と ト ラ フ ィ ッ ク プ ロ フ ァ イルがシ ス テムで生成されま

す。オプシ ョ ンで、接続の概要データ に基づ く カ ス タ ム ワーク フ ローを作成する こ と がで き ま

す。こ のワーク フ ローも、個々の接続イベン ト に基づ く ワーク フ ローで同様に使用されます。セキ ュ リ テ ィ イ ンテ リ ジ ェ ン ス イベン ト 専用の接続の概要はあ り ませんが、対応する接続終了イ

ベン ト を接続の概要データ に集約で き ます。集約する には、複数の接続が以下の状態であ る必要があ り ます。

• 接続の終了を示し ている。

• 送信元および宛先 IP ア ド レ スが同じ であ り 、レ スポンダ（宛先）のホ ス ト で同じ ポー ト を使用し ている。

• 同じ プ ロ ト コル（TCP ま たは UDP）を使用し ている。

• 同じ アプ リ ケーシ ョ ン プ ロ ト コルを使用し ている。

• 同じ FireSIGHT 管理対象デバイ スで検出さ れたか、同じ NetFlow 対応デバイ スに よ ってエ クスポー ト さ れている。各接続の概要に、接続数など全 ト ラ フ ィ ッ ク統計情報が含まれている。

接続の概要には、概要内の集約さ れた接続に関するすべての情報が含まれている わけではないこ と に注意し て く だ さ い。た と えば、接続の概要に集約さ れる接続には ク ラ イ アン ト 情報が使用さ れないため、概要には ク ラ イ アン ト 情報は含まれません。

アクセス コ ン ト ロールおよびセグ メ ンテーシ ョ ン

TrustSec を使用し た単一サ イ ト の ク ラ ス タ リ ン グ と Secure Enclaves Architecture を組み合わせ

る こ と に よ り 、ア ク セス コ ン ト ロール と セグ メ ン ト 化機能の包括的なセ ッ ト が実現し ます。

アクセス コ ン ト ロール：一連の攻撃のマ ッ ピング：攻撃前、攻撃中

ア ク セス制御ポ リ シーは、シ ス テムがネ ッ ト ワーク上で ト ラ フ ィ ッ ク を処理する方法を決定します。1 つ以上のア ク セ ス制御ポ リ シーを設定し、設定し たポ リ シーを 1 つ以上の FirePOWER アプ ラ イ アン スに適用で き ます。各デバイ スに同時に適用で き る ポ リ シーは 1 つです。

シンプルなア ク セス制御ポ リ シーを使用し て、セキ ュ リ テ ィ イ ンテ リ ジ ェ ン ス データ に基づい

て ト ラ フ ィ ッ ク を フ ィ ルタ し、次にポ リ シーのデフ ォル ト のア ク シ ョ ン を使用し て、ブ ラ ッ ク リス ト に記載さ れていない ト ラ フ ィ ッ ク を以下のいずれかの方法で処理で き ます。

• すべての ト ラ フ ィ ッ ク がネ ッ ト ワーク に入ら ない よ う にブ ロ ッ クする。

• 追加の検査をせずに、ネ ッ ト ワーク に入るすべての ト ラ フ ィ ッ ク を信頼する。

• すべての ト ラ フ ィ ッ ク がネ ッ ト ワーク を入る こ と を許可し、ネ ッ ト ワーク検出ポ リ シーのみを使用し て ト ラ フ ィ ッ ク を検査する。

• すべての ト ラ フ ィ ッ ク がネ ッ ト ワーク に入る こ と を許可し、侵入およびネ ッ ト ワーク検出ポリ シーを使用し て ト ラ フ ィ ッ ク を検査する。

66

Threat Management with NextGen IPS の設計上の考慮事項

オプシ ョ ンで、ア ク セス コ ン ト ロール ルールをポ リ シーに追加し て、ネ ッ ト ワーク ト ラ フ ィ ッ

ク の処理および記録方法を き め細か く 制御で き ます。各ルールに対し て、侵入ま たはフ ァ イル ポリ シーに一致し た ト ラ フ ィ ッ ク に対するルール ア ク シ ョ ン を指定し ます。指定するルールには、

ト ラ フ ィ ッ ク を信頼する、モニ タする、ブ ロ ッ クする、検査する、と い う ア ク シ ョ ンがあ り ます。各ルールには、特定の ト ラ フ ィ ッ ク を識別し て制御する一連の条件が含まれています。ルールは単純に も複雑に もする こ と がで き、セキ ュ リ テ ィ ゾーン、ネ ッ ト ワーク、VLAN、送信元ま たは宛

先の国/大陸、Active Directory LDAP のユーザ/グループ、アプ リ ケーシ ョ ン、ト ラ ン スポー ト プ ロ

ト コル ポー ト 、ま たは URL の任意の組み合わせで ト ラ フ ィ ッ ク を照合し ます。

図 42 には、FirePOWER アプ ラ イ アン ス を通過する ト ラ フ ィ ッ ク フ ローが記載さ れています。ま

た、その ト ラ フ ィ ッ ク に対し て実施さ れる検査の種類に関する詳細の一部が説明されています。シ ス テムは、フ ァ ス ト パス経由の ト ラ フ ィ ッ クやブ ラ ッ ク リ ス ト に記載されている ト ラ フ ィ ック は検査し ない こ と に注意し て く だ さ い。ア ク セス コ ン ト ロール ルールま たはデフ ォル ト ア ク

シ ョ ンに よ って処理さ れた ト ラ フ ィ ッ ク の場合、フ ローおよび検査はルール ア ク シ ョ ンに応じ

て異な り ます。簡素化のため、こ の図にはルール ア ク シ ョ ンは記載されていませんが、シ ス テム

は信頼さ れた ト ラ フ ィ ッ ク ま たはブ ロ ッ ク さ れた ト ラ フ ィ ッ ク に対し てはいずれの種類の検査も行いません。ま た、デフ ォル ト ア ク シ ョ ンではフ ァ イル検査はサポー ト されていません。

図 42 アクセス制御ポ リ シーのフ ロー図

HTTP 応答ページ：一連の攻撃のマ ッ ピング：攻撃後

ア ク セス コ ン ト ロール ルールがユーザの HTTP 要求をブ ロ ッ ク し た場合にユーザの Web ブ ラ

ウザに表示さ れる内容は、シ ス テムに よ る セ ッ シ ョ ンのブ ロ ッ ク方法の設定に よ って異な り ます。ルール ア ク シ ョ ン を選択する場合には、以下の内容を選択し ます。

• 接続を拒否する際にブ ロ ッ クする か、ブ ロ ッ クする と と も に リ セ ッ ト を行 う か。ブ ロ ッ ク されたセ ッ シ ョ ンが タ イ ム ア ウ ト する と 、シ ス テムはブ ロ ッ ク の リ セ ッ ト と 同時に接続も リセ ッ ト し ます。どち ら のブ ロ ッ キン グ ア ク シ ョ ンの場合も、デフ ォル ト ブ ラ ウザま たはサーバ ページは、サーバ接続が拒否さ れた こ と を示すカ ス タ ム ページに よ ってオーバーラ イ ドさ れます。

• イ ン タ ラ ク テ ィ ブにブ ロ ッ クする か、イ ン タ ラ ク テ ィ ブなブ ロ ッ ク と と も に リ セ ッ ト を行い、ユーザに警告を行 う HTTP 応答ページを表示する が、ユーザがボ タ ン を ク リ ッ ク し てページを継続する か更新し て、当初要求し たサ イ ト を読み込むこ と も許可する。

着信パケット

Fast-Pathルール

セキュリティ インテリジェンス

侵入検査ファイル検査検出

侵入検査ファイル検査検出

Fast-Pathなし

Fast-Path 処理 ブラックリスト

ブラック リスト

に登録されていない

アクセス コントロール ルール

アクセス制御ポリシー

ルールに一致しない、またはモニタ ルールのみに一致

アクセス コントロールのデフォルト アクション

トラフィック許可 トラフィック ブロック トラフィックはフローし、

ルール アクションに基づき検査

トラフィックはフローし、

デフォルト アクションに基づき検査

モニタ ルール以外の最初のルールに一致

67

Threat Management with NextGen IPS の設計上の考慮事項

エン ド ユーザにポ リ シー適用ア ク シ ョ ンについて通知し、ト ラ フ ィ ッ ク がブ ロ ッ ク された理由

を簡単に理解で き る よ う にする こ と で、ユーザおよび管理者のフ ラ ス ト レーシ ョ ン を大幅に軽減で き ます。

セキ ュ リ テ ィ イ ンテ リ ジ ェ ン スのブ ラ ッ ク リ ス ト ま たはセキ ュ ア ソ ケ ッ ト レ イ ヤ（SSL）証明

書に基づき検出さ れたアプ リ ケーシ ョ ンが原因でブ ロ ッ ク された ト ラ フ ィ ッ ク の場合は HTTP 応答ページが表示さ れない こ と に注意し て く だ さ い。

アイデンテ ィ テ ィ 管理

FirePOWER アプ ラ イ アン スが ロ グ イ ン を検出する と 、こ のアプ ラ イ アン スは以下の情報を FireSIGHT Management Center に送信し、ユーザ ア ク テ ィ ビテ ィ と し て記録し ます。

• ロ グ イ ンで識別さ れたユーザ名

• ロ グ イ ン時刻

• ロ グ イ ンに関連し た IP ア ド レ ス

• ユーザの メ ール ア ド レ ス（POP3、IMAP、および SMTP ロ グ イ ンの場合）

• ロ グ イ ン を検出し たデバイ ス名。ユーザが以前に検出されている場合、FireSIGHT Management Center はそのユーザの ロ グ イ ン履歴を更新し ます。

FireSIGHT Management Center は、POP3 および IMAP ロ グ イ ンで メ ール ア ド レ ス を使用し て、

LDAP ユーザ と の関連付けを行います。た と えば、FireSIGHT Management Center が新し い IMAP ロ グ イ ン を検出し、その IMAP ロ グ イ ンの メ ール ア ド レ スが既存の LDAP ユーザ と 一致し た場

合、IMAP ロ グ イ ンは新規ユーザを作成せずに LDAP ユーザ履歴を更新し ます。ユーザがそれま

でに一度も検出さ れていなかった場合、FireSIGHT Management Center は、ユーザ データベース

にそのユーザを追加し ます。固有の AIM、SIP、および Oracle の ロ グ イ ンは常に新し いユーザ レコー ド を作成し ます。こ れは、こ れら の ロ グ イ ン イベン ト には FireSIGHT Management Center が他の ロ グ イ ン タ イ プに関連付け る こ と がで き るデータ が含まれていないためです。

FireSIGHT Management Center は、以下のよ う な場合はユーザ ア ク テ ィ ビテ ィ またはユーザ ID を記録し ません。

• ネ ッ ト ワーク検出ポ リ シーが該当のロ グ イ ン タ イプを無視する よ う に設定されている場合。

• 管理対象デバイ スが SMTP ロ グ イ ン を検出し たが、以前検出さ れた LDAP、POP3、ま たは IMAP ユーザ と 一致する メ ール ア ド レ ス を持つユーザが、ユーザ データベースに含まれていない場合。

Microsoft Active Directory LDAP サーバに Sourcefire ユーザ エージ ェ ン ト を イ ン ス ト ールし、そ

の Active Directory サーバを介し てユーザ ア ク テ ィ ビテ ィ をモニ タする こ と をお勧め し ます。

ユーザ制御機能を有効にする には、Sourcefire ユーザ エージ ェ ン ト を イ ン ス ト ールし、ユーザを IP ア ド レ スに関連付け る こ と がで き る よ う にする必要があ り ます。こ れに よ り 、ユーザ条件を使

用し てア ク セス コ ン ト ロール ルールを ト リ ガーで き る よ う にな り ます。

1 つの Sourcefire ユーザ エージ ェ ン ト を使用し て、 大 5 つの Active Directory サーバでユーザ ア ク テ ィ ビテ ィ を監視で き ます。エージ ェ ン ト を使用する には、該当のエージ ェ ン ト に接続された各 FireSIGHT Management Center と モニ タ対象 LDAP サーバ間の接続を設定し ます。こ の接続

に よ り 、ロ グ イ ンおよびロ グオフがユーザ エージ ェ ン ト に よ って検出される ユーザの メ タデー

タ を取得で き る よ う にな る だけでな く 、ア ク セス コ ン ト ロール ルールで使用する ユーザおよび

グループを指定する こ と がで き ます。

68

Threat Management with NextGen IPS の設計上の考慮事項

LDAP サーバか ら、FireSIGHT Management Center は各ユーザに関する以下の情報 と メ タデータ

を取得し ます。

• LDAP ユーザ名

• 姓名

• メ ール ア ド レ ス

• 部署名

• 電話番号

ユーザ ア ク テ ィ ビテ ィ データベースには、Active Directory LDAP サーバへの接続（Sourcefire のユーザ エージ ェ ン ト に よ って も モニ タ さ れている）か ら、ま たはネ ッ ト ワーク検出に よ って取得

さ れたネ ッ ト ワーク 上のユーザ ア ク テ ィ ビテ ィ のデータ が含まれます。シ ス テムが イベン ト を

記録する のは以下の よ う な状況です。

• 個別の ロ グ イ ン ま たはロ グオフ を検出し た場合。

• 新し いユーザを検出し た場合。

• 手動でユーザが削除さ れた場合。

• シ ス テムがデータベースに存在し ないユーザを検出し たが、FireSIGHT の ラ イ セン スが制限に到達し ている ためにユーザを追加で き ない場合。

アプ リケーシ ョ ンの可視性およびコ ン ト ロール

ホス ト プロ フ ァ イル：一連の攻撃のマ ッ ピング：攻撃前、攻撃中

ホ ス ト プ ロ フ ァ イルは FireSIGHT Management シ ス テムが単一のホ ス ト について収集し たすべ

ての情報（MAC ア ド レ ス、ホ ス ト 名、オペレーテ ィ ン グ シ ス テムなど）の全体像を提供し ます。ホ

ス ト 属性（ホ ス ト に適用で き る ユーザ定義の説明）も ホ ス ト プ ロ フ ァ イルに一覧されます。た と

えば、ホ ス ト があ る建物を示すホ ス ト 属性を割 り 当て る こ と がで き ます。ホ ス ト プ ロ フ ァ イル

で、そのホ ス ト に適用さ れている既存のホ ス ト 属性を表示し、そのホ ス ト 属性値を変更で き ます。ホ ス ト プ ロ フ ァ イルは、サーバ、ク ラ イ アン ト 、および特定のホ ス ト で実行さ れている ホ ス ト プ ロ ト コルなどの情報も提供し ます。こ の情報には、こ れ ら がホ ワ イ ト リ ス ト に準拠し ている かど う か も含まれます。サーバは、そのホ ワ イ ト リ ス ト およびそれ ら のサーバについて表示される

詳細か ら除外で き ます。

サーバに関する接続イベン ト 、サーバ ト ラ フ ィ ッ ク が検出さ れたセ ッ シ ョ ンに関する ロ グ情報、

ク ラ イ アン ト の接続イベン ト 、およびホ ス ト プ ロ フ ァ イルか ら削除されたサーバ、ク ラ イ アン

ト 、ま たはホ ス ト プ ロ ト コルなどの追加情報を表示で き ます。ホ ス ト に関する ユーザ履歴情報を

追跡する よ う にシ ス テムが設定さ れている場合は、その情報を表示で き ます。ホ ス ト プ ロ フ ァ イ

ルは、変更可能な脆弱性の リ ス ト を提供し ます。こ の機能に よ り 、該当のホ ス ト について対応済みの脆弱性に関する情報が提供さ れます。

フ ァ イルの制御：一連の攻撃のマ ッ ピング：攻撃前、攻撃中

フ ァ イルの制御に よ り 、管理対象デバイ スで、ユーザが特定のアプ リ ケーシ ョ ン プ ロ ト コルを介

し て特定の種類のフ ァ イルをア ッ プ ロー ド （送信）し た り 、ダ ウ ン ロー ド （受信）し た り する のを検出し、ブ ロ ッ ク で き る よ う にな り ます。フ ァ イルの制御は、ア ク セス コ ン ト ロール ルールに関

連付け られる フ ァ イル ポ リ シーを使用し た、ア ク セス コ ン ト ロール設定全体の一部 と し て設定

で き ます。フ ァ イル ポ リ シーは、全体的なア ク セス コ ン ト ロール設定の一部 と し て、高度なマル

ウ ェ ア防御およびフ ァ イル制御を実行する ためにシ ス テムが使用する一連の設定です。図 43 に、イ ン ラ イ ン展開におけ る シンプルなア ク セス制御ポ リ シーを示し ます。

69

Threat Management with NextGen IPS の設計上の考慮事項

図 43 シンプルなアクセス制御ポ リ シー

フ ァ イルのポ リ シーには、その親であ る ア ク セス制御ポ リ シー と 同様に、各ルールの条件に一致し たフ ァ イルをシ ス テムがどの よ う に処理する かを決定するルールが含まれています。個々のフ ァ イル ルールは、フ ァ イルの種類、アプ リ ケーシ ョ ン プ ロ ト コル、ま たは転送の方向ご と に異

な る ア ク シ ョ ン を実行する よ う に設定で き ます。フ ァ イルがルールに一致する と 、ルールは以下を実行で き ます。

• 単純なフ ァ イル タ イ プの照合に基づき フ ァ イルを許可ま たはブ ロ ッ クする。

• マルウ ェ ア フ ァ イルの要素に基づき フ ァ イルをブ ロ ッ クする。

• キ ャ プチャ さ れたフ ァ イルをデバイ スに保存する。

• キ ャ プチャ さ れたフ ァ イルを動的な分析のために送信する。

さ ら に、フ ァ イル ポ リ シーに よ って以下を実行で き ます。

• ク リ ーン リ ス ト ま たはカ ス タ ムの検出 リ ス ト のエン ト リ に基づき、フ ァ イルを自動的に問題な し、ま たはマルウ ェ ア と し て処理する。

• フ ァ イルの脅威ス コ アが設定さ れた し き い値を超過し た場合は、そのフ ァ イルをマルウ ェ アと し て処理する。

表 9 にフ ァ イル ルールの コ ンポーネン ト を示し ます。

ルール 1：許可 一致したトラフィック

一致したトラフィック

アクセス制御ポリシー

ルール 2：許可

ファイル ポリシー A

デフォルト アクション：許可

ファイルの検査なしで許可されたトラフィック

ファイル ポリシー B

一致なし

一致なし

3479

59

ネットワーク トラフィック

ファイル ポリシー A によって許可/ブロックされたファイル

ファイル ポリシー A によって許可/ブロックされたファイル

表 9 フ ァ イル ルールのコ ンポーネン ト

フ ァ イル ルールのコ ンポーネン ト 説明

アプ リ ケーシ ョ ン プ ロ ト コル

シ ス テムでは、FTP、HTTP、SMTP、IMAP、POP3、および NetBIOS-ssn（SMB）

経由で転送さ れる フ ァ イルの検出 と 検査を行 う こ と がで き ます。

転送の方向 シ ス テムでは、フ ァ イルをダ ウ ン ロー ド する際に受信し た FTP、HTTP、

IMAP、POP3、および NetBIOS-ssn（SMB） ト ラ フ ィ ッ ク を検査で き ます。

同様に、ア ッ プ ロー ド する際に送信し た FTP、HTTP、SMTP、および NetBIOS-ssn（SMB） ト ラ フ ィ ッ ク を検査で き ます。

70

Threat Management with NextGen IPS の設計上の考慮事項

SSL アプ リケーシ ョ ンの検出：一連の攻撃のマ ッ ピング：攻撃中

FirePOWER シ ス テムは、セキ ュ ア ソ ケ ッ ト レ イ ヤ（SSL）セ ッ シ ョ ンのセ ッ シ ョ ン情報を使用し

て、セ ッ シ ョ ンのアプ リ ケーシ ョ ン プ ロ ト コル、ク ラ イ アン ト アプ リ ケーシ ョ ン、ま たは Web アプ リ ケーシ ョ ン を識別で き るデ ィ テ ク タ を提供し ます。

シ ス テムで暗号化さ れた接続が検出さ れる と 、その接続は汎用 HTTPS 接続ま たは SMTPS など

の特定のセキ ュ ア プ ロ ト コル と し てマーク さ れます。シ ス テムで SSL セ ッ シ ョ ンが検出される

と 、セ ッ シ ョ ンの接続イベン ト の ク ラ イ アン ト フ ィ ール ド に SSL ク ラ イ アン ト が追加さ れま

す。セ ッ シ ョ ンの Web アプ リ ケーシ ョ ンが識別される と 、シ ス テムで ト ラ フ ィ ッ ク の検出イベン

ト が生成さ れます。

SSL アプ リ ケーシ ョ ン ト ラ フ ィ ッ ク の場合、バージ ョ ン 5.2 以降を実行する管理対象デバイ ス

は、サーバ証明書の コ モンネーム も検出し、その名前を SSL ホ ス ト パターンの ク ラ イ アン ト ま

たは Web アプ リ ケーシ ョ ンに対し て照合し ます。特定の ク ラ イ アン ト が識別さ れた場合、SSL クラ イ アン ト はその ク ラ イ アン ト 名で置き換え られます。SSL アプ リ ケーシ ョ ン ト ラ フ ィ ッ ク は

暗号化さ れる ため、シ ス テムで識別に使用で き る のは証明書内の情報のみであ り 、暗号化されたス ト リ ーム内のアプ リ ケーシ ョ ン データは使用で き ません。その結果 SSL ホ ス ト パターンで

は、アプ リ ケーシ ョ ン を作成し た会社だけが識別さ れる場合があ る ため、同じ会社に よ って作成さ れた SSL アプ リ ケーシ ョ ンが同じ ID を持つ可能性があ り ます。

ネ ッ ト ワーク フ ァ イル ト ラジ ェ ク ト リー：一連の攻撃のマ ッ ピング：攻撃中、攻撃後

ネ ッ ト ワーク フ ァ イルの ト ラ ジ ェ ク ト リ ー機能は、SHA-256 ハ ッ シ ュ値を使用し て、ネ ッ ト

ワーク全体でフ ァ イルの伝送パス を追跡し ます。

ネ ッ ト ワーク全体でフ ァ イルの伝送を追跡する には、シ ス テムで以下のいずれかが実施される必要があ り ます。

• フ ァ イルの SHA-256 ハ ッ シ ュ値を計算し、その値を使用し てマルウ ェ ア ク ラ ウ ド ル ッ クア ッ プを行 う 。

• FireSIGHT Management Center と 組織の FireAMP サブス ク リ プシ ョ ン と の統合機能を使用して、該当のフ ァ イルに関する エン ド ポ イ ン ト ベースの脅威および検疫データ を受信する。

各フ ァ イルには ト ラ ジ ェ ク ト リ ー マ ッ プが関連付け られています。こ のマ ッ プには、経時的な

フ ァ イルの転送を視覚化し た情報 と 、フ ァ イルに関する追加情報が含まれています。

アプ リ ケーシ ョ ンの検出：一連の攻撃のマ ッ ピング：攻撃中、攻撃後

FireSIGHT Management シ ス テムは IP ト ラ フ ィ ッ ク の分析時、ネ ッ ト ワーク で一般的に使用さ れ

る アプ リ ケーシ ョ ンの識別を試行し ます。アプ リ ケーシ ョ ン ベースのア ク セス コ ン ト ロールを

行 う には、アプ リ ケーシ ョ ンの認識機能が不可欠です。シ ス テムに よ って検出される アプ リ ケーシ ョ ンには以下の 3 種類があ り ます。

フ ァ イルのカテゴリ およびタ イ プ

システムでは、マルチ メ デ ィ ア（swf、MP3）、実行可能フ ァ イル（exe、torrent）、

PDF など、基本的なカテゴ リ にグループ分け さ れた各種のフ ァ イルを検出

で き ます。

フ ァ イル ルール

のア ク シ ョ ン

フ ァ イル ルールのア ク シ ョ ンに よ って、ルールの条件に一致し た ト ラ

フ ィ ッ ク をシ ス テムが処理する方法が決定さ れます。フ ァ イル ルールは

数値上の順番ではな く 、ルール ア ク シ ョ ンの順番で評価さ れます。

表 9 フ ァ イル ルールのコ ンポーネン ト （続き）

71

Threat Management with NextGen IPS の設計上の考慮事項

• HTTP や SSH などのアプ リ ケーシ ョ ン プ ロ ト コル

• Web ブ ラ ウザおよび メ ール ク ラ イ アン ト などの ク ラ イ アン ト

• MPEG ビデオおよび Facebook などの Web アプ リ ケーシ ョ ン

シ ス テムは、パケ ッ ト ヘ ッ ダーの ASCII ま たは 16 進数パターン を使用する か、ト ラ フ ィ ッ ク に

よ って使用さ れる ポー ト を使用し て、ネ ッ ト ワーク ト ラ フ ィ ッ ク フ ローのアプ リ ケーシ ョ ン を

識別し ます。一部のアプ リ ケーシ ョ ン デ ィ テ ク タはポー ト およびパターンの検出の両方を使用

し て、特定のアプ リ ケーシ ョ ンの ト ラ フ ィ ッ ク を正し く 識別する可能性を高めています。

FireSIGHT シ ス テムのアプ リ ケーシ ョ ン デ ィ テ ク タ には以下の 2 つの ソースがあ り ます。

• Web アプ リ ケーシ ョ ン、ク ラ イ アン ト 、およびアプ リ ケーシ ョ ン プ ロ ト コルを検出する Sourcefire 提供のデ ィ テ ク タ

• シ ス テムのアプ リ ケーシ ョ ン プ ロ ト コル検出機能を強化する ために作成で き る、ユーザ定義のアプ リ ケーシ ョ ン プ ロ ト コル デ ィ テ ク タ

アプ リ ケーシ ョ ン プ ロ ト コルは、暗黙のアプ リ ケーシ ョ ン プ ロ ト コルの検出に よ って検出する

こ と も で き ます。こ の検出は、ク ラ イ アン ト の検出に基づいてアプ リ ケーシ ョ ン プ ロ ト コルの存

在を示すも のです。FireSIGHT Management シ ス テムは、一連の特性を使用し てアプ リ ケーシ ョ

ン フ ィ ルタ を作成し ます。アプ リ ケーシ ョ ン フ ィ ルタ を使用し て、ア ク セス コ ン ト ロールを実

施し た り 、検索、レポー ト 、ダ ッ シ ュ ボー ド ウ ィ ジ ェ ッ ト を制限し た り で き ます。

機密データの検出：一連の攻撃のマ ッ ピング：攻撃中、攻撃後

社会保障番号、ク レ ジ ッ ト カー ド 番号、運転免許証番号などの機密データは、イ ン ターネ ッ ト に

意図的に、ま たは誤って漏洩さ れる可能性があ り ます。シ ス テムには、ASCII テキ ス ト の機密

データ に関する イベン ト を検出し、生成で き る機密データ プ ロ セ ッ サが用意されています。こ の

プ ロ セ ッ サは、特に誤って漏洩さ れたデータ の検出に役立ち ます。

暗号化ま たは難解化さ れた機密データ、ま たは Base64 でエン コー ド さ れた メ ールの添付フ ァ イ

ルなどの圧縮ま たはエン コー ド さ れた形式の機密データは検出されせん。シ ス テムは ト ラフ ィ ッ ク に対し て個別のデータ タ イ プを照合する こ と に よ って、TCP セ ッ シ ョ ン ご と に機密

データ を検出し ます。各データ タ イ プのデフ ォル ト 設定、および侵入ポ リ シーのすべてのデータ タ イ プに適用さ れる グ ローバル オプシ ョ ンのデフ ォル ト 設定は変更可能です。FireSIGHT Management シ ス テムには、事前定義さ れた、一般に使用さ れるデータ タ イ プが用意されている

こ と に加え、カ ス タ ム データ タ イ プを作成する こ と も で き ます。機密データ のプ リ プ ロ セ ッ サ ルールは、各データ タ イ プに関連付け られます。機密データ の検出 と イベン ト の生成は、データ タ イ プに対応する プ リ プ ロ セ ッ サ ルールを有効にする こ と に よ り 、データ タ イ プご と に有効に

で き ます。シ ス テムでは TCP ス ト リ ーム を前処理する こ と でモニ タ済みのセ ッ シ ョ ンが確立さ

れる ため、ポ リ シーで機密データ の検出を使用する には、TCP ス ト リ ームの前処理を有効にする

必要があ り ます。

（注） 機密データ の検出は、パフ ォーマン スに大き な影響を与え る場合があ り ます。こ の機能の導入に関する追加ガ イ ダン スは、『Sourcefire FirePOWER System User Guide』に記載さ れています。

72

Threat Management with NextGen IPS の設計上の考慮事項

ロギングおよび ト レーサビ リ テ ィ の管理

データベースへのアクセスの有効化

FireSIGHT Management Center では、サー ド パーテ ィ の ク ラ イ アン ト ま たはアプ リ ケーシ ョ ンに

データベースへの読み取 り 専用ア ク セス を許可する よ う に設定で き ます。外部ク ラ イ アン ト からデータベースに接続する と き に、FireSIGHT Management Center で、管理者ま たは外部データ

ベース ユーザの も の と 一致する ユーザ名およびパス ワー ド を使用する必要があ る こ と に注意し

て く だ さ い。

データベース イベン ト 数の制限の設定

パフ ォーマン ス を向上させる には、保存で き る各種イベン ト の 大数を設定する必要があ り ます。[データベース（Database）] ページを使用し て、FireSIGHT Management Center が保存で き る各

種イベン ト の 大数を指定し ます。侵入イベン ト データベース内の イベン ト 数が 大数を超え

る と 、 も古い イベン ト およびパケ ッ ト フ ァ イルが、データベースが イベン ト 制限内に戻る まで

プルーニン グ さ れます。検出およびユーザ データベースは手動でプルーニン グする こ と も で き

ます。ま た、侵入イベン ト および監査レ コー ド がデータベースか ら プルーニン グ された場合に通知を受け取る メ ール ア ド レ ス を設定で き ます。表 10 に、イベン ト タ イ プご と に保存で き る レ

コー ド の 小および 大数を示し ます。

表 10 データベース イベン ト 数の制限

イベン ト タ イ プ イベン ト 数の制限の最大値イベン ト 数の制限の最小値

侵入イベン ト 250 万（DC500）

1,000 万（DC1000、仮想 FireSIGHT Management Center）

2,000 万（DC750）

3,000 万（DC1500）

1 億（DC3000）

1 億 5,000 万（DC3500）

10,000

検出イベン ト 1,000 万 0（ス ト レージを

無効化）

接続イベン ト /セキ ュ

リ テ ィ イ ンテ リ ジ ェ

ン ス イベン ト

1,000 万（DC500、DC1000、仮想 FireSIGHT Management Center）

5,000 万（DC750）

1 億（DC1500、DC3000）

5 億（DC3500）

イベン ト 数の制限の 大値は、接続イベン ト とセキ ュ リ テ ィ イ ンテ リ ジ ェ ン ス イベン ト で共

有され、こ の 2 つの イベン ト に対し て設定さ れ

た 大値の合計は、イベン ト 数の制限の 大値を超え る こ と はで き ません。

0（ス ト レージを

無効化）

接続の概要/（集約さ れ

た接続イベン ト ）

1,000 万（DC500、DC1000、仮想 FireSIGHT Management Center）

5,000 万（DC750）

1 億（DC1500、DC3000）

5 億（DC3500）

0（ス ト レージを

無効化）

73

Threat Management with NextGen IPS の設計上の考慮事項

システム監査ログ

FirePOWER シ ス テムの一部であ る アプ ラ イ アン スに よ って、Web イ ン ターフ ェ イ ス と ユーザ と

の対話のそれぞれに対し て監査レ コー ド が生成さ れ、シ ス テム ス テータ ス メ ッ セージがシ ス テ

ム ロ グに記録さ れます。

FireSIGHT Management アプ ラ イ アン スおよび管理対象 FirePOWER アプ ラ イ アン スには、完全

な レポー ト 機能も用意さ れています。こ の機能を使用する こ と に よ り 、イベン ト ビ ューでア ク セ

ス可能なほぼすべての タ イ プのデータ（監査データ など）に関する レポー ト を生成で き ます。監査ロ グには 大 100,000 のエン ト リ が保存さ れます。監査ロ グ エン ト リ の数が 100,000 を超え る

と 、アプ ラ イ アン スは も古いレ コー ド をデータベースか ら プルーニン グ し て、100,000 エン ト

リ まで減ら し ます。

監査ログのス ト リー ミ ング

シ ス テム ポ リ シーを設定し て、アプ ラ イ アン スが外部ホ ス ト に監査ロ グ を ス ト リ ー ミ ン グする

よ う にで き ます。外部ホ ス ト が機能し てお り 、監査ロ グ を送信する アプ ラ イ アン スか ら ア ク セスで き る こ と が重要です。監査ロ グ を受信する よ う に設定さ れた コ ン ピ ュータ が リ モー ト メ ッ

セージを受信する よ う に設定さ れていない場合、そのホ ス ト は監査ロ グ を受信し ない こ と に注意し て く だ さ い。

関連付けおよびコ ンプ ラ イ アン ス ホ ワ イ

ト リ ス ト イベン ト

100 万 1

マルウ ェ ア イベン ト 1,000 万 10,000

フ ァ イル イベン ト 1,000 万 0（ス ト レージを

無効化）

状態イベン ト 100 万 0（ス ト レージを

無効化）

監査レ コー ド 100,000 1

修復ス テータ ス イベ

ン ト

1,000 万 1

ネ ッ ト ワーク上のホス ト のホ ワ イ ト リ スト 違反履歴

30 日間の違反履歴 1 日の履歴

ユーザ ア ク テ ィ ビテ ィ

（ユーザ イベン ト ）

1,000 万 1

ユーザ ロ グ イ ン（ユー

ザ履歴）

1,000 万 1

ルール更新の イ ンポー ト ロ グ レ コー ド

100 万 1

表 10 データベース イベン ト 数の制限 （続き）

イベン ト タ イ プ イベン ト 数の制限の最大値イベン ト 数の制限の最小値

74

検証結果

システム ログ

シ ス テム ロ グ（syslog）ページでは、アプ ラ イ アン スに関する シ ス テム ロ グ情報が提供さ れます。

シ ス テム ロ グは、シ ス テムに よ って生成さ れた各 メ ッ セージを次の順序で表示し ます。

• メ ッ セージが生成さ れた日付

• メ ッ セージが生成さ れた時刻

• メ ッ セージを生成し たホ ス ト

• メ ッ セージ自体

（注） シ ス テム ロ グ情報はローカルな情報です。た と えば、FireSIGHT Management Center を使用し て FirePOWER アプ ラ イ アン スのシ ス テム ロ グ内にあ る シ ス テム ス テータ ス メ ッ セージを表示する こ と はで き ません。シ ス テム ロ グ メ ッ セージは、特定の コ ンポーネン ト でフ ィ ルタ機能を使用する こ と に よ り 表示で き ます。

NetFlow

指定さ れたネ ッ ト ワーク に対し て、FirePOWER アプ ラ イ アン スは、NetFlow 対応デバイ スに よ っ

てエ ク スポー ト さ れた レ コー ド を検出し、それら のレ コー ド のデータ に基づいて接続イベン トを生成し、 終的にそれら の イベン ト をデータベースに記録する ために FireSIGHT Management Center に送信し ます。

セキ ュ ア データ セン ター エン タープ ラ イ ズには Data Center Cisco Validated Design 用の Cyber Threat Defense が含まれています。こ れは NetFlow ベースの脅威分析用に 適化さ れた、Lancope Stealthwatch ベースの ソ リ ューシ ョ ンです。NetFlow を FireSIGHT Management および FirePOWER アプ ラ イ アン ス と 使用する場合の追加の推奨事項は、こ の設計ガ イ ド では取 り 扱い

ません。

検証結果こ の ソ リ ューシ ョ ンは、こ の ド キ ュ メ ン ト で説明し ている さ ま ざ ま な導入オプシ ョ ン ご と に検証さ れています。各導入オプシ ョ ンについては、検証結果の詳細が含まれた個別の導入ガ イ ド で説明し ます。

サマ リーデータ セン ターの運用チームは、IT 史上類を見ないサ イバー セキ ュ リ テ ィ 上の課題に直面し て

います。サ イバー攻撃者の コ ミ ュ ニテ ィ は、あ ら ゆ る ネ ッ ト ワークおよびデバイ ス を隙あ らば侵害し よ う と 、何年も かけて攻撃機能を開発し ています。セキ ュ ア データ セン ター：Threat Management with NextGen IPS は、サ イバー防御者にデータ セン ターを保護する ための包括的な

機能のセ ッ ト を提供する と 同時に、ス ケーラ ビ リ テ ィ のための運用効率性を実現する こ と に注力し た、大規模な ソ リ ューシ ョ ン ポー ト フ ォ リ オの一部です。

75

参照

参照• セキ ュ ア データ セン ター エン タープ ラ イ ズ：TrustSec を使用し た単一サ イ ト の ク ラ ス タ リ

ン グ： http://www.cisco.com/en/US/solutions/collateral/ns340/ns414/ns742/ns744/docs/sdc-dg.pdf [英語]

• セキ ュ ア データ セン ター エン タープ ラ イ ズ：Secure Enclaves Architecture

• セキ ュ ア データ セン ター エン タープ ラ イ ズ：データ セン ター向け Cyber Threat Defense：http://www.cisco.com/c/dam/en/us/solutions/collateral/enterprise/design-zone-secure-data-center-portfolio/sea_ctd.pdf [英語]

• 『Sourcefire 3D System User Guide 60』

• 『Sourcefire 3D System Installation Guide』

• 『Cisco Nexus 7000 Series NX-OS System Management Configuration Guide』：http://www.cisco.com/c/en/us/td/docs/switches/datacenter/sw/5_x/nx-os/system_management/configuration/guide/sm_nx_os_cg.pdf [英語]

• 『NIST Special Publication 800-53 Revision 4』、「Security and Privacy Controls for Federal Information Systems and Organizations」：http://www.nist.gov/manuscript-publication-search.cfm?pub_id=915447 [英語]

• 「Subvirt: Implementing Malware with Virtual Machines」プレゼンテーシ ョ ン、Samuel T.King, Peter M.Chen、ミ シガン大学：http://www.cse.psu.edu/~mcdaniel/cse544/slides/cse544-subvirt-sawani.pdf [英語]

• 「Top 20 Critical Security Controls - Version 5」、SANS Institute：http://www.sans.org/critical-security-controls/ [英語]

• 「Find, Fix, Track, Target, Engage, Assess」、John A.Tirpak：www.airforcemag.com/magazinearchive/pages/2000/july%202000/0700find.aspx [英語]

76