IoT

センサーなどを通じて身の回りのモノがネットワークへとつながり、新たな価値やサービスを生み出すIoT(Internet of Things:モノのインターネット)。現在さまざまな分野で大きな注目を集めているIoTですが、その活用において意外な盲点となっているのがセキュリティです。

制御装置やデバイスが攻撃者に乗っ取られてしまうと、機密情報が漏えいしたり、機械が暴走したり、最悪は社会インフラが停止に追い込まれたりと、大きなトラブルに発展してしまいます。こうした事態を防ぐためにも、適切なセキュリティ対策が欠かせません。ここでは、その具体的な対策についてご紹介します。

IoTにおけるセキュリティ対策で注意すべき3つのポイント

  • 一般にIoTの分野ではセキュリティ対策が困難
  • IoTデバイスを効果的に保護する施策を導入する
  • ネットワークへの脅威を“見える化”する

IoT時代を迎えるにあたっての課題

近年、新たな価値やサービスを生み出すため、パソコンやスマートフォンといったデバイス以外にも、テレビや冷蔵庫などの家電、工場の制御機器、医療機器、監視カメラ、社会インフラ設備等々、さまざまな「モノ」がセンサーなどを通じてネットワークにつながるようになりました。今後もこの傾向は続くと思われ、2009年の時点で9億個だったIoTデバイスは、2020年には260億個まで増えると予測されています。※
※2014年 米調査会社ガートナー発表による

しかし、IoTにも課題は存在し、中でも盲点となっているのがセキュリティです。こうしたデバイスは一般にセキュリティ対策や更新が困難な上、工場の制御機器、医療機器、社会インフラ設備などは、重要であるがゆえに簡単にはストップできないため、いったん止めて対策を実施するといったことが不可能です。また、デバイスの数も膨大な量になるため、管理が行き届かないばかりでなく、そもそも管理者がおらず放置されているケースも少なくありません。

こうした状況は、悪意を持った攻撃者にとって絶好のターゲットといえます。そしてひとたび攻撃が成功してしまうと、監視カメラが乗っ取られて映像が漏えいしたり、工場の制御機器が狂ってラインが停止/暴走したり、発電所の設備がダメージを受けて電力の供給が止まったり…等、甚大な被害が出るおそれがあります。それゆえ、IoTの活用を考えている企業は、同時にそのセキュリティ対策にも配慮する必要があるのです。

IoT時代の課題

IoT時代のネットワークに必要なセキュリティ対策とは

IoT時代のネットワークには、どのようなセキュリティ対策が求められるのでしょうか。ここでは以下の2つのポイントに注目しました。

(1)IoTデバイスを効果的に保護

IoTデバイスはセキュリティ対策が難しく、数も膨大なため、ネットワーク全体を不正攻撃から防ぐ施策が必要です。

(2)ネットワークにおける脅威を“見える化”する

仮にマルウェアなどがネットワーク内へ侵入したとしても、その状況を“見える化”しておけば、対策も立てやすくなり、結果として被害を最小限に防ぐことが可能になります。

IoT向けネットワークへのアプローチ

アラクサラが提案する2つのアプローチ

アラクサラでは上記2つのポイントについて、それぞれの方向からの対策を提案しています。(1)「IoTデバイスの保護」に対応するのが「ホワイトリスト機能」、(2)「脅威の“見える化”」に対応するのが「ポリシーベースミラーリング機能」です。

(1)ホワイトリスト機能

ネットワークを構成するスイッチに、通過を許可する通信フロー(ホワイトリスト)を事前に登録。運用中はそれ以外の通信をすべてスイッチの段階でシャットアウトします。登録された通信フロー以外をネットワーク内部へ通すことがないので、工場、ビル、病院、監視カメラなど、特定用途のネットワークのセキュリティ対策に最適です。

(2)ポリシーベースミラーリング機能

脅威の動きを “見える化”するためには、ネットワーク内のデータの流れを監視するセキュリティ機器の導入が求められますが、その際ネックとなるのがコスト面です。ポリシーベースミラーリング機能は、外部から内部、または内部から外部に流れる通信フローの中から必要な部分を抽出、ミラーリングすることが可能。通信フローすべてを検査する必要がなくなるため、無理にハイスペックなセキュリティ機器を導入せずとも済み、投資額を抑えることができます。

IoT向けネットワークへのアプローチ

ホワイトリスト機能

まずは「登録モード」において、ネットワーク内を流れる正常な通信フローを学習し、通信を許可するホワイトリストを作成します。「運用モード」に切り替えた後は、ホワイトリストに登録された通信フローのみを通し、それ以外の通信は全てシャットアウト。IoTデバイスへの攻撃を防ぎます。また、さまざまな攻撃に対応しており、従来のファイアウォールやセキュリティ機器が苦手としている、ネットワーク内の不正通信も確実に排除することができます。

ホワイトリストは自動で作成されるため、人手による登録作業は不要で、管理者に余計な負担はかかりません。既存のスイッチをホワイトリスト機能を搭載したスイッチに置き換えるだけで済むため、導入も容易です。なお未登録の通信については、転送処理やログ送信の方法も選択でき、必要であればホワイトリストに追加することも可能です。

特長

1 ホワイトリストは自動で生成・登録
2 最低限のメンテナンスでOK
3 さまざまな攻撃に対応
4 設置が簡単

動作概要

登録モード:正常な通信フローを学習して登録
運用モード:未登録の通信フローを排除


詳細ページ
http://www.alaxala.com/jp/solution/security/wl/whitelist/

内部対策にも有効なホワイトリスト機能

適用例:制御システムネットワーク

近年は、工場やプラント、電力、ガス、水道、鉄道などの社会インフラで利用される制御システムネットワークもオープン化が進んでおり、攻撃を受けやすくなっています。こうしたネットワークではセキュリティ対策が難しく、更新も困難なため、情報システムとの境界にファイアウォールを設置するだけでは脅威を完全に排除することはできません。

こうした環境でも、ホワイトリスト機能を搭載したスイッチを置くことで、制御機器を確実に保護することができます。

適用例:制御システムネットワーク(2/2)

ポリシーベースミラーリング機能

脅威の動きを “見える化”し、ネットワークの内部を安全に保つためには、各種セキュリティ機器を導入し、やりとりされているデータの中身をチェックする必要があります。しかし、膨大な数のIoTデバイスがネットワークにつながると、当然その通信量も大きくなります。これらのデータを検査のため機器へ送る際、すべてそのまま転送してしまうと、処理するためにはハイスペックなものが必要となり、導入価格も跳ね上がってしまいます。

ポリシーベースミラーリング機能では、検査に必要な通信フローのみを転送することができるので、その通信量は最小限で済み、より安価なセキュリティ機器で対応可能になります。また、将来的に性能が不足した場合でも、機器を増設するだけ対応できるため、既存の機器を無駄にすることもありません。また、セキュリティ機器の冗長化や、通信量の平滑化も可能で、セキュリティ対策の信頼性向上に貢献します。

詳細ページ
http://www.alaxala.com/jp/solution/network/pbm/pbm/

ポリシーベースミラーリング機能とセキュリティ装置

適用例:ネットワーク証拠保全ソリューション

さまざまな情報漏えい事件が世間を騒がせている昨今、ネットワーク上で送受信されるデータを収集、記録するネットワークフォレンジックという仕組みが注目されています。これさえあれば、サイバー攻撃などで被害が生じた場合でも、被害範囲や攻撃経路などを迅速に特定することができるからです。また、送受信されるデータを監視することにより、不正なデータのやりとりを事前に検知し、アラームを発することも可能です。

しかしこのネットワークフォレンジックも、大量の通信フローをすべて監視するのは困難で、特に多くのユーザが混在するクラウド環境では実現も難しいと言われています。そこでアラクサラでは、フォレンジックサーバと、ポリシーベースミラーリング機能を搭載するアラクサラの汎用スイッチを組み合わせた証拠保全ソリューションを提供し、IoT分野への適用を提案します。

具体的には、 AXシリーズのシャーシ型スイッチに内蔵したポリシーベースミラーリング機能を使って指定の通信フローを抽出し、フォレンジックサーバに転送。データの記録・分析を行います。マルチミラー機能を使えば、複数のフォレンジックサーバに同一のデータを送ることができるので、冗長性の確保も容易です。

適用例:ネットワーク証拠保全ソリューション

ホワイトリスト機能

スイッチ

L2ボックス

AX2500Sシリーズ

フロアからディストリビューションまでレイヤ2環境のあらゆる悩みを解決する、高機能と高信頼性をめざしたハイエンドのギガビットレイヤ2スイッチ。

ポリシーベースミラーリング機能

スイッチ

L3シャーシ

AX8600Sシリーズ

拡張性、セキュリティに優れ、安全・安心なシステムを構築可能な、IoT 時代のエンタープライズ向けシャーシ型コアスイッチ。

AX8300Sシリーズ

高い収容能力でスマートデバイス時代のネットワークを支える、100ギガビット/フルルート対応の次世代型ハイエンドコアスイッチ。

ルータ

ハイエンド

AX8600Rシリーズ

ネットワーク戦略の頂点に起つAXシリーズの最新鋭フラグシップ・モデル、100ギガビット イーサネット対応のハイエンドルータ。

ホワイトリスト機能
ネットワーク上でやりとりされる通信を学習し、許可リストを自動で作成。
許可リストにない不正な通信をすべてシャットアウトすることで、さまざまな攻撃からネットワークを効果的に守ります。
ポリシーベースミラーリング
大容量トラフィックの中から必要なデータのみを抽出する「ポリシーベースミラーリング機能」により、特定のデータのみをWAF/IDS/サンドボックス/フォレンジックなどの機器に転送することで、コストの削減、帯域の最適化、セキュリティ対策の信頼性向上などが実現します。