シスコのネットワークをフローベースで監視し、 不正通信を自動遮断する連携機能を提供

オリゾンシステムズ(株)は、チェコ共和国のFlowmon Networks(フローモンネットワークス)社製フローベースのネットワークトラフィック監視・分析ソリューション「Flowmon(フローモン)」の「Cisco Prime Infrastructure (以下 Cisco PI)」と連携する機能の提供を開始した。
「Flowmon」は同社が2012年から国内販売総代理店として取り扱いを開始しており、ネットワーク全域の可視化、既知・未知の脅威の発見、誤使用や不正使用の検出などを行うことができる。今回提供するシスコのネットワーク統合管理製品である「Cisco PI」との連携機能により、セキュリティ上問題のあるクライアント端末を特定し、インターフェース接続停止、VLAN隔離、ACL(アクセスリスト)による停止などの対策を自動で即座に講じることができる。

◆「Flowmon」アプライアンスの概要と優位点
「Flowmon」は、ネットワークの情報をフローベースで監視・記録・解析することで、トラフィックの詳細を可視化する「Flowmonコレクタ」を中核とした製品シリーズ。中でも、コレクタのオプションプラグインである「Flowmon ADS(Anomaly Detection System)」は、フローベースの振る舞い検知機能を利用してネットワーク全域の脅威を横断的に監視・記録することが可能。
昨今のマルウェアの多くは、標準的なIPS/ファイアウォールなどが利用するシグネチャベースのパターンマッチングだけでは検出できなくなっており、標的型攻撃などの被害が拡大している。また、メール添付などによる不用意なファイルのやり取りにより、マルウェアが境界側のファイアウォールをくぐり抜けて侵入してしまった場合に、ネットワーク内部における望ましくない行為を即座に発見するために、効率的にネットワーク全域を俯瞰して監視することが喫緊の課題となっている。
「Flowmon ADS」では、利用者のアクセス形態、通信の帯域、通信相手、頻度、使用アプリケーションなどの状態の統計情報を、各ネットワーク機器が標準機能として生成可能なNetFlowなどのフロー統計情報を利用して保持・学習することで、ネットワーク内部全域の脅威を検知し、インシデント(危険)を報告する。運用・管理者は、インシデントを基にセキュリティ上問題のある端末に絞って、過去の振る舞い履歴を監視カメラ的に遡って確認することができる。
さらに、今回発表した「Flowmon ADS」と「Cisco PI」の連携機能により、これまで運用・管理者が手動で実施していたインシデント報告に基づく回線閉塞、ACL(アクセスリスト)による停止などを自動的に実行でき、一層のセキュリティ向上が期待できる。
また、シスコのスイッチやルータを既にネットワークへ導入している企業は、NetFlowや「Cisco PI」を最大限に活用することで、既存環境のまま、より高度なネットワーク監視、セキュリティ対策が実現可能となる。

◆ Cisco PI連携によるセキュリティ脅威検知時の処理
連携により、「インターフェース停止」、「隔離VLAN」、「ACL(アクセスコントロールリスト)による停止」の3種類の対応を選択設定することが可能。各対応のプロセス概要は以下のとおり。
・インターフェース接続停止
「Flowmon ADS」が脅威を検出すると連携スクリプトが起動し、イベントソースであるIPアドレスをもとに、「Cisco PI」からセキュリティ上問題のある端末が接続されているスイッチのIDとインターフェースを特定する。その後、PI経由でインターフェースをシャットダウンする。
・隔離VLAN
「Flowmon ADS」が脅威を検出すると連携スクリプトが起動し、イベントソースであるIPアドレスをもとに、「Cisco PI」からセキュリティ上問題のある端末が接続されているスイッチのIDとインターフェースを特定する。「Cisco PI」はこのインターフェースを隔離VLANへ移動し、セキュリティの脅威を除去する。
・ACL(アクセスコントロールリスト)による停止
「Flowmon ADS」が脅威を検出すると連携スクリプトが起動し、イベントソースであるIPアドレスをもとに「Cisco PI」からセキュリティ上問題のある端末が接続されているスイッチのIDとインターフェースを特定する。ACLをインターフェースに適用して通信を停止する。
この機能は、1インターフェースに複数の端末が接続されている構成の場合に有効。

オリゾンシステムズ(株)
Flowmon担当 TEL 03-6205-6082
http://www.orizon.co.jp/products/flowmon/