ネットワークの玄関口におけるセキュリティの重要性
前回はクラウド環境(AWS:Amazon Web Services)とオンプレミス環境(自社で用意したIT資源を使ってシステムを運用すること)をつなぐプライベートなVPNルータとしてYAMAHAのRTX1200を活用した記事をお届けしました。少しばかり反響をいただけたので,今回はオンプレミス環境でのセキュリティについて考えてみたいと思います。
最近では,情報流出事件などで話題になっている特定の組織や人を狙って行われる高度な「標的型サイバー攻撃」が出てくるなど,今まで以上に情報セキュリティの強化が求められる時代になってきました。
しかしいくら「何もしないのは危険」とはいっても,いきなり大規模な IPS(Intrusion Prevention System:侵入防止システム) や IDS(Intrusion Detection System:不正侵入検知システム) 専用機を購入するのはかなり難しい決断かと思います。また,SDN(Software Difinition Network:ネットワーク仮想化)やVDI(Vitual Desktop Infrastructure:仮想デスクトップ)を組み合わせて,高度に統合されたセキュリティ環境を構築することもできますが,ある程度の規模がないと費用対効果は出にくいかと思います。じゃあ,「Linuxでもインストールしてオープンソースソフトウェアを活用すれば,同じような機能を持たせることができるんじゃないか」とも思いますが,やはり細かな設定や構築にはそれなりの知識と労力が必要になります。
IDS と IPS|ITpro
http://itpro.nikkeibp.co.jp/article/COLUMN/20060830/246798/?rt=nocnt
SDNとは|Software Definition Network
http://e-words.jp/w/SDN.html
そこで今回は,複合的なセキュリティ機能を持ったUTM(Unified Threat Management:統合脅威管理)ソフトウェアとして知名度の高い Endian UTM を,弊社のネットワーク用途向けのハードウェアである POWERSTEP MONI にインストールしてみました。
情報セキュリティを2つの視点で考えてみましょう。シマンテック社のホワイトペーパーでは,「エンドポイントセキュリティ」と「ゲートウェイセキュリティ」の2つの視点が重要だと言っています。
セキュリティ対策の位置づけは、サッカーに例えられることがあります。パソコンやサーバを保護するエンドポイントセキュリティはゴールキーパーであり、守りの要です。しかし、ゴールキーパーだけでは迫りくる敵からの攻撃に対処するにも限界があります。そこで登場するのはディフェンス、つまりゲートウェイセキュリティです。敵からの攻撃をゴールまで持ち込ませないために、その前段で防ぎ相手の攻撃を抑え込みます。当然、すべてを防ぐことはできないため、突破されることはありますが、ゴールキーパーにとっては負担が大幅に軽減されます。
ゲートウェイセキュリティ製品の位置づけと分類|Symantec
http://www.symantec.com/content/ja/jp/enterprise/brochures/b-gateway_security-ja.pdf
UTMは「ゲートウェイセキュリティ」に分類されるのに対し,パソコン(クライアント)にインストールされるアンチウイルスソフトウェア等は「エンドポイントセキュリティ」に分類されます。メリット・デメリットや,ファイアーウォールとの違いについては日立ソリューションズ社のサイトが参考になります。
UTMとは|ネットワークセキュリティの再入門
http://www.hs-juniperproducts.jp/check/utm.html
取り組みイメージ
UTMでは,複数の異なるセキュリティ機能を一つのハードウェアに統合し、集中的にネットワーク管理、つまり統合脅威管理(Unified Threat Management)を行います。
複数の機能を一つずつ選定し,導入・管理していくには、手間もコストも積み重なります。そこで、UTMのような複合的なセキュリティ対策をゲートウェイに施すことによって、導入の手間を省きながらゲートウェイセキュリティの強化を目指します。
UTMのメリット
IPSやIDSを一つずつ選定し導入していくと場合と比べたときのUTMのメリットを見てみましょう。
1.初期導入コストを削減できる
ファイアウォールやIDS/IPSなどの専用機を個別に導入する場合には,かなりのコスト(工数・予算)が必要になります。ネットワークのトラフィックがそこまで膨大でない場合には,UTMのように統合されたものを導入することで,初期導入コストを抑えることができます。
2.運用管理の負担を軽減できる
ファイアウォールやIDS/IPS、アンチウィルスなど複数のセキュリティ対策をバラバラに導入すると、情報システム部門の運用負荷が高まります。専任の運用管理者を配置することが困難な中堅・中小企業では、ゲートウェイセキュリティの対策と基準が定まっていれば,導入の簡単なUTMのメリットは大きくなります。
参考:http://www.hs-juniperproducts.jp/check/utm.html
UTMは様々な種の脅威動向を管理・防御(統合脅威管理)することが可能なため、管理に要する手間を大幅に削減できます。
カスタムハードウェアを使ったゲートウェイセキュリティ構築のメリット
IPS・IDSやUTMは,メーカーが専用にカスタムしたハードウェア上にソフトウェアが予めインストールされています。中にはソフトウェアアプライアンスとして,ライセンス提供(販売)されていることがあります。このようにハードウェアとソフトウェアを分けて考えることができる場合,選択の幅が広がります。ユーザのニーズ,現場に合わせて,CPUの性能を上げたり,広温度対応にしたり,静音仕様にしたり,自由に変更することができます。
より高度にソフトウェアとして展開したい場合には,SDN(Software Difinition Network)などを組んでいく必要がありますが,こちらは敷居が高くなってしまう可能性もあるので,あらかじめ実現したいセキュリティのレベルはどこまでかといったことを整理してから取り組むと良いのではないでしょうか。
今回の実験で使ったもの
今回の実験では,20名以内の小規模な事務所を想定し,「これ1台でゲートウェイセキュリティはすべて任せられる」という水準を達成することを目指します。
■ハードウェア
コンパクト ネットワーク向けサーバ
・POWERSTEP MONI
縦横はB5サイズ弱で,高さは1Uサイズです。
NICを4本搭載し,目的に合わせて柔軟なネットワーク構成を組むことができます。
CFカードをストレージにすることもでき,ファンは付いていますがとても静かで,事務所内でも問題なく使えます。
■ソフトウェア
・Endian UTM Software Appliance 3.0
イタリア製で世界規模でシェアが高いUTMです。
※Endian UTMの国内代理店であるプラムシステムズ株式会社様より,製品版の試用コードをいただいて検証しました。
Endianは無償版(Endian Firewall Community Edition)もありますが,国内代理店によるサポートは対象外になっています。
http://www.endian.com/community/download/
インストール手順
Endian UTM(製品版)のインストール手順は,Endian Firewall Community Edition(無償版)のインストール手順とほとんど同じです。
プラムシステムズ株式会社様がWebで公開されています。
Endian Firewall Community Editionのインストール
http://www.plum-systems.co.jp/endian-community/install.html
普段からLinuxのインストールに慣れている方であれば,それほど難しい操作はないかと思います。インストールしてすぐにWebGUIが使えるのはいいですね!インストール後の基本設定についても詳しく解説されています。こういったドキュメントが整理されていると,導入する側としては大変こころ強いですね。
Endian Firewall Community Editionの基本設定
http://www.plum-systems.co.jp/endian-community/basicconfig.html
イベント通知などもGUIで簡単に設定できて便利です。SSHを有効にすると,Linuxのシェルが使えます。
Endian Firewall Community Editionのステータス表示
http://www.plum-systems.co.jp/endian-community/dashboardandstatus.html
ファイアーウォール,IPS,アンチウイルス,アンチスパム,Webフィルタ,ホットスポット,HA構成,バックアップ設定など,かなりの機能をGUIで設定できるようになっています。HA構成を組んでおけるのは心強いですね。UTM自身のリソース監視もグラフで可視化できるのでとても見やすく便利です。
OpenVPNなどの便利な機能も
Endian UTM(製品版)には,リモートワークや営業先での利用等に便利なOpenVPNの機能も盛り込まれています。VPNクライアントを用意すれば,端末を選ばずに社内のサーバにアクセスすることが可能です。
ルータは前回の投稿のようにポピュラーなYAMAHA製のものを使うことで十分に要件を満たすことができますが,プラスαで「侵入検知」「アンチウイルス」「アンチスパム」などを導入する場合には,ぜひソフトウェアアプライアンスとカスタムハードウェアの組み合わせを活用してみてはいかがでしょうか。