[2-H-2-OP8-1] 医療機関ネットワークにおけるセキュリティインシデント発生時端末自動隔離機能の実装と評価
はじめに
DDoSなどのサービス不能攻撃や、ワーム活動による端末負荷の増大やネットワーク帯域の占有が引き起こすサービス停止などを主とした従来型のサイバー攻撃から、近年は、標的型メールによる情報搾取や、ランサムウエアによる金銭の要求など、サイバー攻撃の手法が変化してきている。これらの攻撃は、シグネチャを中心とした従来のウィルス対策ソフトでは攻撃時点で検知されることはほとんどない。したがって、侵入をある程度前提とした対策が必要である。国立国際医療研究センターでは、サンドボックス機能に加え、侵入後マルウェアが行う特異な通信を常時監視し、不審な通信が見られた場合、自動的に当該端末の通信を遮断するシステムを構築し導入した。
システム概要
システムの基幹部分をSDN(Software Defined Network)で構成した。SDNは、物理レベルと同等の配線状態をソフトウェア上で定義可能なネットワークで、柔軟かつ動的にネットワーク構成を変更可能である。このネットワーク上に、サンドボックス機能とパケットモニタリング機能のあるセキュリティ装置を配置し、検知されたインシデントに応じて、SDNを制御し、ソフトウェア的に端末配線を切断する機能を導入した。
システムの評価と考察
2016年3月に構築が完了し、センターのインターネット閲覧系ネットワークの監視を開始した。2016年6月から2017年5月までの1年間で、39回のインシデントが検知され、そのうち対処しなければ重大な結果となった可能性のあるものは、3回であった。また、誤検知は1回であった。本システムの導入により、不審通信が発生した場合には直ちに検知され、利用者からの通報の前に、端末の隔離まで自動で行うことが可能になった。標的型のマルウェアの場合、切断までの時間が被害に大きな影響を及ぼす。本システムは、24時間365日端末隔離まで自動で対応可能であり、昨今のサイバー攻撃に対する効果は大きいと考えられる。
DDoSなどのサービス不能攻撃や、ワーム活動による端末負荷の増大やネットワーク帯域の占有が引き起こすサービス停止などを主とした従来型のサイバー攻撃から、近年は、標的型メールによる情報搾取や、ランサムウエアによる金銭の要求など、サイバー攻撃の手法が変化してきている。これらの攻撃は、シグネチャを中心とした従来のウィルス対策ソフトでは攻撃時点で検知されることはほとんどない。したがって、侵入をある程度前提とした対策が必要である。国立国際医療研究センターでは、サンドボックス機能に加え、侵入後マルウェアが行う特異な通信を常時監視し、不審な通信が見られた場合、自動的に当該端末の通信を遮断するシステムを構築し導入した。
システム概要
システムの基幹部分をSDN(Software Defined Network)で構成した。SDNは、物理レベルと同等の配線状態をソフトウェア上で定義可能なネットワークで、柔軟かつ動的にネットワーク構成を変更可能である。このネットワーク上に、サンドボックス機能とパケットモニタリング機能のあるセキュリティ装置を配置し、検知されたインシデントに応じて、SDNを制御し、ソフトウェア的に端末配線を切断する機能を導入した。
システムの評価と考察
2016年3月に構築が完了し、センターのインターネット閲覧系ネットワークの監視を開始した。2016年6月から2017年5月までの1年間で、39回のインシデントが検知され、そのうち対処しなければ重大な結果となった可能性のあるものは、3回であった。また、誤検知は1回であった。本システムの導入により、不審通信が発生した場合には直ちに検知され、利用者からの通報の前に、端末の隔離まで自動で行うことが可能になった。標的型のマルウェアの場合、切断までの時間が被害に大きな影響を及ぼす。本システムは、24時間365日端末隔離まで自動で対応可能であり、昨今のサイバー攻撃に対する効果は大きいと考えられる。