[2-L-1-PP1-2] 既存ネットワークにおけるネットワーク侵入防御システムの導入の検討
世界各国においてウイルス感染の被害やサイバー攻撃が猛威を振るっている。東北大学病院(以後、本院とする)では、これらの被害や攻撃を最小限に食い止めるため、ネットワーク侵入防御システム(IPS)を導入することにした。IPSを適用するネットワークは、不特定多数のサイト向けの通信の監視が不要である診療、ゲノムネットワークに対象を限定し、シグネチャの細かなチューニングを避け、運用負荷を抑えたIPSの導入を想定している。本院のネットワークは、Firewallの仮想化技術を用いた多段構成でFirewallを複数配置しているとともに、通信ログ取得およびウイルス・URLフィルタを適用した多段のプロキシサーバを配置した構成となっている。本稿では、本院の現行のネットワークに対して、IPSを適用するための概要と検証の取り組みについて報告する。
現行ネットワークでは、クライアントのHTTP通信は、多段のプロキシを介して行われており、クライアント・プロキシ間やプロキシ間の通信で監視してもIPSが正常に機能しない。そのため、IPSでは、最上位のプロキシサーバにおけるHTTP通信の監視が必要である。しかしながら、最上位のプロキシサーバにおける通信は、診療、ゲノムネットワークだけに留まらず、ネットワーク全体のHTTP通信を監視することになるため、研究用のネットワークも対象になり運用に支障が生じてしまう。そこで、診療、ゲノムネットワークのクライアント端末の設定にてプロキシ設定を解除して、プロキシされていない通信をIPSにて監査し、その後、WCCP(Web Cache Communication Protocol)を用いて透過型プロキシとして設定されたプロキシサーバへ通信を振り向け、従来と同様に多段プロキシを介してHTTP通信するよう構成変更することにした。検証環境を構築し、WCCPによる通信制御、IPSによる通信の監査、単一機器に障害等が発生しても通信影響が無いことを確認し、本院のネットワークに導入可能であることを確認した。今後は、本検証に基づいて実環境にIPSを導入する予定である。
現行ネットワークでは、クライアントのHTTP通信は、多段のプロキシを介して行われており、クライアント・プロキシ間やプロキシ間の通信で監視してもIPSが正常に機能しない。そのため、IPSでは、最上位のプロキシサーバにおけるHTTP通信の監視が必要である。しかしながら、最上位のプロキシサーバにおける通信は、診療、ゲノムネットワークだけに留まらず、ネットワーク全体のHTTP通信を監視することになるため、研究用のネットワークも対象になり運用に支障が生じてしまう。そこで、診療、ゲノムネットワークのクライアント端末の設定にてプロキシ設定を解除して、プロキシされていない通信をIPSにて監査し、その後、WCCP(Web Cache Communication Protocol)を用いて透過型プロキシとして設定されたプロキシサーバへ通信を振り向け、従来と同様に多段プロキシを介してHTTP通信するよう構成変更することにした。検証環境を構築し、WCCPによる通信制御、IPSによる通信の監査、単一機器に障害等が発生しても通信影響が無いことを確認し、本院のネットワークに導入可能であることを確認した。今後は、本検証に基づいて実環境にIPSを導入する予定である。