ジュニパーネットワークス 次世代データセンターセキュリティソリューション ハッカーを“罠”で検知、未知のDDoS攻撃も防御 データセンターを堅守するジュニパーの先進セキュリティソリューション

サイバー攻撃は高度化・多様化の一途をたどっている。その対策として注目を集める次世代ファイアウォールだが、適用領域によって、求められる性能や機能は変わってくる。だが、ジュニパーネットワークスなら、あらゆるニーズに応えることが可能だ。小型の製品からキャリアクラスの大型製品まで幅広いラインナップを用意。独自のダイナミックサービスアーキテクチャにより、目的に応じて最大200Gbpsを超えるスループットにまで拡張できる。さらに、データセンターを襲う最新の攻撃手法も、先進セキュリティソリューションでしっかりブロックできる。
森本昌夫氏

ジュニパーネットワークス
セキュリティーソリューションズ
統括部長
森本昌夫氏

 クラウド化やモバイル化が進展するなか、ITシステムの在り方や使われ方が多様化しているが、これに伴いセキュリティニーズの多様化も進んでいる。ジュニパーネットワークス セキュリティーソリューションズ 統括部長の森本昌夫氏は、多様化するセキュリティニーズをモビリティ/クラウド/本社・支社/データセンターの4象限に分類して説明する。「例えば、本社・支社では従業員にいかにセキュアなアクセス環境を提供するかが大切ですが、データセンターではWeb改ざんやDDoS攻撃など外からの攻撃に対する防御が最も重要になります。また、モビリティの場合、社内と社外のどちらにいても、適切なセキュリティポリシーを自動適用できることが求められています」

 一口にセキュリティといっても、それぞれの領域によりニーズは異なっているわけだが、「ジュニパーはすべての領域に対して、最適なソリューションを用意しています」と森本氏は語る。ジュニパーのセキュリティソリューションは、次世代ファイアウォールの「SRXシリーズ」をベースに、様々な連携ソリューションを組み合わせることで、多様なセキュリティニーズに応えられるからだ。

図表1 多様化するセキュリティニーズ

図表1 多様化するセキュリティニーズ
画像をクリックして拡大

 また、支社・支店のような小規模向けからデータセンターや通信事業者などの大規模向けまで、非常に幅広いラインナップをスケーラブルに揃えているのも大きな特徴である。つまり、ジュニパーなら、あらゆるセキュリティニーズ、あらゆる規模の企業からの要求に応えられる。

図表2 ローエンドからハイエンドまで揃ったSRXシリーズのラインナップ

図表2 ローエンドからハイエンドまで揃ったSRXシリーズのラインナップ
画像をクリックして拡大

特定した攻撃者情報のデータベースを全世界で共有


 セキュリティの重要性は4象限すべての領域で高まっているが、なかでも近年、ハッカーの標的にされる機会が増えているのがデータセンターだ。その背景について森本氏は、「これまで企業内にあったアプリケーションやデータは今、データセンターにどんどん集約されています。ハッカーも経済性を重視しますから、より多くの情報が集まったデータセンターを攻撃したほうが効率的と考えているのです」と解説する。

 これに立ち向かうデータセンターのエンジニアも対策は怠ってはいないが、従来の手法では限界も見え始めている。そこで、ジュニパーが提唱するのが「次世代データセンターセキュリティ」だ。

図表3 ジュニパーの次世代データセンターセキュリティ

図表3 ジュニパーの次世代データセンターセキュリティ
画像をクリックして拡大

 まず紹介するのは、セキュリティインテリジェンスの「Spotlight Secure」だ。攻撃パターンだけをデータベース化するのではなく、攻撃者のフィンガープリントを収集して世界中で共有する仕組みである。「攻撃者自身を特定・追跡できるので、未知の攻撃への対策も可能です」と森本氏はその効果を説明する。Spotlight Secureでは、インストールされているブラウザやプラグインの種類、使用言語、キーボードのレイアウトなど200種類以上の特徴点により攻撃者を特定・追跡しているため、IPアドレスベースの対策で懸念される誤検知の心配もほとんどない。

図表4 200以上の属性から攻撃者のフィンガープリントを生成

図表4 200以上の属性から攻撃者のフィンガープリントを生成
画像をクリックして拡大

 ジュニパーは、WebApp Secureという、攻撃者の行動に着目したソリューションも用意している。攻撃者は通常、攻撃の実行前に偵察を行う。WebApp Secureはこの行動パターンを利用し、一般ユーザーには無関係だが偵察中の攻撃者は必ずタッチする“罠”を設置。この罠により攻撃者を特定する。「WAFを含む多くのセキュリティ製品は、攻撃が実際に実行されてからブロックするものですが、WebApp Secureは偵察の時点でブロックできます」と森本氏はその違いを説明する。

 また、Webアプリケーションへの攻撃は一般ユーザーを装って行なわれるので正常なアクセスと似ており、誤検知を招きやすい。このため、WAFは攻撃を検知してもブロックしない設定で運用されているケースが多いが、WebApp Secureの場合、攻撃者はすでに特定できているから、誤検知の心配なしに攻撃をブロックできるのだ。見つかった攻撃者のフィンガープリントは、Spotlight Secureに登録され、「数十秒で世界中で共有し、他のサイトの保護にも活用されます」とのことだ。

未知のDDoS攻撃もふるまいベースで検知してブロック


 2013年に世界のトップバンク15社のDDoS攻撃によるダウンタイムは前年から倍増したというほど、深刻さを増しているDDoS攻撃。データセンターにとっては、このDDoS攻撃対策も大きな課題だ。古くからある攻撃手法の1つだが、その手口は現在も進化を続けている。

 DDoS攻撃の昨今の状況について森本氏は、「ロー&スロー攻撃のように既知のパターンに当てはまらない、検知や防御が難しいDDoS攻撃が増えています」と語る。ロー&スロー攻撃とは、不正なリクエストを送信することでWebアプリケーションの負荷を異常に高め、サービス不全を起こすもの。大量のトラフィックが押し寄せるわけではないため、従来のDDoS対策製品をすり抜けてしまう。また、攻撃対象のWebアプリケーションに合わせて開発されたゼロデイ攻撃タイプのDDoS攻撃も増加している。

 こうした高度化するDDoS攻撃からデータセンターを守るのが「DDoS Secure」だ。ゼロデイ攻撃型のDDoS攻撃についても、独自のヒューリスティック技術によって、アクセスパターンなどから機械的なアクセスか人による操作かを分析・スコアリングして検知できる。いわゆる“ふるまい”ベースのアプローチだ。

図表5 DDoS Secureの主な特徴

図表5 DDoS Secureの主な特徴
画像をクリックして拡大

卓越した拡張性やSDN対応など、進化し続けるジュニパー製品


 次世代データセンターセキュリティの中核をなすSRXシリーズの特徴としては、卓越したスケーラビリティとパフォーマンスも挙げられる。SRX1400以上のモデルは「ダイナミックサービスアーキテクチャ」を採用しており、サービス処理カード(SPC)の追加/着脱によって、パフォーマンスのスケールアウト/スケールインがネットワークの設定変更なしに柔軟に可能。最大で200Gbps超のファイアウォールスループットを実現できる。

 さらに今話題のSDN(Software-Defined Networking)やNFV(Network Functions Virtualization)への熱心な取り組みも見逃せない。SRXシリーズの仮想アプライアンス版の正式提供がまもなく開始予定なのに加えて、ジュニパーのSDNコントローラー「Contrail」との連携による“サービスチェイニング”により、仮想SRXのリソースを柔軟にプロビジョニングできるようにもなる。

 先進のセキュリティ機能、充実した製品ラインナップ、比類のない拡張性など、すべての面でレベルの高いソリューションを提供しようとアグレッシブに開発を続けるジュニパーから、今後も目が離せない。

ホワイトペーパーダウンロード
ホワイトペーパーダウンロード アプリケーションの“見える化”を実現する
次世代セキュリティ「AppSecure」


マルチデバイス時代の多様化するアプリケーションをセキュアに制御するこれから必須のセキュリティ機能をご紹介。

ホワイトペーパーダウンロードはこちら
page top
お問い合わせ先
ジュニパーネットワークス株式会社
Eメール:otoiawase@juniper.net
TEL:03-5333-7410
URL:http://www.juniper.net/jp/