PALO ALTO NETWORKS: 導入事例次世代ファイアウォールを採用したマネージドサービス標的型攻撃に対応する PAシリーズ管理サービスを提供 NRIグループの情報セキュリティ専門会社であるNRIセキュアテクノロジーズは、PA シリーズを採用したマネージドセキュリティサービス「Palo Alto Networks PAシリーズ管理サービス」を提供している。クラウドサービスやSaaSなどが普及する中で、アプリケーション情報を識別し、セキュリティポリシーに沿った制御を可能にする PAシリーズの優位性を活かし、導入設計から構築、機器の設定、各種チューニング、導入後の運用までをワンストップでサービス提供する。 NRIセキュアテクノロジーズ株式会社プロフェッショナル集団による情報セキュリティサービスを提供 NRIセキュアテクノロジーズは、1995年に野村総合研究所の社内ベンチャーとして、ファイアウォールに東京都港区東新橋1-5-2 汐留シティセンター http://www.nri-secure.co.jp/ よるセキュリティ管理サービス提供を皮切りに情報セキュリティ事業をスタートさせた。マネージドセキュリティサービスを中心的事業として、セキュリティコンサルティング、セキュリティ診断・設計開発支援な分どセキュリティのトータルソリューションをワンストップで提供している。顧客企業は金融機関を中心に、情報セキュリティサービス野流通、製造、通信などさまざまな業種の大手企業、官公庁など 500 以上に及ぶ。同社の特長であり、強みは、テクノロジーとマネジメントの両面からユーザー企業が求める真のサービスを提供するために豊富な経験とノウハウ、高い技術力を持ったセキュリティのプロフェッショナル集団であること。GIAC (Gloal Information Assurace Certification) や CISA（公認情報システム監査人）、CISM（公認情報セキュリティマネージャー）、CISSP（情報システム・セキュリティ・プロフェッショナル認定資格）など、グローバルで通用する認定資格を有した技術者を多数擁している。同社が立ち上げ時から提供している情報セキュリティサービスの 1 つに、セキュアなネットワークの設計・構築・運用までを行うフルアウトソーシングサービスの「FNC（ファイアウォールネットワークセンター）サービス」がある。ファイアウォール、IDS・IPS、WAF（Web Application Firewall）、DBFW（DB 導入背景 • クラウドサービスやSaaSなどの普及により、インターネット経由で利用するアプリケーション/ サービスの増加 • 従来のファイアウォール、URLフィルタリングなどで制御できないアプリケーション利用環境 • 標的型攻撃対策、モダンマルウェア対策 Firewall）など、さまざまなセキュリティデバイスの管理サービスやセキュアリモートアクセスサービス、 DLP（Data Loss Prevention）管理サービスなどをメニューとして、24 時間 365 日の高度なセキュリティ監視ソリューションとインシデント対応を提供している。その FNC サービスで、2011 年からサービス提供を開始したのが、Palo • PAシリーズによるアプリケーション識別・制御、 Alto Networks PAシリーズ管理サービスだ。ユーザー識別、コンテンツ識別、アンチウイルス、IPS クラウド・SaaS時代の新しいファイアウォール管理サービスとして提供セキュリティレベルの向上、インシデントレスポンス • 24時間365日の監視・運用体制による Palo Alto Networks PAシリーズ管理サービスの提供を開始した背景を、MSS 事業本部 MSS 事業三部の ITセキュリティアナリスト片寄大祐氏は次のように述べる。「クラウドサービスや SaaS などの普及により、インターネット経由で利用するアプリケーション、サービスが急増している中で、従来のファイアウォールや URLフィルタリングでの制御は限定的になってきています。ポート番号で制御するという概念は崩れ、URLフィルタリングを回避する通信も出てきています。実際のトラフィックのアプリケーションを識別・制御していかないとネットワークのセキュリティは守れません。サービス計画当初は UTM 製品によるサービスを検討したものの、こうしたネットワーク環境の変化を考えながら製品評価しているうちに、セキュリティを維持しながらパフォーマンスを確保できるパロアルトネットワークスの次世代ファイアウォール（PAシリーズ）に行き着きました」（片寄氏）。片寄氏は PAシリーズを評価する点として、「最近はアプリケーション層の制御ができるファイアウォールが増えつつありますが、PAシリーズのアプリケーション識別能力は主要な SSLサイトであれば復号せずに識別できることや、ポート番号が変化するskypeのようなアプリケーションも識別できることが他社製品と一線を画しており、オンリーワン製品と言っても過言ではありません」と、アプリケーション可視化・制御機能の優位性を第一に挙げる。また、UTM 製品との単純比較は困難なものの、統合的なセキュリティ機能を動作させたときのパフォーマンスも圧倒的だと指摘する。 • セキュリティ製品の技術とマネジメントの両面でセキュリティサービスを提供 PA L O A LT O N E T W O R K S : 導入事例インシデント対応、充実したレポーティングに優位性 Palo Alto Networks PA シリーズ管理サービスに限らず、NRI セキュアテクノロジーズのマネージドサービスの特長は、インシデントレスポンスサービスと同社独自のレポーティングサービスだという（両サービスともプラチナサービスで提供）。インシデントレスポンスサービスは、セキュリティインシデントに対して 24 時間 365 日、プロのセキュリティアナリストが対応する。「PAシリーズはクライアントがマルウェアに感染している可能性があることを検知できますが、本当に感染しているのか誤検知なのか不明。複数のログの相関分析とともに、独自に入手したマルウェアサイトのブラックリストと照合して、そのサイトへの通信が確認されれば確実に感染していると見なすことができます。そうした詳細な分析と調査、対策の検討と提示まできめ細かく迅速に対応します」（片寄氏）「PA シリーズのアプリケーションとサービスの特長を強調する。また、PA シリーズが未知の脆弱性を利用した攻撃を検知した場合などに、NCSIRT(NRI SecureTechnologies 識別能力は他社製品と一線を画しており、 Computer Security Incident Response Team）が攻撃パターンを解析し、独自にシグネチャを作成して素早くオンリーワン製品と言っても展開することもある。あるプロダクトの脆弱性を突いた攻撃ツールが出回った際には、IDS ベンダーがセキュ過言ではありません」リティ侵害から約 1 カ月後にシグネチャを配信したのに対し、同社は 2 日後には作成して顧客企業の該当シス片寄大祐氏テムに配布したという。 NRIセキュアテクノロジーズ株式会社 MSS事業本部MSS事業三部 ITセキュリティアナリスト一方、レポーティングサービスでは、PA シリーズが自動生成するレポートに留まらず、独自に月次レポートを作成して提供する。アプリケーション別ネットワーク利用状況に加えて、情報漏えいにつながる危険性があるアプリケーションをハイリスクアプリケーションとしてレポートする。単に個別アプリケーションの一般的なリスク評価だけでなく、ユーザー企業の環境を考慮した上でハイリスクアプリケーションがどのような危険性をもたらすかきめ細かく、かつわかりやすくレポーティングしている。 Palo Alto Networks PAシリーズ管理サービスは、2011年秋に国内の防衛産業や官公庁が標的型攻撃を受けていたことが明らかになって以来、情報リスクの出口対策として大きく注目されるようになったという。それに伴ってサービス利用者は急激に増加し、あらためて PA シリーズの標的型攻撃に対する有効性、及びインシデントレスポンスサービスの必要性が認識されていると片寄氏はいう。そして、「PA シリーズは、セキュリティ侵害の高度化、標的型攻撃に代表されるモダンマルウェアの出現などにより、製品技術が進化していくセキュリティデバイスです。製品技術の進化と並行し、その性能･機能を最大限引き出すようマネージドサービスも進化させながら、お客様に効果的にサービス提供していくことが、私たちの最大の使命です。（」片寄氏）と展望を語る。 Palo Alto Networks PAシリーズ管理サービスの概要図公開サーバ群 Web mail DNS ・・・内部ネットワーク Internet 攻撃者ログ収集・分析緊急遮断対応 24時間緊急連絡検知連絡日次・月次レポート相関分析サーバパロアルトネットワークス E-mail: [email protected] www.paloaltonetworks.jp お客様運用担当