従来のネットワーク・セキュリティ対策では、主に境界ファイアウォールなどで「攻撃の侵入を防ぐ」ことが重視されてきました。一方で、近年のサイバー攻撃においてはシグネチャによるパターンマッチング型の防御では検知できない攻撃が急増し、AIやビッグデータを活用した高度な分析や、万が一の侵入を前提とした攻撃予兆の早期発見と効率的な対処を実現するセキュリティ対策が求められています。その解決策として注目を集めているセキュリティ対策が「NDR」です。
本記事では、VMware Cloud Foundationのアドオンサービスであり、AIや機械学習を活用した高度なネットワークセキュリティ機能を提供する「VMware vDefend Advanced Threat Prevention」及び「VMware vDefend Network Detection and Response」についてご紹介します。(旧称:VMware NSXファミリーのVMware NSX Network Detection and Response(VMware NSX NDR)」
NDR (Network Detection and Response) とは?
NDR は「Network Detection and Response」の略称で、機械学習を活用したトラフィック解析によって「ネットワークの検知・対応」を行うためのセキュリティ対策です。NDR ではネットワーク・トラフィックを継続的に分析し、発生したアラートやイベントの相関関係を可視化し、標準的な振る舞いから逸脱した不審なトラフィックをいち早く検知・対応することを目的としています。
セキュリティ対策においては、日々多様化するサイバー攻撃を100%防御することは困難であることから、攻撃者が内部侵入に成功した後、その攻撃被害を最小化するといった観点での対策も必要になります。NDR のトラフィック分析機能は、内部侵入後に攻撃を水平展開するラテラル・ムーブメントといった攻撃の早期発見にも役立ちます。
また、NDR は「ネットワーク」側の分析を行いますが、「エンドポイント」側でイベント分析を行う対策として「EDR (Endpoint Detection and Response)」があります。この EDR と NDR で収集するデータを統合することで、あらゆるセキュリティポイントで発生した情報を分析・対処に活用する「XDR (Extended Detection and Response)」のアプローチに発展させることが可能です。
VMware vDefend Network Detection and Response(vDefend NDR)とは?
「VMware vDefend Network Detection and Response(以下vDefend NDR)」は、分散型および境界型のセキュリティ機能を統合的に提供することで「NDR」を実現する、VMware社のセキュリティソリューションです。(旧称:VMware NSX Network Detection and Response、VMware NSX NDR)
分散型および境界型の
IDS/IPS
(侵入の検知/防御)
シグネチャによる脅威の特定と、次のアクションを決定づけるクラス分け
ネットワークの
トラフィック分析
(NTA)
機械学習の活用によって、ネットワーク上の危険な振る舞いを抽出
ハイブリッド型の
サンドボックスによる
マルウェア検知
詳細な解析でゼロディ攻撃を的確に検出し、検知を回避する攻撃も検出
vDefend NDR ではこれらのセキュリティ機能を組み合わせることで、ネットワーク上での不審な振る舞いや予兆をいち早く検知し、既知および未知のサイバー攻撃の侵入を防御します。収集したデータは広範囲のセキュリティ相関図として可視化されるため、侵入を許した攻撃についても進行状況や攻撃手法を迅速に把握でき、セキュリティチームの適切なインシデント対応を支援します。
また、vDefend NDRでは NTA (Network Traffic Analysis) の誤検知・過検知を減らすため、IDS/IPSやサンドボックスでの学習データを利用した追加のAI解析を行います。さらに、vDefend NDRで利用できる脅威インテリジェンスに対しては、VMware社のセキュリティチームによってゼロディ情報の共有や機能改善が日々行われており、ユーザーは常に最新の脅威インテリジェンスを利用したセキュリティ対策が可能です。
「vDefend NDR 」はSE Labsから業界初となるNDRの「AAA評価」を獲得
2021年にSE Labs が実施したハッキング攻撃等のテストでは、「vDefend NDR 」は非常に高いスコアで脅威を防ぐことが証明されています。
レポートでは以下に関するテストが行われ、vDefend NDR はこれらの脅威への対応で優れた結果を残しました。
- 多様な脆弱性攻撃
- ファイルレス攻撃
- マルウェア攻撃
- 偵察での検出手法
詳細は VMware Japan Blog をご確認ください。
vDefend NDRの購入方法
vDefend NDRは、AIや機械学習を活用した高度なネットワークセキュリティ機能を提供する「VMware vDefend Advanced Threat Prevention(以下vDefend ATP)」に含まれています。
vDefend ATPは、分散型および境界型のファイアウォール、IDS/IPS、サンドボックス、NDR などの最新の対策との組み合わせによって脅威の侵入や内部拡散を防止し、データセンター全体を安全に保護するセキュリティソリューションです。
vDefend NDRが含まれる「vDefend ATP」の機能
脅威の拡散防止
(ファイアウォール)
「マイクロセグメンテーション」でセキュリティポリシーを細分化、境界防御
仮想パッチ・脆弱性対策
(IDS/IPS)
「IDS/IPS」でネットワークを監視し不正と思われる通信を検知・防御
未知の脅威への対応
(サンドボックス)
「サンドボックス」で悪質なファイルを検出し、詳細に分析・防御
信頼性評価・フィルタリング
「URL/FQDN フィルタリング」および「Identity/L7 Firewall」でリスクが高い Web サイトへのアクセスをブロックし、アプリケーションのなりすまし使用を防止
ネットワークイベントの相関分析 (NDR)
「Network Detection and Response」で分散型および境界型のセキュリティ機能が提供する各機能の状態を相関分析し、攻撃・侵害の進行状況を可視化
「VMware vDefend/vDefend ATP」のラインナップ
「vDefend」シリーズには以下3つのVCF向けアドオンが用意されており、「vDefend NDR」は最上位のアドオンに含まれています。また、「vDefend Distributed Firewall」シリーズと「vDefend Gateway Firewall」シリーズのライセンスは、同一の環境内にて組み合わせて利用することが可能です。
- VMware vDenend Distributed Firewallシリーズ(旧称:VMware NSX Distributed Firewallシリーズ)
- VMware vDefend Distributed Firewall
(旧称:VMware NSX Distributed Firewall、VMware NSX Distributed Firewall with Threat Prevention) - VMware vDefend Gateway Firewall
(旧称:VMware NSX Gateway Firewall、VMware NSX Gateway Firewall with Threat Prevention) - VMware vDefend Firewall Advanced Threat Prevention ※NSX NDR の分散型機能が利用可能
(旧称:VMware NSX Distributed Firewall with Advanced Threat Prevention、VMware NSX Gateway Firewall with Advanced Threat Prevention)
- VMware vDefend Distributed Firewall
| VMware vDefend シリーズ | vDefend Distributed Firewall | vDefend Gateway Firewall | vDefend Distributed Firewall ATP |
|---|---|---|---|
| L2-L7 firewalling | |||
| User identity-based access control | |||
| Application identitybased access control | |||
| L2 and L3 VPNs | |||
| Intelligent flow visualization and policy recommendations | |||
| URL filtering | |||
| TLS decryption | |||
| 2台以上との vCenter 連携 | |||
| IDS/IPS (侵入検知・防御システム) | |||
| NTA (Network Traffic Analysis) | |||
| Network Sandbox (サンドボックス) | |||
| NDR(Network Detection and Response) |
「vDefend Distributed Firewall」
vDefend Distributed Firewall
(分散型セキュリティ)
「vDefend Distributed Firewall」は、仮想環境に対して「マイクロセグメンテーション」といった分散型セキュリティサービスを提供するアドオンです。
VMware Cloud Foundationのネットワーク仮想化サービスVMware NSXにセキュリティ機能を追加し、仮想マシン単位できめ細かなセキュリティポリシーを定義することが可能になります。
「VMware NSX Gateway Firewall」
vDefend Gateway Firewall
(境界型セキュリティ)
「vDefend Gateway Firewall」シリーズは、仮想環境に対して境界型のゲートウェイセキュリティサービスを提供するアドオンです。
VMware NSX環境でトラフィックを処理する「Tier-0/Tier-1 Gateway」において、IDP/IPSやファイアウォールといった境界型セキュリティサービスを動作させることが可能です。
vDefend NDRが含まれる「vDefend ATP」その他の機能
分散型および境界型のIDS/IPS (侵入の検知/防御)
ネットワークにおける不正な通信の振る舞いを検知・ブロックする機能がIDS/IPSです。vDefend ATP では、分散型IDS/IPSと境界型IDS/IPSを提供します。中でも、vDefend ATPならではの特徴的な機能が「分散型IDS/IPS」です。
VMware vSphere の分散仮想スイッチと連携して動作する分散型IDS/IPS では、IDS/IPS のセキュリティポリシーを仮想マシンのvNIC単位で設定・実行することができます。これはネットワークセグメントを問わずに最小単位(仮想マシン単位)でファイアウォール設定を適用ができる「マイクロセグメンテーション」と同様の利点があり、East-West の横方向通信を網羅的にチェックすることで、脅威拡散の検知・防御に大きな効果を発揮します。
vDefend ATPの IDS/IPS で利用するシグネチャはクラウドベースで配信され、20分おきに更新を確認します。受信した更新分のシグネチャが配信されると、次回のパケット処理から更新分を含めたシグネチャに該当するかチェックを行います。
また、シグネチャでは検出できない未知の脅威対策を補う仕組みとして「振る舞い検知機能」が提供されます。vDefend ATPに実装されている500以上の振る舞い定義によって、未知の脅威に対しても検出・防御が可能になっています。
分散 IDS/IPS「なし」の場合
攻撃者は、正規のポート番号を使いサーバの脆弱性をついてアクセスし攻撃。正規のトラフィックパターンとみなされ防御できず、①の AP サーバが攻撃され、②③の DB サーバの脆弱性をついて攻撃が拡大。
分散 IDS/IPS「あり」の場合
分散 IDS/IPS によって、脆弱性をついた攻撃のトラフィックパターンによる振る舞いを検知する。①の AP サーバ初期侵入、および、②③ DBサーバへの攻撃の拡散を防御。
ネットワークのトラフィック分析 (NTA:Network Traffic Analysis)
膨大な数のアラートやイベントといったネットワーク・トラフィックを分析することで、攻撃の兆候を検知する機能がNTAです。vDefend ATPでは、機械学習やAIの活用によってトラフィック分析の高度化・効率化を行うことで、複雑化した攻撃ステップをリアルタイムかつ包括的に検知することが可能です。
vDefend ATPのNTAでは、以下の手順でネットワーク・トラフィックの分析を行い、真の脅威を正しく検出します。
- 標準的なネットワークの振る舞いを表すモデルを構築
- 全てのホップ間のネットワークトラフィックに対して振る舞い分析を実施
- 通常の振る舞い以外は、「教師なし機会学習モデル」によって分析を継続
- さらに疑わしい振る舞いについては、サンドボックスから得られたマルウェアの挙動情報やネットワーク活動のキャプチャによる「脅威情報ベースの教師あり機会学習モデル」によって分析を継続
こうして分析された情報はvDefend ATPの管理画面において、各イベント単位ではなく相関のある「攻撃キャンペーン」としてわかりやすく可視化されるため、攻撃への対処を判断するための証拠とその詳細情報に素早くアクセスすることが可能です。
ハイブリッド型のサンドボックスによるマルウェア検知
添付ファイルなどの検体を安全な隔離環境で実行して、脅威の有無を検出する機能がサンドボックスです。検体による外部通信が発生した際は、実際にアクセスして解析を続けて悪質なファイルを検出します。vDefend ATPでは、IDS/IPS と同様に分散型・境界型の両方でサンドボックス機能が実装されており、「スタティック解析」と「ダイナミック解析」を動的に使い分けるハイブリッド技術によるマルウェア検知機能を提供します。
「スタティック解析」は 無害なファイルや既知の悪意のあるファイルを検知するのに適した手法です。シグネチャやファイル構造、埋め込みコードからファイルを解析し、ダイナミック解析が必要かどうかを判断します。
「ダイナミック解析」で行われる「フルシステムエミュレーション」では、ファイルをクラウド上のサンドボックスに送信し、多角的な振る舞い解析を実行します。難読化されたゲストOS上での挙動をハードウェアレベルで解析することで、スタティック解析を回避する脅威にも対応します。
vDefend NDRやvDefend ATPのご相談はネットワールドにお任せください
機械学習を活用したトラフィック解析によって、「ネットワークの検知・対応」を行う「VMware vDefend Network Detection and Response」についてご紹介しました。
VMware vDefendシリーズについては、以下の記事でもご紹介しています。
ネットワールドではvDefend NDR や vDefend ATPをスムーズに導入・活用いただくために、お客様に合わせてヒアリングから各コンポーネントの導入、操作手順書の作成、トレーニングの実施、導入後のオフサイトサポートまでトータルに対応する「導入支援サービス」を提供しています。基本的なサービスに加えて、お客様に要望に応じた個別のサービスカスタマイズも可能です。VMware vDefend をご検討の際は、ぜひネットワールドまでお問合せください。