IoTセキュリティソリューションの導入: 導入済みの次世代ファイアウォールを有効活用

IoTデバイスのセキュリティ管理の課題

昨今では、IoT（Internet of Things）の普及により、カメラ、プリンタ、センサ、電化製品、工作機械などの様々なデバイスを一元管理したり、デバイスから集めたデータを分析し、有効活用することができるようになりました。これらのデバイスはビジネスの現場でも必要不可欠になっていますが、デバイスの多様化は管理の困難さに繋がります。PCやサーバ、ネットワーク機器とは異なり、IoTデバイスの脆弱性を企業のセキュリティ部門が把握し、随時アップデートを促したり、規制するのは大きな負担です。パロアルトネットワークスの脅威リサーチチームUnit 42の調査では、約57%のIoTデバイスが深刻度中以上の脆弱性を抱えたまま使用されているという調査結果が報告されています。

多くの企業で使用されているにも関わらず管理が不十分で、脆弱性を抱えたIoTデバイスは、攻撃者にとっては格好の標的です。IoTデバイスの脆弱性を突く攻撃やIoTデバイスを標的としたマルウェアによりIoTデバイス自体を悪用されることはもちろん、権限を乗っ取ったIoTデバイスを踏み台としてデータベースやファイルサーバなど、より重要なシステムにアクセスし、資産の窃取を招くこともありえます。

パロアルトネットワークスのIoTセキュリティソリューション

こうした状況を受け、パロアルトネットワークスは、次世代ファイアウォールと統合されたIoTセキュリティソリューションの提供を開始しました。IoTセキュリティのオプションを有効化した次世代ファイアウォールはセンサとなって、企業のネットワークを流れるIoTデバイスからの通信を監視し、通信に関するデータをクラウドへと送信します。取得データはクラウド上のエンジンで解析され、通信内容やパターンから、企業ネットワーク内にどのようなIoTデバイスが存在するのかを識別して可視化します。そうして識別されたIoTデバイスに、どのような脆弱性が存在し、どのようなセキュリティポリシーを適用すべきかが、IoTデバイスのデータベースにもとづいて提示されます。これにより、IoTデバイスへの脅威が阻止され、リスク管理が簡素化されます。

機械学習を用いたIoTデバイスの可視化

IoTセキュリティは、特許取得済みの機械学習モデルで通信データを解析し、ネットワーク上のすべてのIoTデバイスを識別・分類します。ネットワークは継続的に監視され、新しいデバイスが接続されれば48時間以内に90%以上のデバイスを識別できます。各デバイスのベンダやモデルだけでなく、ファームウェア、OS、MACアドレス、ポートやアプリケーションの使用状況など、50を超える固有の属性も明らかになります。

継続的な脆弱性評価

検出したデバイスには、デバイスベンダのパッチ情報や共通脆弱性識別子（CVE）、Unit 42の脅威インテリジェンス等の情報を提供し、リスクスコアを提示します。これにより、ネットワーク上にあるIoTデバイスのリスクを継続的に評価できます。

推奨されるセキュリティポリシーの適用

検出したデバイスは、一般的な動作パターンと、お客様の環境における動作パターンとを比較できます。このほか、一般的な動作パターンにもとづいて各デバイスの推奨ポリシーを簡単に設定したり、対象デバイスの必要最低限の通信に絞ったセキュリティポリシーを作成したりできます。さらに、作成したポリシーを次世代FWに自動的にインポートし、次世代FWのDevice-ID機能と組み合わせて、該当デバイスからの通信を適切に制御できます。

IoTデバイスに対する既知および未知の脅威の阻止

次世代ファイアウォールはパロアルトネットワークスのクラウド提供型セキュリティサービスと連携し、IoTデバイスを標的とした脅威を検出・阻止します。従来のシグネチャベースのアンチウイルスやIPSで既知の脅威を防止するだけでなく、機械学習による静的解析やサンドボックスを用いた動的解析、DNSを悪用するコマンドアンドコントロール通信やデータの窃取を阻止するDNSセキュリティ、機密情報や個人情報を含むデータの漏洩を防止するDLPなど、最新の防御手段で、未知の脅威を使う高度なサイバー攻撃に対抗できます。

導入済みの次世代ファイアウォールを用いたIoTセキュリティの導入

IoTセキュリティを導入するには、次世代ファイアウォールが、IoTデバイスを可視化するのに必要なデータを取得できる必要があります。必要なデータを取得するには、IoTデバイスから社外へのインターネット通信のほかに、IoTデバイスから社内サーバへの通信や、各デバイスがIPアドレスを取得する際のDHCP通信、ARP通信などのトラフィックデータが次世代ファイアウォールを通るように構成されていることが理想的です。幅広くデータを取得すれば、識別精度が上がり、提供できる属性が増えるからです(すべてのデータが必ずしも必要という訳ではありません)。

たしかに、IoTセキュリティを導入する際、ネットワーク構成や次世代ファイアウォールの設置場所を一から設計し、IoTセキュリティ導入に最適な構成に配置できれば理想です。しかし現実には、すでに導入済みの次世代ファイアウォールがインターネットゲートウェイに設置してあり、インターネットへの通信以外(IoTデバイスからオンプレミスアプリケーションへの通信など)が次世代ファイアウォールを経由しない構成になっていることも多いでしょう。そんな場合でも、SPANやRSPAN、ERSPANなどを活用すれば、社内間通信やIoTデバイスが存在するNW上の閉じた通信を次世代ファイアウォールに転送することで、必要なデータを収集できます。これはIoTセキュリティを導入する上で最善の構成とはいえないかもしれませんが、既存ネットワーク構成への影響を最小限におさえつつIoTセキュリティを導入したい場合の最適解の1つとなるでしょう。

ただし、既存の次世代ファイアウォールを活用する場合は、CPU使用率や同時セッション数などのリソースに充分に空きがあること、SPAN/SPANの場合はデータ転送用物理ポートに空きがあることが必要になります。この構成でも可視化には充分ですが、セキュリティポリシーやセキュリティプロファイルによる通信制御は、次世代ファイアウォールがインラインに導入されているインターネット通信に対してのみとなります。とはいえ、「既存の次世代ファイアウォールを有効活用したい」、「今後のIoTセキュリティ導入を見据えて限定的でもIoTセキュリティの効果を試してみたい」といった場合はこの構成が最適でしょう。

そのほか、IoTセキュリティを導入する際の展開計画に関するベストプラクティスについてはこちらを、取得すべきデータや構成例については、こちらをご参照ください。

さいごに

本稿は、パロアルトネットワークスのIoTセキュリティソリューションの概要と、既存の次世代ファイアウォールを有効活用したIoTセキュリティの導入方法について解説しました。

いまやビジネスの現場にIoTデバイスは必要不可欠で、そのぶんIoTデバイスの管理やサイバー攻撃からの保護も重要になっています。IoTデバイスは多様で、その管理は非常に困難です。とくに、脆弱性を企業のセキュリティ部門が把握して随時アップデートを促したり、規制することは大きな負担となっています。そこで、パロアルトネットワークスは、次世代ファイアウォールと統合されたIoTセキュリティソリューションにより、IoTデバイスの識別と可視化、脆弱性評価、セキュリティポリシー適用、サイバー攻撃からの保護を実現しています。

パロアルトネットワークスのIoTセキュリティソリューションの概要についてはこちらをご参照ください。また、IoTセキュリティの具体的な導入方法や構成例、ベストプラクティスについてはこちらをご参照ください。

本技術についてのご質問があれば、ぜひ弊社までお気軽にお問い合わせ下さい。