高度化するマルウェアの脅威から社内ネットワークを守る「Flowmon ADS」

プラグインによる Flowmon の機能拡張

"テレワーク時代のトラフィック分析手法「フロー分析」の利点と Flowmon" では、ネットワーク監視・分析ソリューション「Flowmon」について、その概要や特徴である「フロー分析」について紹介しました。Flowmon には、フロー分析や基本機能の他にも、「プラグイン」として機能を拡張できます。プラグインは、Flowmon プローブと Flowmon コレクタ上で動作するソフトウェアで、以下のようなものが用意されています。

• Flowmon ADS（振る舞い検知）
• Flowmon APM（パフォーマンス監視）
• Flowmon Packet Investigator（パケット解析）

近年、企業へのサイバー攻撃が増加＆高度化していることを踏まえて、今回はセキュリティソリューションの「Flowmon ADS」に焦点を当てて紹介します。

基本機能を提供する Flowmon プローブ／コレクタと機能を拡張するプラグイン

未知の脅威でも対応できる ADS（振る舞い検知）

Flowmon ADS は、ネットワーク上の異常や不適切な挙動を検出するために、Flowmon Probe や Flowmon Collector に以下のような機能を追加します。

• 通信相手の変化の検知
• サーバー／クライアント特有の振る舞いの把握
• 学習した内容を基に定義済みの振る舞いパターンとの比較
• P2P 通信およびデータダウンロードの検知
• 乗っ取られたコンピュータの検知
• 許可されていないサーバー／サービスの検知
• 許可されていない SMTP サーバーによる SPAM 兆候の検知

Flowmon ADS の注目すべき特徴は、その名称にもある「ADS（Anomaly Detection System：振る舞い検知システム）」です。

従来のマルウェア対策では、あらかじめマルウェアプログラムの特徴や挙動パターン、シグネチャ（マルウェアや感染ファイルに共通するデータ）などの情報を収集してブラックリストを作り、それらと照らし合わせることでマルウェアかどうかを判断・検出する「パターンマッチング」の手法が主流でした。この手法は現在でも有効で使われていますが、未知のマルウェアへの対応が難しいという弱点もあります。

次から次へと新種のマルウェアが現れる状況では、ブラックリストの作成が追いつかず、最新の脅威は見逃してしまうことになります。日本でも企業に対して猛威を振るって話題になっているウイルス「Emotet」も、攻撃手法が異なる新種が現れるため、なかなか収束できずにいます。

このような未知のウイルスにも対応できるように開発されたのが、プログラムの動きに不審な点があると「怪しい＝マルウェアの可能性がある」と判断する「振る舞い検知」です。Flowmon ADS もこの振る舞い検知を採用しており、プログラムや端末・機器がネットワーク内でどのような動き（振る舞い）をしているのかを監視・分析して、不審な動きを見つけると報告します。

不審かどうかは、予測と実測値の差などから判断します。常時、どのような内容のデータをどの相手と送受信しているのか、社内のどのようなデータにアクセスしているのかを把握しています。いつもと大きく異なる通信や本来は不要なはずの通信があると「疑わしい」と判断し、その原因と思われる端末や機器を識別します。

[ ダッシュボード画面 ]

[ レポート画面 ]

Flowmon ADS では、検知のために以下の統計項目を使っています。各検知項目を組み合わせて検証することで、セキュリティ脅威の可能性を発見します。

振る舞い検知に利用する統計項目

• 転送されたデータ
• 転送されたパケット
• 確立された接続
• 通信ピア
• 監視対象のネットワークに接続されているデバイス
• 要求の数
• 応答の数
• 失敗した要求の数
• TCP トラフィックの量
• UDP トラフィックの量
• その他のプロトコルのトラフィックの量
• サービスの合計数
• 提供されたサービスの数
• 使用されたサービスの数
• 失敗した接続とトラフィック全体の比

また、企業のネットワーク利用ポリシーに反する通信や情報漏洩につながるような通信の検知にも対応できます。

ポリシー違反検知に利用する項目

• BitTorrent トラフィック
• Telnet 異常
• Tor トラフィック
• VoIP トラフィック
• VPN トラフィック
• Web 共有トラフィック
• IPv6 をトンネルするトラフィック
• マルチキャストトラフィック
• 大容量の転送データ
• 多数の宛先ホストおよび宛先ポート異常
• データアップロード異常
• ネットワークアドレス変換

[ ADS 解析画面 ]

ADS でも発揮するフロー分析の利点

Flowmon の特徴は、ネットワークトラフィック分析方法に「フロー分析」を用いている点であることは前回説明しました。フロー分析は、従来の「SNMP」や「パケットキャプチャ」の課題を解消した、バランスの取れた方法として主流になりつつあります。この利点は、Flowmon ADS でも同じように発揮されます。

全てのネットワークトラフィックデータを取得する場合と比べて、Flowmon のフローデータ量は約1/500で済みます。これは「分析対象データが少ない＝短時間で分析できる」ため、異常を短時間で発見できることにつながります。マルウェアをはじめ、セキュリティ対策は時間との勝負でもあり、いかにすばやく的確に発見できるかが重要です。

検知の速さとともにもう1つ重要な点は、必要な情報を把握できなければならないということです。セキュリティインシデントが起きないように事前対策することが重要であることは言うまでもありませんが、世の中に完璧なものはありません。仮に起こってしまった場合に、適切な対応ができるかどうもセキュリティ対策では欠かせない観点です。

2022年4月1日から施行されている改正個人情報保護法（正式名称は「個人情報の保護に関する法律等の一部を改正する法律」で2020年6月12日に公布）では、一定基準を満たす個人情報漏洩が発生した場合に、「個人情報保護委員会への報告」と「被害者本人への通知」が義務化されました。

これによって世間では、これまで以上にマルウェア感染被害や情報漏洩事件が報道されるようになっています。被害に遭ったら被害状況を迅速かつ正確に把握して報告・公表しますが、そのためにはネットワーク監視・分析が欠かせません。さらに、被害分析を行うために必要な情報が含まれたログデータの保存も必須となります。

つまり、セキュリティ対策を念頭に置いたネットワーク監視では、データ（ログ）量と内容の適切なバランスが求められます。Flowmon および Flowmon ADS やフロー分析は、この条件を満たした製品・技術であると言えます。