三井ハイテックが抱えていた4つのセキュリティ上の課題

　三井ハイテックはプレス加工を行うメーカーで、高度な精密加工技術をコアに精密金型や工作機械、モーターコア、リードフレームなどを製造している。福岡県内に4つの事業所と、日本全国に6つの営業拠点を置き、シンガポールやマレーシア、中国など海外にも展開している。2015年1月期の連結年間売上高は654億9400万円、従業員数は3411名だ。

　「ガートナー セキュリティ＆リスク・マネジメントサミット2015」に登壇した三井ハイテックの中村氏は、今回のサンドボックス導入以前に抱えていたセキュリティ上の課題として、4つのポイントを挙げた。

　1つめが、旧来設置していたファイアウォールの保守切れが近付いており、何らかの代替策を施すことが必須だったこと、2つめが増え続けるサイバー攻撃へ対応する必要があったことだ。

「サンドボックスの導入を検討しはじめたのは2013年からだが、そのころから少しずつサイバー攻撃が増加してきており、今後も増えるだろうと思った。また従来のステートフルインスペクション型のファイアウォール、つまりIPやポートでの制御だけでは、新たな脅威に対する防御が難しいと考えた」

　またせっかく取得していた大量のファイアウォールログを、社内リソースの関係で十分に監視／分析できていなかったこと、さらにアプリケーションレベルの通信制御ができていなかったことも背景にあった。

「ファイアウォール更新の目的としてまず掲げたのは、未知の脅威やゼロディ攻撃に対する防御を強化すること。また脅威を検知／駆除するために、24時間365日の監視体制を構築すること、アプリケーションレベルの通信を可視化し、制御することも目指した」

課題解決のために次世代ファイアウォールとクラウド型サンドボックスを導入

　そこで同社が採用したのが、パロアルトネットワークスの次世代ファイアウォール「PA-3020」とクラウド型のサンドボックス「WildFire」だ。

　次世代ファイアウォールとは、ポート開閉の制御だけでなく、ネットワーク上を流れる各種アプリケーションのトラフィックを識別し、制御することまでを可能にしたソリューションのこと。一方のサンドボックスは、社外から受け取ったプログラムを、社内の本番環境には影響を及ぼさない仮想環境上の保護領域で動作させ、そのプログラムの振る舞いを確認することで未知のマルウェアを検知する、という仕組みのものだ。

　本セッションでインタビュアーを務めたガートナー リサーチ部門 リサーチディレクターの石橋正彦氏によれば、「サンドボックス」という名称は石橋氏が考案したもので、「爆発物処理班が爆発物を処理する際、砂の中に爆弾を埋めて爆発させることからイメージした」という。

　このサンドボックスをオンプレミス環境で実現する場合、たとえば1台のサーバ上にWindows XPやWindows 7など複数の仮想環境を構築し、その各々で社外から送られてきた怪しい添付ファイルをクリックして、どんな振る舞いをするのかをチェックする。オンプレミス型でサンドボックスを構築するメリットとしては、パフォーマンスの評価や実機での試行評価が検証しやすい点が挙げられる。

　またサンドボックスはクラウドサービスとしても提供されており、オンプレミス環境に設置したIPS（侵入防御システム）や次世代ファイアウォールで怪しい添付ファイルが見つかった時に、クラウドサービス側に送って調べてもらうことができる。クラウドサービス型を利用するメリットとしては、SOC（セキュリティオペレーションセンター）の利用なども視野に入れた総コストの計算が可能だという点だ。

　三井ハイテックでは以前、メイン回線と代替回線の2系統のネットワークを、それぞれ別のファイアウォール製品で制御していたが、今回はパロアルトの次世代ファイアウォール（PA-3020）2台を導入してHA（ハイアベイラビリティ）構成を採り、2系統のネットワークをともにこの2台で制御する構成にした。


　実際の制御の仕組みとしては、インターネットから既知のマルウェアが来た場合には、次世代ファイアウォールのアンチウイルス機能でブロックする。また怪しい通信、即ち未知のマルウェアが来た場合には、次世代ファイアウォールで一旦ブロックして、それをクラウド型サンドボックス（WildFire）に転送し、解析してもらう。

「サンドボックス側で何らかの対策が必要ということになれば、1時間以内に対策シグニチャ、つまりパターンファイルのようなものが作成されて、自動的に次世代ファイアウォールにフィードバックされて、更新されるようになっている」（中村氏）

【次ページ】多様化するサンドボックス製品一覧