注目のセキュリティ資格
シスコの新しいセキュリティ資格、CCSPとは何か？

最終回（第6回）　Cisco SAFE SMRに基づくセキュアネットワークス

澤井亜紀子（グローバル ナレッジ ネットワーク）
2004/12/14

　今回解説するのは、CCSPの資格試験のうちの侵入検知システム（CSIDS：Cisco Secure Intrusion Detection System）の試験についてだ。ファイアウォールやルータなどによるセキュリティ確保だけではなく、侵入検知といったセキュリティソリューションが注目されつつある。シスコシステムズ製品中心だが、それらの考え方などを紹介しよう。

　今回は、CCSPの資格試験のうち、SAFEブループリント（SAFE SMR）：CSI（Cisco SAFE Implementation）について解説していく。新しい概念であるSAFEブループリントは、まだまだきちんと理解されていない面もある。それらをきちんと理解し、試験に臨んでほしい。

■Cisco SAFE SMR概要

　Cisco SAFE（以下SAFE）は、大規模なエンタープライズネットワークの安全性を確保するためのブループリント（青写真）と考えていただきたい。特に大きなネットワークを機能別にモジュール化し、それぞれのモジュールで考えられるセキュリティの脅威とその軽減方法に重点を置いたブループリントである。

　Cisco SAFE SMR（SAFE Extending the Security Blueprint to Small, Midsize, and Remote-User Networks：以下、SAFE SMR）は、SAFE基本文書（SAFEエンタープライズ）と同じ原則を小規模から中規模、およびリモートアクセス環境のネットワークに拡張し適用したブループリントとしてSAFEに追加された新しいドキュメントである。ネットワークが小規模であっても、考えられるセキュリティの脅威は変わらないということを基本とする。

　SAFE SMRはSAFE基本文書と同様、今日のネットワークで直面するセキュリティの脅威とその軽減措置の情報提供にフォーカスしているため、ネットワーク管理者は脅威への理解が求められる。

　ただし、SAFE SMRでは、SAFE基本文書とほぼ同じであるが復元性（冗長性）だけは除外されて設計されているため、復元性も兼ね備えたネットワーク設計が必要な管理者は、基本文書も読んでおくことを推奨する。なぜ、CCSPにおいて、SAFE SMRが利用されているか。それは、大規模ネットワークの数よりも、中小規模、あるいはリモートアクセスのネットワークの数が多いからだ。実装する件数を考えた結果、CCSPの試験では、このSAFE SMRの理解が要求された。

　何度もいうが、SAFEエンタープライズとSAFE SMRの考え方はまったく同一で、違うのは適用されるネットワークの規模だけである。相互運用性は十分にあるので、どちらから読むかは、自由である。

■シスコが考えるセキュリティの脆弱性

　SAFEの話をする前に、企業や個人ネットワークでどれくらいセキュリティの脅威があるか考えてみよう。企業ネットワークに接続されるあらゆるデバイスは、セキュリティに精通した技術者によりすべて保護され、かつ高可用性も維持できなくてはならない。もし、管理が十分ではない場合、次のようなセキュリティの脆弱性が指摘されたり、あるいは脆弱性を突いた攻撃を受けるだろう。

・ルータにおける脆弱性

　アクセスリストが十分に構成されていないようなルータではICMP、IP、あるいはNetBIOSによりネットワーク構成情報を盗み取られたり、拒否されるべきアクセスが許可される可能性がある。

　トラフィックやバッファサイズの適切なシェイピングを行っていないルータではICMP、TCPなどによるフラッディング攻撃によりルータやネットワークがダウンさせられる可能性がある。

・ファイアウォールにおける脆弱性

　適切なトラフィックフローの制御を構成していないファイアウォールでは、企業内ネットワークへの直接的なアクセスを許す可能性があり、いったん許可された場合、DMZ上にある公開サーバへ侵入される危険がある。

　ファイアウォールを搭載しているUNIXやWindowsといったOSの脆弱性が指摘されているにもかかわらず適切な対応をしていない場合、ファイアウォールの機能を果たす前に攻撃される危険性がある。

・ネットワーク・アクセスポイントにおける脆弱性

　多数のリモートユーザーを許可しているアクセスサーバが適切に保護されず、監視されていない場合は、外部から容易に侵入可能なアクセスポイントになる危険性がある。
　 適切なロギング、監視、侵入検知機能が働いていない場合、アクセスポイントで攻撃があっても原因を特定できずに、解決が困難な状況に陥ってしまうことがある。

・サーバ／ホストにおける脆弱性

　パッチを適用していないOSやソフトウェアを利用していたり、デフォルト構成そのままのソフトウェアを利用していた場合、ウイルスの侵入を容易に許してしまう恐れがある。

　不要なサービス（RPC、DNS、anonymous FTP、SMTP）をシャットダウンしていないサーバやホストには侵入の道が残されていると考えるべきである。

・企業の社員における脆弱性

　セキュリティの脅威について、その危険性と適切な対処方法などの教育を受けていない社員がeコマースを利用した場合、思わぬ形で情報が漏えいしたり、パスワードを見破られる可能性があり、それが原因となって企業全体に悪い影響を及ぼすことがある。

■Cisco SAFEとは

　シスコシステムズはエンタプライズネットワーク向け実際にこのような脆弱性を排除し、企業ネットワークを保護しつつも、透過的にeコマースなどを実現するために必要となる、安全なネットワークの設計と実装における最善の情報をSAFEで提供している。

　SAFEは最初から設計され、提供されたセキュアネットワークトポロジをカスタマに利用してもらうアプローチではなく、カスタマが設計したネットワークに対し、予測されるセキュリティの脅威とそれを軽減する方法に焦点を当てている。そのため、セキュリティの脅威を理解している技術者は、脅威を軽減するポイントがどこであるかを適切に判断し、構成を行うことができる。もし、脅威への理解が十分でない管理者ならば、誤ったデバイスの配置・構成の可能性や、偏ったセキュリティの強化による資源の無駄遣いといった危険性があるためお勧めできないが、十分に技術のあるエンジニアにとって価値のある文書である。

　SAFEは企業ネットワークを機能別にモジュール化し、それぞれに対して脅威を軽減するアプローチを提唱している。ネットワークをモジュール化することで、設計者は1度にすべてのネットワークアーキテクチャを構築しなくてもよく、まず、モジュールごとに評価したり、実装したりすることが可能だ。また、モジュールは自由に組み合わせて実装することができるので、SAFE実装と同一のネットワークでなければならない、といった制限にとらわれることは皆無だ。柔軟に、さまざまなネットワークに適用できるのも、SAFEの特徴だ。

　SAFEはトポロジが制限されていないため、ネットワークパフォーマンスや冗長性の必要性といった要求に応じて単純な設計や複雑な設計を選ぶことが可能だ。また、ルータ、ファイアウォール、侵入検知のテクノロジを専用デバイスとしてそれぞれ配置する設計と、ルータで統合されたセキュリティソリューションを提供する設計とを選択するといった対応もできる。専用デバイスを使うのは主にトラフィックの要求が高く、パフォーマンスの低下が問題であると考えられるようなネットワークだ。この場合、それぞれの機能を最大限に生かしつつ、保証された相互運用を可能にする。

　管理の容易さや統合デバイスが必要ならば統合機器を選ぶべきであろう。ルータにファイアウォール・フィーチャーセットやIDSフィーチャーセットを搭載したり、Catalyst 6500に搭載したファイアウォールモジュールやIDSモジュールなどで統合ソリューションが提供されるようになり、管理も容易になるだろう。あるいは、両方を利用することも可能だ。どのようにセキュリティ対策を施すか、最終的にはネットワーク設計者であるあなたが判断を下さなくてはならない。なぜならば、あなたはすでにネットワークとセキュリティについて熟知しているエンジニアだからだ。

　SAFEはまず各企業のセキュリティポリシーが前提となる。セキュリティポリシーを持たない企業ネットワークへのシスコデバイスの実装は好まれないし、うまく働かずに失敗することになるだろう。SAFEはセキュリティポリシーに基づいたネットワークでいかにセキュリティの脅威を低減させるかを提供するブループリント（青写真）であることを再度強調する。

　SAFEに基づいたネットワーク構築をあなたが行う場合、企業で利用されているネットワークデバイスの特徴やアーキテクチャ、またシスコが提供するセキュアデバイスのテクノロジについてもあらかじめ精通しておく必要がある。

　次は、SAFEの各モジュールにおいて利用されるシスコの各デバイスについて、セキュリティの脅威とその対策例も含めて紹介しよう。

■小規模ネットワーク向けSAFEデザイン

　小規模ネットワークは企業インターネットモジュールと、キャンパスモジュールから構成される。

・企業インターネットモジュール……企業インターネットモジュールは、内部ユーザーに対してインターネットアクセスを可能にし、インターネット上のユーザーには企業の公開サーバへのアクセスを可能する。また、モバイルユーザーへはVPNアクセスポイントの提供をする。ただし、E-コマースのサービスは考えられていない。eコマースのサービスは主に外部向けのため、企業内に設置することはないからだ。この企業インターネットモジュールにおける主要デバイスは次のものが挙げられる。

SMTPサーバ：インターネットとイントラネットメールサーバの間の中継装置として動作
DNSサーバ：企業の権威ある外部DNSサーバとしての役割を果たし、内部からのインターネットへの要求を中継
FTP／HTTPサーバ：組織の公開情報を提供
ファイアウォールまたはファイアウォールルータ：ネットワークレベルのリソース保護、トラフィックのステートフルフィルタリング、およびリモート拠点とユーザーに対するVPN終端機能を提供
レイヤ2スイッチ（プライベートVLAN対応）：管理対象デバイスからのデータがIOSファイアウォールだけを直接通過することを保証

図1　小規模の企業ネットワーク

・キャンパスモジュール……キャンパスモジュールはエンドユーザーのワークステーションやイントラネットサーバのL2スイッチなどで構成される（図2）。いわゆる内部ネットワークなのでネットワーク上というよりは、アプリケーションやホストへのセキュリティに重点が置かれるべきだ。

図2　小規模のキャンパスネット

レイヤ2スイッチ（プライベートVLAN対応）：ユーザーのワークステーションにレイヤ2サービスを提供
企業サーバ：内部ユーザーに電子メールサービス（SMTP、POP3）を提供し、ワークステーションにファイル、印刷、およびDNSサービスを提供
ユーザーのワークステーション：ネットワーク上の認可ユーザーにデータサービスを提供
管理ホスト：HIDS、システムログ、TACACS+／RADIUS（Remote Access Dial-In User Service）の各機能、および全般的な設定管理機能を提供

■中規模ネットワーク向けSAFEデザイン

　中規模ネットワーク設計は、3つのモジュールから構成される（図3）。小規模ネットワークと同様の企業インターネットモジュールにダイヤルインの機能を加え、キャンパスモジュールではレイヤ3スイッチが加わり、さまざまなイントラネットサーバが収容できるようになっている。また、WANは専用線を利用する場合と、IPsec VPNを利用する場合が考えられる。

図3　中規模の企業ネットワーク

・企業インターネットモジュール……内部ユーザーへのインターネットアクセスと、インターネットユーザーへの公開サーバへのアクセス、またVPNの終端に加え、ダイヤルインユーザーの収容を提供する。考えられる脅威と軽減は次のとおりだ。

ダイヤルインサーバ：個々のリモートユーザーを認証し、このユーザーのアナログ接続を終端
DNSサーバ：中規模ネットワークにおける権威ある外部DNSサーバとしての役割を果たし、内部からインターネットへの要求を中継
FTP／HTTPサーバ：組織の公開情報を提供
ファイアウォール：ネットワークレベルのリソース保護、およびトラフィックのステートフルフィルタリングを提供。差異化したセキュリティをリモートアクセスユーザーに提供。信頼されたリモート拠点を認証し、IPSecトンネルを使用した接続を提供
レイヤ2スイッチ（プライベートVLAN対応）：各デバイスにレイヤ2接続を提供
NIDSアプライアンス：モジュール内の主要なネットワークセグメントに対し、レイヤ 4〜7の監視機能を提供
SMTPサーバ：インターネットとイントラネットメールサーバの間の中継装置として動作し、メールの内容を検討
VPNコンセントレータ：個々のリモートユーザーを認証し、IPSecトンネルの終端となる
エッジルータ：基本的なフィルタリングとインターネットへのレイヤ3接続を提供

・キャンパスモジュール……エンドユーザーのワークステーションやイントラネットサーバをL2スイッチやL3デバイスなどで構成するモジュールである。特に冗長性は考慮されていない（図4）。

図4　中規模のキャンパスネットワーク

レイヤ3スイッチ：キャンパスモジュール内の実稼働および管理トラフィックのルーティングとスイッチ、ビルディングスイッチへの分散レイヤサービス提供、トラフィックフィルタリングなどの高度なサービスをサポート
レイヤ2スイッチ（プライベートVLAN対応）：ユーザーのワークステーションにレイヤ2サービスを提供
企業サーバ：内部ユーザーに電子メール（SMTP、POP3）サービスを提供し、ワークステーションにはファイル、印刷、およびDNSサービスを提供
ユーザーのワークステーション：ネットワーク上の認可ユーザーにデータサービスを提供
SNMP管理ホスト：各デバイスにSNMP管理機能を提供
NIDSホスト：ネットワーク内の全NIDSデバイスからのアラームを集約
Syslogサーバ：ファイアウォールとNIDSホストのログ情報を集約
アクセス制御サーバ：ネットワークデバイスに認証サービスを提供
ワンタイムパスワード（OTP）サーバ：アクセス制御サーバから送信されたワンタイムパスワード情報に権限を付与
システム管理者ホスト：デバイスの設定、ソフトウェア、およびコンテンツを変更
NIDSアプライアンスセンサー：モジュール内の主なネットワークセグメントに対するレイヤ4〜7での監視を実施

・WANモジュール……プライベートネットワークからリモート拠点に接続する必要がある場合にのみ適用される（図5）。さまざまな理由でIPsecVPNなどの昨今の技術が利用できず、古いタイプのWANがまだ残っているときに利用するのがこのモジュールである。主要デバイスはIOSルータで、ルーティングやアクセス制御、QoSメカニズムを保持する必要がある。

図5　中規模のWAN

■リモートアクセスネットワーク向けSAFEデザイン

　リモートアクセスネットワークは、モバイルユーザーや、在宅勤務者が本社へアクセスする状態を指し示し、主に次の4種類の手法が考えられる（図6）。

図6　リモートアクセスネットワーク

VPNクライアントソフトウェアアクセス：リモートユーザーは、ソフトウェアVPNクライアントを利用してアクセス。ただし、パーソナルファイアウォールソフトウェアをPCに実装する
リモート拠点のファイアウォールオプション：ファイアウォール機能と企業本社へのIPsec VPN接続を提供する専用ファイアウォールによって、リモート拠点を保護。ISPの提供するブロードバンドアクセスデバイス（DSLモデム、ケーブルモデムなど）経由のWAN接続を提供することが可能
VPNハードウェアクライアントオプション：リモート拠点において、企業本社へのIPsecVPN接続を提供する専用ハードウェアVPNクライアントを使用してアクセスする
リモート拠点ルータオプション：リモート拠点において、ファイアウォール機能と企業本社へのIPsecVPN接続の両方を提供するルータを使用することが必要である。このルータがブロードバンドアクセスを直接提供するか、あるいはISPの提供するブロードバンドアクセスデバイスを経由する

　ここで利用されるデバイスはADSLやケーブルなどのアクセスが可能なブロードバンドルータ、VPNハードウェアクライアントやVPNソフトウェアクライアント、パーソナルファイアウォールが挙げられるだろう。

「シスコの新しいセキュリティ資格、CCSPとは何か？」