PR

 ニコンは2008年12月に,ウイルスやワーム対策の一環として,米ランコープのネットワーク監視ツール「StealthWatch」を導入。ベライゾン ビジネスのセキュリティ・サービスを採用して運用を開始した。

 StealthWatchの導入前,拠点からのインターネットへのアクセスは,東京にある本社のネットワークを経由していた。そこで,本社のインターネットの出入り口近くに設置したスイッチにミラー・ポートを設定。ここを通る外向き(インターネット向き)のパケットをキャプチャ・ツールの「EtherPeek」で取得して,ウイルスやワームの動きを監視していた。

 ところが,2007年にBCP(business continuity plan)対策などの目的でシステムを首都圏のデータセンターに集約する計画が持ち上がり,2008年1月に実施された。このデータセンター移行に伴って,ミラー・ポートを使った監視ができなくなった。データセンターは本社から離れた場所にあったためだ。同社は,別の方法でネットワークを監視する必要に迫られた。

NetFlowでリモートから監視

 StealthWatchを導入する話が持ち上がったのは,データセンターを移行したころだ。同社の欧米地域のWANを担当していたベライゾン ビジネスに「ネットワークの監視が手薄になっている」と話したことがきっかけで,ベライゾン側からStealthWatchとその運用コンサルのサービスを提案された。

 同じタイミングで,ニコンは複数の通信事業者にネットワーク監視について問い合わせていたが,「他社の提案はパッケージ製品の販売か,運用を全部引き受けるマネージド・サービスだった。当社としては,その中間くらいの緩やかなかかわり合いを持ってくれる提案がよかった」(システム本部 システム企画部 ネットワーク企画課の中村 肇マネジャー)。

 ニコンが採用したStealthWatchは,ネットワーク監視プロトコルのNetFlowを使う監視ツール。リモートからネットワークの状況を見ることができる(画面1)。2009年10月現在,このツールでデータセンターを含む国内11拠点,海外8拠点を監視している(図1)。これらの拠点は,いずれもNetFlowに対応しているネットワーク機器を導入済みである。

画面1●「StealthWatch」動作画面の例<br>ワームの挙動をとらえ,その広がり方を表示することができる。
画面1●「StealthWatch」動作画面の例
ワームの広がり方を表示することができる。
[画像のクリックで拡大表示]
図1●ニコンが「StealthWatch」を使ってウイルスやワームの動きを分析,対処するまでの流れ
図1●ニコンが「StealthWatch」を使ってウイルスやワームの動きを分析,対処するまでの流れ

 NetFlowを使うStealthWatchに切り替えたことで,得られる監視データも以前より増えた。「EtherPeekで監視していたころは,拠点内から外へ出ていく通信が監視対象だった。しかしウイルスやワームは,攻撃対象がLANの中だけのこともある。NetFlowを使えば,こうした拠点内でアタックを繰り返すような状況も見られる」(ニコンの中村マネジャー)。

 監視対象にしている拠点では,各拠点のL3スイッチからNetFlowのデータを取得している。ここでVLANを構成しており,トラフィックが通る場所だからだ。これら監視対象のL3スイッチを,NetFlowのデータを取得できるように設定。NetFlowのデータを,東京の本社に設置した「コレクタ」と呼ぶシステムで収集し,監視リポートを作っている。

通信事業者のサービスで運用支援

 ベライゾン ビジネスはニコン向けにStealthWatchの運用支援サービスを提供する。StealthWatchは監視に特化した製品で,問題を見つけた際にアラートを出す。その中には,導入企業に関係あるものとないものがある。その判断など,StealthWatchの運用に必要なノウハウを,ベライゾン ビジネスが提供している。「運用はニコン自身が行い,“こういうアラートが出たが,どのように捉えたらいいか”といった日々の運用で困ったことを,月1回開くミーティングや当社の問い合わせ窓口でサポートしている」(ベライゾン ビジネス テクニカル・ソリューション部の伊賀野 康生シニア システム エンジニア)。

 ベライゾン ビジネスの伊賀野エンジニアはStealthWatchが出すアラートの一例として,「導入初期,StealthWatchは通信のふるまいを見て,“一般的に怪しい”といった形でアラートを出してくる。例えばファイル・サーバーから3G~4Gバイトといった巨大なデータをダウンロードしてくるのが“どうも怪しい特徴的なトラフィック”に見えることも“P2P的なトラフィック”に見えることもある」と説明する。

 ニコンはコンサルを担当するベライゾン ビジネスと一緒に,こうしたアラートを一つひとつ見て,トラフィックの内容を判断していった。「正常な通信を異常と判断することがあった。誤検知ではないのだが,こうしたケースはつぶしていかなくてはならない。最初は毎週のように調整作業をしていた。2~3カ月経過すると,該当するケースはほとんどなくなった」(ニコンの中村マネジャー)。

 現在は,1カ月に30件程度StealthWatchが不正と思われる通信を発見する。毎日のように何らかのアラートが出ている形になる。ワームの流行などが重なると,1カ月に100件を超えることもある。ワームの感染など対処が必要なアラートが出た場合は,端末など場所を特定して,各拠点のIT担当者や本人に連絡して処置を依頼する。Windowsのアップデートやウイルス対策ソフトのパターン・ファイルを最新にすることで解決するケースが多いという。

 同社で最近観測されるウイルスやワームは,できるだけ目立たないような動きをするという。ただし,「ボットなどが何かのタイミングで司令を受け別の動きをし始める」といったケースもあると見て警戒している。