特許技術“ファーストパケット認証”採用のBlackRidge TACソリューションで重要資産を防御します。

ゼロ・トラストネットワーク時代に相応しいアクセス制御の「マイクロセグメンテーション化」が不可欠に

ますます高度化・巧妙化するサイバー攻撃に加え、端末の接続環境も多様化している現在、攻撃者を境界の内側に侵入させない境界防御型セキュリティではなく、信頼しないことを前提としたゼロ・トラスト対応のネットワークセキュリティが必要とされてきています。従来のファイアウォール、IPS/IDS（不正侵入検知・防御システム）などで守れている環境さえも、セキュリティ脅威にさらされています。実際に一度マルウェア攻撃などで内部ネットワークに侵入されると、横の端末、隣のセグメントへと瞬く間に侵食されていきます。そして、最終的には目的の重要資産にたどり着き、外部へ情報漏えいする事例も多く存在します。

NTT-ATは、セグメントや端末毎に個別アクセス制御、セキュリティ対策を実施する「マイクロセグメンテーション」が前述のような脅威に対し有効な防御策として考えています。守りたい情報資産に対して、アクセス可能ユーザーや端末ルールを一元的に管理・設定することで、セキュリティと柔軟性を両立したネットワーク環境を実現します。これにより無尽蔵にセキュリティ対策を講じることなく、最適な運用管理やコスト設計が簡単に実現できます。

TCP/IPの脆弱性を遮断する特許技術“ファーストパケット認証”を実装した革新的セキュリティ製品

NTT-ATが2019年4月より販売を開始した「BlackRidge TACソリューション」は、米国国防総省との協定により軍事に利用するIP接続デバイスのクローキング技術（存在を隠蔽する技術）に提供するために開発された特許技術“ファーストパケット認証”を実装した革新的なソリューションです。

製品コンセプトは、TCPシーケンスフィールドの最初のパケット（SYNパケット）に認証用にハッシュ関数で生成した独自IDを埋め込んでおくことで、パケットを送信したユーザーやデバイスをネットワーク接続が確立する前に認証します。これにより、本来アクセス権のない攻撃者や第三者のアクセスから重要資産を守ることができます。従来のように、ネットワーク接続が確立した後で、ID認証を行うのでは遅すぎます。図1に示すように従来と比べ、「ID認証してから接続させる」ことにより、アクセス権限のない端末・デバイスからのアクセスをシャットアウトできます。これにより、TCPによる各種セキュリティ攻撃から重要資産を守ることが可能になります。

「BlackRidge TACソリューション」は、隠蔽したい情報資産の手前に設置するBlackRidgeゲートウェイ(仮想アプライアンス)、アクセス元のクライアント用BlackRidgeエージェント、管理サーバにより構成されます。

「BlackRidge TACソリューション」の主な特長

BlackRidge TACソリューションは、主な特長として以下の３点があげられます。
①セキュリティ対策コストや運用リソースを大幅削減
「入口」を守ることで、これまでPCウイルスソフトからファイアウォールに至るまでの膨大なセキュリティ対策コストや運用の手間を大幅に低減することが可能です。
②既存システムに手を加えず、多彩なプラットフォームに対応
シンプルなID認証方式のため、既存の機器類はそのまま利用可能です。PCから仮想環境・クラウドまでさまざまなプラットフォームに導入できます。
③米国国防総省に採用された信頼の実績
BlackRidge TACソリューションは、既に米国国防総省や世界的なIT企業、クラウド事業者、医療等の分野に利用されています。例えば、パブリック／ハイブリッドクラウドへのアプリケーション移行（クラウド環境のクローキング）事例では、BlackRidgeクラウドゲートウェイが信頼できるIDによるアクセスをホワイトリスト化し、認定されたIDのみがクラウドリソースと通信可能な環境を実現。これにより、高価で複雑なVPN、ネットワーク認証およびファイアウォールを必要とせずに信頼できないIDによる不正アクセスのリスクを排除しています。

図２は、既存システムのNWを変更せずに、重要資産をマイクロセグメント化するイメージを示しています。守らなければならない重要資産は、社内の個人情報・機密情報に限らず、製造工場・病院のIoT機器、社会インフラの野外設備など多種多様です。

今後NTT-ATでは、一般企業に加え、製造、公共、金融、医療、IoT分野など、多くのシーンに本製品を販売し、セキュリティ問題の解決に貢献していく予定です。