感染しても拡散させない。内部ネットワークセキュリティの新常識

ネットワークのL2レベルで見守る

現代ではサイバー攻撃の多様化により、従来のインターネットの出入口のみを検閲するソリューションでは不十分となりました。

デバイスがマルウェアに感染した後、社内に攻撃を拡散させる通信があった際に、それを阻止するためのセキュリティがありませんでした。

TiFRONTは感染後の拡大を食い止める、数少ないソリューションの内の一つです。

TiFRONTのレポート作成機能について

レポート・スケジュールの管理画面の画像を貼付けて説明いたします。

レポートの種類

統合レポート、セキュリティ レポート、ネットワークレポート、パフォーマンスレポートから選択できます。

作成周期

1回のみ、毎日、毎週、毎月、毎時間 のいずれかから選択できます。

レポートをサーバ上に残す設定

作成周期の後で、サーバ上に残しておく件数を入力できます。メールで配信されても残っていますので、誤って削除した場合でも、いつでもダウンロードし直すことが出来ます。

レポート名

レポート名に入力された文字列は、表紙に次のように記載され、メールで配信された時にも内容として表示されます。

ファイル名

ファイル名は日本語指定できません(文字化けします)。空白にした場合は、「report_xxxxxxxx_xxxx」(xは数字で、桁数含めサーバー毎に異なります)となります。

レポート作成対象

対象に表示される組織名、ネットワーク名につきましては、ログインされた管理者毎の権限によって表示は変わります。

左の画像は組織の現況を表示したものです。

上の画像はプロバイダ管理者がログインしていますので、トップの全体(ALL)が見えており、レベル2にあるフォルダが「組織名」であり、レベル3が「ネットワーク名」です。

通常、お客様の会社名(販売先であるエンドユーザー様など)が組織名として列記されることになります。もし、ログイン者がお客様(エンドの管理者様)の場合は、ネットワーク名一覧しか表示されないようになっています。対象として選ばれた組織またはネットワーク毎にレポートを作成することが出来ます。また、セキュリティ設定をネットワーク毎に統一することも可能で、かつ機器毎に変更も可能です。

実行スケジュールの状態

状態として、使用または中止が選択・変更可能です。中止とすることにより、スケジュールを任意に停止できます。

言語

日本語、英語、韓国語より選択可能。デフォルトは日本語です。

実行時間

レポート作成時刻を「HH時MM分」として設定できます。(HH=00~23、MM=00~59)

ファイルの種類

PDF形式か、パワーポイント形式の二択です。

テンプレート

メール配信する際の本文メッセージ内容を、予めテンプレートとして保存したものの中から選択するだけです。デフォルトで見える【TiController】レポートの本文は次の通り:「当メールの送信アドレスは送信専用となっておりますので、このメールへの返信によるご質問、お問合せにはお答えできません。」

テンプレートの内容を変更したり、テンプレート名を任意に保存したい場合は、設定メニューにある「アラートメールの編集」で行います。

メールアドレス

配信先のEメールアドレスを1行毎に列記することができます。メールアドレスの存在チェックなどは出来ませんので、間違いが無いことを確認願います。

製品一覧

TiController

TiFRONTシリーズを一つの画面で統合管理できるクラウド型のWEBサービスです。
全国に設置されたTiFRONTをWEB画面から各種設定変更、セキュリティ・レポートの配信スケジュール管理やファームウェア更新などを行うことができます。

TiFRONT-CS

L2スイッチベースのセキュリティネットワーク機器です。
セキュリティ・サイバー攻撃に特化しているためL2管理機能は、VLAN(1Qタグ/TRUNK)、STP(PVRSTP)、Self-loop防止、QoS、ポートミラーリング、LACP、ACL(L2/L3/L4)と最小限の構成となっております。
対応するセキュリティ・サイバー攻撃の種類は、フラッディング、ネットワークスキャン、ポートスキャン、スプーフィング、プロトコルアノマリー、SMB等となっております。

*オンプレミスのモデル(TiManager)からの買替のお客様の場合:上記のTiFRONT-CS/APスペック表の内容をよくご確認下さい。セキュリティ機能に変化は殆どありませんが、L2管理機能については大幅な変更がされております。

これまでにあった質問への回答例 TiFRONT-CS スイッチに関して、よくあるお問合せについて掲載しておりますので、ご参考にして頂けますでしょうか?
Q1:IPv6の環境で使用できますか? A1:TiFRONT-CSはIPv6環境でも利用できますが、スイッチ自体はIPv4が必要なため、IPv4/v6混在の環境であれば利用できます。すべてのセキュリティ機能につきましても、IPv4ネットワークに関しての検知になります。また、TiControllerは、IPv6に対する機能は未サポートです。
Q2:CS2710Gのスペック表の中に記載の最大スループットが29.76Mppsとありますが、遅くないですか?意味が解りません。 A2:この項目はスイッチ1台につき、最大転送レートを示したパケット転送能力を言い換えたものであると言えば分かりますでしょうか。ご存知のように1000BASE-Tリンク時の通信速度は規格として決まっており、最大1,488,000パケット/秒で動作します。こちらをMppsに直しますと、1.488Mppsです。CS2710Gの場合、SFPポートを含めて10ポートあり、1Gは全二重で双方向同時に転送できますので、1.488M×20=29.76Mppsであるというスペックを持っているという意味になります。
Q3:結局、CS2710Gは速いスイッチなのでしょうか? 他スイッチとの差別化のためのスペックを教えて頂けませんか? A3:メーカーによる公式ではありませんが、RFC2544規格によるスループット測定を当社で行ったところ、レイテンシー(遅延時間)に関して、次の測定結果が得られました。[測定条件:RJ-45同士のオートネゴシエーション1Gリンク時に 1フレーム1518バイトの時] 双方向で0.03ミリ秒の遅延が確認されました。スイッチ1台あたりの遅延時間によって、スイッチを多段またはカスケード接続した場合に、末端PCがインターネットに到達するまでの時間と関係します。そのため、言い換えるとCS2710Gを20台カスケードしたとしても、最大0.6ミリ秒の遅延が発生するだけであるという成績になります。
Q4:クラウドライセンスの期限切れ時の動作について教えて下さい。 A4:クラウドライセンスが満了を迎えますと、全ポートのリンクLEDが同時に点滅動作を繰り返すようになりますが、HUBやVLANの機能は最後に同期した通りに動作を継続しますが、TiControllerからの設定変更は反映されません。また、当然ながらセキュリティ機能を失います。このライセンス切れの動作はTiFRONT-APでも同様です。

TiFRONT-AP

セキュリティ機能を持ったアクセスポイントです。
型番TiFRONT-CA1002Cは、Wi-Fi5規格に対応しており、小規模オフィスに最適なパフォーマンスを持っています。
型番TiFRONT-CA1004Xは、Wi-Fi6規格に対応しており、小中規模オフィスから大規模まで幅広いアプリケーションに対応できるような機能強化を図っていきます。最新のファームウェアにて、Guest Wi-Fi機能と802.1X認証機能が追加されました。

従来TiFRONT-CSスイッチに接続したAPがNATで動作している場合、変換されたIPからの攻撃または変換されたIPへのセキュリティに対する攻撃を検知することができませんでした。TiFRONT-APでは、ルータモード(NATモード)およびブリッジモードのどちらの場合でも、セキュリティに対する攻撃を検知することが出来ます。

よくある質問への回答(Q&A) TiFRONT-APに関して、よくあるお問合せについて掲載しておりますので、ご参考にして下さい。
Q1:TiFRONTスイッチ(オンプレ版)を使用していました。買替を検討していますが、スイッチと同様にAPでもセキュリティ機能は同じですか? A1:クライアントPCが有線から、Wi-Fiにすべて変更されている必要があります。TiFRONT-APは有線接続が必要ですが、有線側から流れてくるトラフィックのセキュリティ検査は対象外です。あくまでAPを中継として、Wi-Fi機器同士によるトラフィックが検査対象です。セキュリティ機能は概ね一致しています。
Q2:数年前にTiFRONT-APではゲストSSID機能がないとかって、導入している会社の方に聞きましたが、今でも本当に無いのでしょうか? A2:Wi-Fi6対応のTiFRONT-CA1004Xで実装されました。なお、GuestWiFi 機能は、ブリッジモードでのみ利用できます。、GuestWiFi機能を有効化したSSIDに接続したクライアントはインターネットにだけ出ることが出来ますが、他のWi-Fiクライアントや有線接続のPCやプリンタには一切アクセスが出来ません。また、TiFRONT-CA1002C(Wi-Fi5)ではご利用できませんのでご注意下さい。
Q3:RADIUSサーバに対応していますか? A3:Wi-Fi6対応のTiFRONT-CA1004Xで実装されました。Wi-Fi5のTiFRONT-CA1002Cでは利用できませんのでご注意下さい。
Q4:IPv6に対応していますか? A4:いいえ。IPv6のセキュリティ検査には対応していませんので、APで設定できるのはIPv4のみです。

PIO-ID

クラウド上にあるRADIUSサーバで、EAP-TLS(セキュリティ証明書の個別インストールによる)認証を、WiFiアクセスポイントの802.1X認証で利用することが出来ます。
★利点1:TiFRONT-CA1004Xとバンドルで購入する場合は最小5ライセンスから購入可能
★利点2:類似の競合サービスでは最小50/100/150ライセンスからとか初期導入コストが高いが、PIO-IDならライセンス10個から購入可能
★利点3:証明書の失効はクラウド上で直ぐに可能。証明書さえ事前インストールしておくことで、IDとパスワードの両方を覚える(その辺にメモされるリスク)必要が無いので、セキュリティを向上できる。ID/PASS知っている人だけが何デバイスでも、Wi-Fi機器の利用ができるのはセキュリティ・リスクに繋がります。iPhoneなどにも対応しています。
★利点4:最近ではオンプレミスや仮想環境VM上でFreeRADIUSで無料に立てられるが、複数台のセットアップはかなりの労力がかかります。また、セキュリティ証明書の更新コストもかかります。PIO-IDのRADIUSサーバ1~9+拡張サーバ1台の構成となっており、最大10台まで使用が可能。

当社で取扱のあるメーカーAPでの検証結果は下記の通りです。

有効な証明書インストール済デバイスだけ接続できます

PIO-ID動作確認済AP

対応メーカー 対応モデルと制限事項 対応している暗号化
PIOLINK, Arista Networks, Ruckus/Commscope TiFRONT-CA1004X(v1.0.5以降)、Arista C-200以降すべて対応(何回か認証失敗することがあるが、その後は成功する)、RuckusOne対応AP全部(サーバ1は利用不可、サーバ2~9利用可能) WPA2, WPA2/WPA3, WPA3
制限事項について 1) 802.1X認証のセッションタイムアウトがクライアントPCによって、短いケースが確認されており、初回の認証時に見られる現象です。
2) サーバ1が利用できないのは、RuckusOne上の制限で、認証サーバのポート番号1812、アカウンティングのポート番号1813の指定ができないために起こる問題。サーバ2以降はポート番号を同一指定できることから対応可能。