Microsoft Intuneの頼れる助っ人 ～第3回～

侵害デバイスをいち早く検知し、
自動的にネットワークから切断/隔離

１．ネットワークアクセスコントロールの必要性

前回までで未登録のデバイスに加え、非準拠のデバイスも継続的に監視出来る ようになり、セキュリティ事故発生のリスクはさらに軽減されました。

セキュリティ事故を未然に防ぐための対策が重要なことは間違いありませんが、 それと同等に重要なのは防げなかった際の対策です。

例えば、マルウェアに感染してしまったデバイスがネットワーク上に存在すると、 マルウェアの活動によって被害が拡大するかもしれません。
そのようなデバイスはいち早く検知し、ネットワーク上から切り離す必要があります。 そこで、今回はこのネットワークアクセスコントロールについて考えて行きます。

• 1.IT資産管理
• 2.デバイスのコンプライアンス管理
• 3.ネットワークアクセスコントロール

2.Microsofut IntuneとForescoutを組み合わせる

今回の対策もMicrosoft IntuneとForescoutを組み合わせることで実現出来ます。

Microsoftは

• デバイスの状態を確

Forescoutは

• ネットワークに接続するすべてのIP接続デバイスを検出、分類、評価
• デバイスに関する情報をIntuneに照会
• 侵害されたデバイスをネットワークから切断/隔離

3.侵害されたデバイスを切断/隔離する仕組み

STEP 1. 接続されたデバイスが侵害される

STEP 2．Intuneが異常を検知

STEP 3．ForescoutがIntuneに状態を照会

STEP 4. Intuneが侵害を返答

STEP 5. Forescoutが侵害されたデバイスを切断/隔離

　

　

4.この組み合わせのいいところ

• 1.迅速な侵害デバイスの検知
  IntuneとForescoutが連携することにより、ネットワーク上の侵害されたデバイスを素早く検知し、制御することが可能です。
  
• 2.被害拡大の防
  Forescoutはスイッチと連携することにより、侵害されたデバイスが接続されたポート を自動的にシャットダウンすることが出来ます。
  これにより、侵害されたデバイスをネットワークから切断し、孤立させることが出来る ため、被害の拡大を防止することが可能になります。
  
• 3.侵害デバイスの安全な修復
  Forescoutは切断以外にも侵害されたデバイスが接続されたポートのVLANを自動的 に変更することも出来ます。
  これにより、閉ざされたネットワークで侵害されたデバイスの安全な修復と従来の VLANに戻すことが物理的な作業を伴わずに可能になります。
  

第一回、第二回はともに特定サイトへのリダイレクトによる通信制御を行って いましたが、今回は緊急を要するため、切断あるいは隔離による通信制御 を行いました。
その他、管理者への通知なども含めてForescoutはポリシーにより、状況に 応じて様々なアクションがとることが可能です。