日立情報通信エンジニアリングと日立ソリューションズは2016年12月20日、セキュリティの脅威に対し、問題のある端末をネットワークから自動で切断・隔離するシステムを発表した。サイバー攻撃への対策を強靭化・迅速化・自動化して被害を抑えられるほか、対策の自動化により運用管理コストを低減できる。
本システムでは、Splunkのマシンデータ利活用基盤「Splunk」のイベントログ収集・相関分析によって検知した脅威に対し、シスコシステムズのネットワーク管理SDN(Software Defined Networking)システム「Cisco Prime Infrastructure(PI)」がネットワークを制御することで、セキュリティ対策初動の自動化を図る。
そのために、SplunkとCisco PIの連携プログラム「インシデント レスポンス自動化SDK(Software Development Kit) for Prime Infrastructure」を日立情報通信エンジニアリングが開発した。セキュリティ脅威発生時に人手を介さずネットワークを自動制御する。
同SDKは、セキュリティ対策の初動に必要な切断や隔離などの機能を集約したライブラリーであり、対象端末のIPアドレスを基に対象のネットワーク機器を自動的に認識して制御するなど、簡単なインタフェースでネットワーク制御を可能にする。
サイバー攻撃が検知された場合、あらかじめ設定されたネットワーク制御ポリシーのもと、自動でネットワークを制御する。夜間や休日など情報システム管理者が不在でも、人手を介さずセキュリティ対策の初動対応を完了できる。
サーバーやPC、ネットワーク製品など多種多様な機器が出力する膨大なイベントログの中から不審な動きをリアルタイムに検出できるSplunkを活用し、不正があると思われる機器やシステムのログを相関分析して、より高度なセキュリティ脅威を検知する。
様々なセキュリティ製品との柔軟な連携を可能にするユーザースクリプトを用意しており、導入済みのシステムを利用できるほか、より高度なマルウェア対策システムへのアップグレードにも対応可能だ。
発売するシステムとSplunk、Cisco PIの価格は、個別見積。インシデント レスポンス自動化SDK for Prime Infrastructureの価格は170万円(税別)になる。