東京エレクトロン デバイス(TED)は2017年12月7日、不正な通信の検知などのセキュリティイベントが発生した際に、ファイアウォールやマルウェア対策製品などのセキュリティ機器を自動的にリモートで操作して対処するソフト「Phantom platform」を発表、同日販売を開始した。運用自動化ソフトのセキュリティ版に当たる。価格(税別)は年額1500万円から。販売目標として今後5年間で5億円を掲げる。
東京エレクトロン デバイス(TED)の「Phantom platform」は、ファイアウォール機器などのセキュリティ機器のオペレーションを自動で実行する運用管理ソフトである。ランブック自動化ソフトのセキュリティ版に相当する。SIEMや運用監視ソフトなどからのイベント通知をトリガーに、あらかじめ定義した条件に応じて運用管理ジョブを実行する。
図1:Phantom platformの概要(出典:東京エレクトロン デバイス)拡大画像表示
図2:ジョブの実行条件(ワークフロー)を設計するGUIエディタの画面(出典:東京エレクトロン デバイス)拡大画像表示
セキュリティ機器の動作ルールや、ジョブの実行条件は、GUIエディタを使ってノンプログラミングで設定できる。GUIだけでは定義出来ない条件はPython言語で記述できる。なお、ジョブの実行条件には承認ワークフローも組み込める。「30分以内に返答が得られなかった場合は次の処理を実行する」といった条件を設定することもできる。
セキュリティ機器の実際の制御方法は、大きく2つある。1つは、ssh/telnetを使ってセキュリティ機器にリモートログインし、CLI(コマンドラインインタフェース)にコマンドを投入するという方法である。もう1つは、Web APIを呼び出すというものである。これらを使ったジョブの内容(操作内容)を自由に記述して実行できるので、様々なセキュリティ機器を操作できる。
あらかじめ、170種類(2017年12月7日現在)のセキュリティ機器については、これらの機器を簡単に操作するためのプラグインモジュールを用意しており、Phantom platformのWebサイトから無料でダウンロードできる。
プラグインを使うと、ジョブを記述する際に、すべての機器に共通して利用可能な、自然言語を用いた抽象的で高レベルな記述で機器を操作できる。セキュリティ機器に固有の用語や操作手順を用いず、一般的な動詞と目的語の組み合わせで操作できる。
